روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ با آمدن تابستان بسیاری از سازمانها دانشجویان را برای دورههای فصلی کارآموزی برمیدارند و این بدان معناست که افرادی جوان و تازهکار که شاید چندان هم از امنیت سایبری مطلع نباشند وارد فرآیندهای کسب و کار شما میشوند. سازمانها به ندرت وقت خود را میگذارند روی فکر کردن در مورد خطرات مرتبط با این بخش و البته که اقدامات پیشگیرانهای هم در این راستا انجام نمیدهند. در ادامه با ما همراه شوید تا توضیح دهیم چطور کارآموزان میتوانند تهدیدی پنهان برای حوزه امنیت سایبری باشند.
سازمانها در چنین مواقعی با خود میگویند کارآموزان که قرار نیست مدت زیادی بمانند و بعید هم هست دسترسی به اطلاعات محرمانه را داشته باشند پس چرا باید کلی هزینه برای آموزش آنها کرد. اینکه آنها ماندگار نیستند و به اطلاعات محرمانه دسترسی ندارند درست، اما نباید این حقیقت را نادیده گرفت که کارآموزان بیتجربه بدون دانش کافی از امنیت سایبری میتوانند با کلیک روی لینک فیشینگ، گذاشتن پسوردی ضعیف روی اکانتهای کاریشان یا گول یک نقشه مهندسی اجتماعی را خوردن ضربهای مهلک به شاکلهی سازمان شما بزنند.
جلسه توجیهی
پیش از اینکه به کارآموزان خود دسترسی به زیرساخت و تجهیزات سازمان بدهید بهتر است آنها را موارد الزامی آشنا کنید. از همه مهمتر باید استانداردهای پذیرفتهشده سازمان را در مورد خطمشی امنیتی، احراز هویت دو عاملی و پسوردها توضیح دهید. وقتی کارآموزان در عملیاتهای سازمانی شما دخیل شوند باید پسورد بگذارند. و گرچه امنیت پسورد به نظر موضوعی است که همیشه بدان مبسوط پرداخته میشود اما شاید هنوز کارآموز نداند گذاشتن یک پسورد واحد برای چند سرویس به لحاظ امنیتی مشکلساز است یا حتی کامل ندارند منظور از «پسوردی قوی» چیست.
اصلِ اقلِ مزیت
وقتی به کارآموزان دسترسی به منابع سازمان را دادید، باید از اصل اقل مزیت[1] پیروی کنید؛ بدان معنا که هر کسی تنها همان اندازه که برای کارش نیاز است باید به مزیتها دسترسی داشته باشد. این اصل به طور کلی برای همه پیشنهاد میدهند اما در خصوص کار با کارآموزان تأکید شده است.
تعهدات عدم افشای اطلاعات
بسیاری از سازمانها کارآموزانشان را ملزم به امضای تعهدات عدم افشای اطلاعات نمیکنند. دلیلش هم تکرار میکنیم: آنها کارآموزان را فقط به چشم افرادی با سمت موقتی و پایینرده میبینند. با این حال بهتر است این اتفاق بیافتد. حتی اگر کارآموزان به اطلاعات محرمانه سازمانی هم نزدیک نشوند باز هم امضای NDA روش خوبیست برای رساندن این مفهوم به کارآموزان که نباید از فرآیندهای کسب و کار در مکالمات شخصی خود حرفی بزنند.
امنیت اطلاعات در مورد اکانتهای رسانههای اجتماعی
کارآموزان بیشتر افراد جوان هستند و جوانان امروزی هم بیشتر زندگیشان با رسانههای اجتماعی سپری میشود. خیلی راحت میشود تصور کرد آنها علاقه داشته باشند به پست کردن چیزهایی که برایشان مهم است (مانند شغلشان!). از یک طرف، سازمان میتواند از صحبت کردن کارآموز درباره سِمَتش در فضای مجازی حسابی سود ببرد و به نوعی تبلیغ کار را کند اما از طرفی دیگر کارآموزان ممکن است ناخواسته اطلاعات مهمی را در پستی که دارند افشا کنند- برای مثال اگر با داکیومنتهای داخل شرکت که پشت سرشان هست سلفی بگیرند!
از این روست که توصیه میکنیم به روشنی به کارآموزان خود سیاستهای سازمان را در مورد استفاده از رسانههای اجتماعی بازگو کنید. اما سعی نکنید دستوراتتان بالا بند باشد چون در این صورت نباید توقع داشته باشید از اول تا آخرش را حفظ کرده باشند. بهترین رویکرد دادن یک فریمورک کوتاه و شفاهی است.
دسترسی به منابع کاری بعد از اتمام دوره کارآموزی
هر چیزی در نهایت تمام میشود- از جمله دورههای کارآموزی. برخی دانشجویان ممکن است جدا از ماجرای کارآموزی پیشتان بمانند اما برخی دیگر ناگزیر سازمان را ترک خواهند کرد. حواستان به دستهی دوم باشد. مطمئن شوید همه دسترسیهای آنها را به منابع درونسازمانی بعد از اینکه کارآموز میرود ببندید. اکانت اضافی با دسترسی داشتن بالقوه یک آسیبپذیری محسوب میشود.
آموزش به کارآموزان در مورد اصول اولیه امنیت سایبری
ما همیشه توصیه کردهایم به کارمندان خود در مورد اصول اولیه امنیت سایبری آموزش دهید. با این حال، کارآموزان به ندرت در چنین جلسات آموزشی شرکت داده میشوند که البته اشتباه است. آموزش دادن به کارآموزان به شما در تخفیف ریسکهای امنیت سایبریتان کمک خواهد کرد و در عین حال وقتی هم از سازمان شما بروند درس مهمی را یاد گرفتهاند که در آینده به دردشان خواهد خورد. نیازی نیست در بخش آموزشی منابع زیادی را خرج کنید. چند متریال آنلاین و منبع از به آنها بدهید تا اصول اولیه امنیت سایبری را مطالعه کنند. برای مثال، سازمان میتواند برای اینکه به کارآموز خود بیاموزد چطور در برابر حملات سایبری مقاومت بیشتری داشته باشد اخیراً دوره آموزشی آنلاین و رایگانی گذاشتهایم –بعنوان بخشی از پلتفرم آگاهی امنیتی اتومات کسپرسکی (ASAP[2])- که طی آن توضیح داده میشود چطور باید از شبکههای اجتماعی استفاده کرد و فریب ترفندهای مهندسی اجتماعی را نخورد.
[1] The principle of least privilege
[2] Automated Security Awareness Platform
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
