روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ با آمدن تابستان بسیاری از سازمان‌ها دانشجویان را برای دوره‌های فصلی کارآموزی‌ برمی‌دارند و این بدان معناست که افرادی جوان و تازه‌کار که شاید چندان هم از امنیت سایبری مطلع نباشند وارد فرآیندهای کسب و کار شما می‌شوند. سازمان‌ها به ندرت وقت خود را می‌گذارند روی فکر کردن در مورد خطرات مرتبط با این بخش و البته که اقدامات پیشگیرانه‌ای هم در این راستا انجام نمی‌دهند. در ادامه با ما همراه شوید تا توضیح دهیم چطور کارآموزان می‌توانند تهدیدی پنهان برای حوزه امنیت سایبری باشند.

سازمان‌ها در چنین مواقعی با خود می‌گویند کارآموزان که قرار نیست مدت زیادی بمانند و بعید هم هست دسترسی به اطلاعات محرمانه را داشته باشند پس چرا باید کلی هزینه برای آموزش آن‌ها کرد. اینکه آن‌ها ماندگار نیستند و به اطلاعات محرمانه دسترسی ندارند درست، اما نباید این حقیقت را نادیده گرفت که کارآموزان بی‌تجربه بدون دانش کافی از امنیت سایبری می‌توانند با کلیک روی لینک فیشینگ، گذاشتن پسوردی ضعیف روی اکانت‌های کاری‌شان یا گول یک نقشه مهندسی اجتماعی را خوردن ضربه‌ای مهلک به شاکله‌ی سازمان شما بزنند.

جلسه توجیهی

پیش از اینکه به کارآموزان خود دسترسی به زیرساخت و تجهیزات سازمان بدهید بهتر است آن‌ها را موارد الزامی آشنا کنید. از همه مهمتر باید استانداردهای پذیرفته‌شده سازمان را در مورد خط‌مشی امنیتی، احراز هویت دو عاملی و پسوردها توضیح دهید. وقتی کارآموزان در عملیات‌های سازمانی شما دخیل شوند باید پسورد بگذارند. و گرچه امنیت پسورد به نظر موضوعی است که همیشه بدان مبسوط پرداخته می‌شود اما شاید هنوز کارآموز نداند گذاشتن یک پسورد واحد برای چند سرویس به لحاظ امنیتی مشکل‌ساز است یا حتی کامل ندارند منظور از «پسوردی قوی» چیست.

اصلِ اقلِ مزیت

وقتی به کارآموزان دسترسی به منابع سازمان را دادید، باید از اصل اقل مزیت[1] پیروی کنید؛ بدان معنا که هر کسی تنها همان اندازه که برای کارش نیاز است باید به مزیت‌ها دسترسی داشته باشد. این اصل به طور کلی برای همه پیشنهاد می‌دهند اما در خصوص کار با کارآموزان تأکید شده است.

تعهدات عدم افشای اطلاعات

بسیاری از سازمان‌ها کارآموزانشان را ملزم به امضای تعهدات عدم افشای اطلاعات نمی‌کنند. دلیلش هم تکرار می‌کنیم: آن‌ها کارآموزان را فقط به چشم افرادی با سمت موقتی و پایین‌رده می‌بینند. با این حال بهتر است این اتفاق بیافتد. حتی اگر کارآموزان به اطلاعات محرمانه سازمانی هم نزدیک نشوند باز هم امضای NDA روش خوبیست برای رساندن این مفهوم به کارآموزان که نباید از فرآیندهای کسب و کار در مکالمات شخصی خود حرفی بزنند.

امنیت اطلاعات در مورد اکانت‌های رسانه‌های اجتماعی

کارآموزان بیشتر افراد جوان هستند و جوانان امروزی هم بیشتر زندگی‌شان با رسانه‌های اجتماعی سپری می‌شود. خیلی راحت می‌شود تصور کرد آن‌ها علاقه داشته باشند به پست کردن چیزهایی که برایشان مهم است (مانند شغلشان!). از یک طرف، سازمان می‌تواند از صحبت کردن کارآموز درباره سِمَتش در فضای مجازی حسابی سود ببرد و به نوعی تبلیغ کار را کند اما از طرفی دیگر کارآموزان ممکن است ناخواسته اطلاعات مهمی را در پستی که دارند افشا کنند- برای مثال اگر با داکیومنت‌های داخل شرکت که پشت سرشان هست سلفی بگیرند!

از این روست که توصیه می‌کنیم به روشنی به کارآموزان خود سیاست‌های سازمان را در مورد استفاده از رسانه‌های اجتماعی بازگو کنید. اما سعی نکنید دستورات‌تان بالا بند باشد چون در این صورت نباید توقع داشته باشید از اول تا آخرش را حفظ کرده باشند. بهترین رویکرد دادن یک فریم‌ورک کوتاه و شفاهی است.

دسترسی به منابع کاری بعد از اتمام دوره کارآموزی

هر چیزی در نهایت تمام می‌شود- از جمله دوره‌های کارآموزی. برخی دانشجویان ممکن است جدا از ماجرای کارآموزی پیشتان بمانند اما برخی دیگر ناگزیر سازمان را ترک خواهند کرد. حواستان به دسته‌ی دوم باشد. مطمئن شوید همه دسترسی‌های آن‌ها را به منابع درون‌سازمانی بعد از اینکه کارآموز می‌رود ببندید. اکانت اضافی با دسترسی داشتن بالقوه یک آسیب‌پذیری محسوب می‌شود.

آموزش به کارآموزان در مورد اصول اولیه امنیت سایبری

ما همیشه توصیه کرده‌ایم به کارمندان خود در مورد اصول اولیه امنیت سایبری آموزش دهید. با این حال، کارآموزان به ندرت در چنین جلسات آموزشی شرکت داده می‌شوند که البته اشتباه است. آموزش دادن به کارآموزان به شما در تخفیف ریسک‌های امنیت سایبری‌تان کمک خواهد کرد و در عین حال وقتی هم از سازمان شما بروند درس مهمی را یاد گرفته‌اند که در آینده به دردشان خواهد خورد. نیازی نیست در بخش آموزشی منابع زیادی را خرج کنید. چند متریال آنلاین و منبع از به آن‌ها بدهید تا اصول اولیه امنیت سایبری را مطالعه کنند. برای مثال، سازمان می‌تواند برای اینکه به کارآموز خود بیاموزد چطور در برابر حملات سایبری مقاومت بیشتری داشته باشد اخیراً دوره آموزشی آنلاین و رایگانی گذاشته‌ایم –بعنوان بخشی از پلت‌فرم آگاهی امنیتی اتومات کسپرسکی (ASAP[2])- که طی آن توضیح داده می‌شود چطور باید از شبکه‌های اجتماعی استفاده کرد و فریب ترفندهای مهندسی اجتماعی را نخورد.

[1] The principle of least privilege   

[2] Automated Security Awareness Platform

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.