دستورالعمل‌های امنیت سایبری برای کارکنان

 

آموزش امنیت سایبری در همه سازمان ها جزی مهم و جدا ناپذیر از آن سازمان میباشد و باید سالانه بودجه ای جدا به این امر اختصاص داد. که از نشت داده های سازمان شما جلوگیری شود. به همین دلیل در این مقاله به بررسی اهمیت امنیت فضای سایبری میپردازیم و راه کارهایی درباره انواع تهدیدات سایبری را بیان میکنیم.

اگر کسب و کاری دارید یا به دنبال شروع کسب و کار جدیدی هستید، بهتر است که این مقاله را دنبال کنید.

 

آیا تا به حال فکر کرده‌اید که داده‌های شرکت شما چقدر ارزشمند هستند؟

چه اتفاقی می‌افتد اگر چند روز به آن داده‌ها دسترسی نداشته باشید؟

در صورتی که قراردادها و اطلاعات مالی یا بقیه داده‌های محرمانه شرکت شما در اینترنت فاش شوند، برای شرکت شما چه تأثیر منفی می‌تواند داشته باشد؟

آیا تا به حال  فکر کرده‌اید که عجله شما در کلیک کردن بر روی یک لینک یا دانلود یک پیوست یا ارسال داده بدون چک کردن اینکه داده را به چه کسی ارسال می‌کنید، می‌تواند برای شرکت شما تا چه حد خطرناک باشد؟

فاش شدن اطلاعات، هزینه زیادی برای شرکت‌ها دارد. بر طبق تحقیقی که در سال 1396 انجام شد، 90% از شرکت‌های بزرگ به دلیل فاش شدن اطلاعات خود به مشکل برخورده‌اند.

در گزارشی دیگر بیان می‌شود که ریسک اقتصادیِ فاش شدن داده‌های موبایل برای یک شرکت می‌تواند به اندازه 131,820,480,000 تومان باشد. عدد قابل توجهی است!!!

متأسفانه نصف بیشتر رخنه‌های امنیتی شدید به وسیله اشتباهات انسانی رخ می‌دهند. در زمینه امنیت سازمانی، کارکنان، ضعیف ترین بخش امنیتی هستند.

اقدامات ما احساسی هستند، همیشه عجله می‌کنیم و به داده‌های مهمی که مدیریت می‌کنیم اهمیتی نمی‌دهیم. در کلیک کردن بر روی لینک‌های ناشناس یا پیوست‌ها عجله می‌کنیم و باعث فاش شدن اطلاعات مهم می‌شویم و یا از طریق دستگاه‌های نا امن به داده‌های حساس شرکت، دسترسی پیدا می‌کنیم.

هرچه سازمان‌ها و تشکیلات بزرگ‌تر باشند، تهدیدات نیز بزرگ‌تر هستند. نمی‌توانید همه افراد را کنترل کنید یا کارهایی که انجام می‌دهند را تحت نظر قرار دهید. تنها یک کاربر نیاز است تا داده‌ها را فاش سازد یا کل شرکت را آلوده کند.

کاری که می‌توانید انجام دهید این است که تمامی اقدامات پیشگیرانه‌ای که می‌تواند داده‌های شرکت را امن نگه دارد، انجام دهید. و  تمامی این مباحث از طریق آموزش به کارکنان صورت می‌گیرد.

به جای اینکه به اعتبارسنجی بپردازید، بر روی آموزش امنیت سایبری سازنده تمرکز کنید. تصمیمات و دلایلتان را به کارکنان درباره امنیت سایبری بیان کنید.

همیشه برای پاسخگویی به سؤالات آن‌ها حاضر باشید، یا فرد مشخص و قابل‌اعتمادی را برای پاسخگویی به سؤالات آن‌ها در نظر بگیرید. توجه کنید که فرهنگی که بر پایه اعتماد استوار است، بسیار امن‌تر می‌باشد.

موارد زیر را باید به کارکنان توصیه کنید

1.هیچ‌وقت برای ارسال اطلاعات حساس عجله نکنید.

اخیراً بسیاری از شرکت‌ها از طریق “فیشینگ هدف‌دار (spear phishing)” مورد حمله قرار گرفته‌اند، به این صورت که حمله‌کنندگان خودشان را به عنوان مدیران، جا زده بودند.

کمپانی‌های اسنپ چت (snapchat) و سی گیت (Seagate) از قربانیان این حملات بوده‌اند. کارکنان بخش نیروی انسانی، ایمیل‌هایی دریافت کردند که به نظر از طرف مدیران ارسال شده بود. کارکنان فریب خوردند و اطلاعات محرمانه را به آن‌ها ارسال کردند. که منجر به لو رفتن فرم w-2 مالیاتی هزاران نیروی فعلی و قبلی شد.

کمپانی‌ها باید توجه کنند که فیشینگ هدف‌دار از مؤثرترین انواع فیشینگ می‌باشد. این نوع حمله به صورت خودکار نیست، اما بسیار موفق است. این موفقیت به واسطه صرف وقت بسیار زیادی از طرف هکرها تحقق می‌پذیرد تا اطلاعات و اسناد مهمی را قبل از حمله جمع کنند. مدت زمان بیشتری برای حمله نیاز است اما احتمال موفقیت هم بسیار بالاست.

کارکنان شما چه اقداماتی باید انجام دهند:

از آن‌ها بخواهید که قبل از ارائه اطلاعات یا مجوز عبور، مجدداً درخواست‌ها را بررسی کنند و از صحت و اعتبار آن‌ها اطمینان حاصل کنند.

به آن‌ها بگویید که قبل از ارائه هر گونه داده، از حضور در یک سایت امن، اطمینان حاصل کنند. به این معنی که سایت یک ارتباط SSL (Secure Sockets Layer) داشته باشد؛ روشی که اطمینان می‌دهد داده ارسالی و دریافتی به صورت رمزنگاری شده در جریان است.

2.هیچ‌وقت بر روی لینک‌هایی که نمی‌دانید شما را به کجا می‌برند، کلیک نکنید

آیا می‌دانستید 15 تا 20 درصد سشن‌های (نشست) مرورگر که باز می‌شوند به وسیله کلیک کردن بر روی ایمیل‌های ناشناس اتفاق می‌افتند؟

تنها چند ثانیه طول می‌کشد که آن‌ها به وسیله بدافزار (یا باج افزار) آلوده شوند یا تحت حمله فیشینگ قرار بگیرند. دومین نکته حائز اهمیت در آموزش امنیت سایبری کلیک نکردن روی لینک ها، بخصوص لینک هایی که در ایمیل ارسال می شوند.

قانون ابتدایی: اگر نمی‌دانید که یک لینک شما را به کجا می‌برد، یا شما درخواست آن را نداده‌اید، بهتر است که بر روی آن کلیک نکنید. به لینک‌هایی که شامل دامنه صحیحی می‌باشند اما کمی در نگارش نام دامنه فرق دارند، دقت کنید.

این گونه لینک‌ها اکثراً به آلودگی بدافزاری منتهی می‌شوند یا تحت حملات فیشینگ قرار می‌گیرند.

کارکنان شما چه اقداماتی باید انجام دهند:

در ابتدا می‌توانند به کمک short link expander، redirect checker یا remote screenshot maker لینک را چک کنند تا ببیند که لینک مربوطه، آن‌ها را به کجا می‌برد. به این صورت می‌توانند از به دام افتادن در چنگ بدافزارها در امان بمانند.

3.هیچ‌وقت پیوست‌های ایمیل را دانلود نکنید

پیوست‌های ایمیلی می‌توانند به وسیله هکرها مورد استفاده قرار گیرند تا کامپیوتر افراد را تحت کنترل گیرند یا بدافزار را به آن‌ها انتقال دهند.

این موضوع بیشتر برای حملات هرزنامه‌ای صورت می‌گیرد، اما رشد بسیار زیادی نیز در شبکه‌های اجتماعی داشته است. بهتر است از کارکنان بخواهیم که در زمان استفاده از شبکه‌های اجتماعی، بسیار مواظب باشند.

کارکنان شما چه اقداماتی باید انجام دهند:

به فایل‌هایی که آن‌ها دریافت می‌کنند، حساس باشید. ما درباره فایل‌های دریافتی از افراد ناشناس و افراد آشنا صحبت می‌کنیم.

حتی فایل‌هایی که به نظر پاک هستند، مثل مایکروسافت آفیس، آسیب‌پذیری دارند و می‌توانند حامل بدافزار باشند. این نکته بسیار در آموزش امنیت سایبری بسیار حائز اهمیت است و یکی از بهترین اقدامات این است که ماکروها (macros) را غیر فعال کنیم – نوعی کد که به زبان Visual Basic نوشته شده است تا کاربران را آلوده نماید.

4.هیچ‌گاه از تورنت و سایت‌های با محتویات دزدی استفاده نکنید

فایل‌های تورنت اکثراً دزدی هستند، سایت‌های تورنت هم پر از بدافزار و ویروس هستند، انواع فیلم‌های به‌روز و نرم‌افزار و آهنگ‌ها را می‌توانید از سایت‌های تورنت دانلود کنید ولی احتمال لو رفتن اطلاعات شخصی و حریم خصوصی هم بسیار بالاست که خیلی از این سایت‌های تورنت در کشورهای خارجی، غیرقانونی هستند و استفاده از آن‌ها مشمول جریمه می‌شود.

اخیراً متوجه موضوعی شدم که هیچ‌گاه برای من رخ نداده بود. متوجه شدم که یکی از همکاران مادرم در حال تماشای سریال‌های تلویزیونی در لپتاپش بود. تا به این جای کار هیچ موضوع عجیبی وجود ندارد، اما در حقیقت او، آن سریال‌ها را از سایتی غیرقانونی که محتویات دزدی داشت، تماشا می‌کرد، به همین دلیل سیستم او به وسیله انواع ویروس‌ها و بدافزارهای متفاوت آلوده شده بود.

اگر او هیچ‌گونه مکانیزم امنیتی دیگری نداشت، می‌توانست کل شبکه را آلوده کند، یا بوسیله باج افزار، مورد حمله قرار گیرد، یا اطلاعات مهمش دزدیده شوند، فاش شوند یا فروخته شوند.

یکی از بزرگ‌ترین اشتباهاتی که داریم، این است که فکر می‌کنیم همه افراد به اندازه ما می‌دانند، خصوصاً مسائلی که به عنوان موارد ابتدایی در نظر می‌گیریم.

این نیز ایده‌ای است که بین افراد پیر و جوان رواج دارد: این افراد فکر می‌کنند که  هر چیزی که در اینترنت موجود است یا قانونی است یا بی‌ضرر. حال چه رایگان باشد، چه کیفیت پایینی داشته باشد و چه تبلیغات بسیار زیادی برای آن شده باشد.

آن‌ها فرقی بین چیز خوب و بد قائل نمی‌شوند. چون برای این موضوعات آموزش ندیده‌اند بنابراین هیچ اطلاعی از آن ندارند.

ما قصد ورود به بحث اخلاقی و قانونی این مسئله را نداریم. تنها چیزی که قصد بیان آن را داریم این است که فایل‌های تورنت و بقیه انواع فایل‌های دزدی می‌توانند تهدیدی برای داده‌های شما باشند.

کارکنان شما چه اقداماتی باید انجام دهند:

باج افزار می‌تواند از طریق شبکه‌های تبلیغاتی یا حتی سایت‌های بزرگ گسترش یابد. آن‌ها برای آلوده کردن سیستم شما از آسیب‌پذیری‌های وب‌سایت، مرورگر، پلاگین های مرورگر و نرم‌افزارهای قدیمی بهره‌برداری می‌کنند. به همین دلیل آموزش کارکنان به موارد زیر حائز اهمیت است:

• هیچ‌گاه نرم‌افزار آنتی‌ویروس را غیر فعال نکنید.
• نرم‌افزارها علی‌الخصوص مرورگر وب را بروز رسانی کنید.
• یک adblocker نصب کنید.
• پلاگین و add-on های آسیب‌پذیر مثل جاوا و flash player را غیر فعال کنید.

5.هیچ‌گاه برای گزارش رفتار عجیب کامپیوترتان تعلل نکنید

رفتار عجیب به چه معنی است؟ می‌تواند به معنی کند شدن بیش از اندازه سیستم، سرعت بسیار بالای فن (fan) کامپیوتر یا پیام‌های خطای غیرمنتظره باشد.

تمامی این موارد می‌توانند نشانی از آلودگی کامپیوتر شما به بدافزار باشند، یا همین‌طور می‌توانند نشانه‌ای از مورد استفاده قرار گرفتن کامپیوتر شما به عنوان باتنت (botnet) باشند.

باتنت‌ها شبکه‌هایی از کامپیوترها هستند، که بوسیله مجرمین سایبری کنترل و هدایت می‌شوند. آن‌ها می‌توانند برای حمله به بقیه کامپیوترها، ارسال اسپم و فیشینگ، ارسال باج افزار، جاسوس‌افزار و … مورد استفاده قرار گیرند؛ همه این‌ها می‌توانند بدون اینکه کاربر اطلاعی داشته باشد اتفاق بیافتند.

کارکنان شما چه اقداماتی می‌توانند انجام دهند:

به نحوه کارکرد دستگاه‌های آن‌ها اهمیت دهید و هر اقدام مشکوکی که صورت می‌گیرد را بلافاصله گزارش دهید.

در زمان بروز رخنه امنیتی، بهترین کار این است که بلافاصله گزارش داده شوند. در این صورت کنترل بهتری بر آسیب‌پذیری صورت می‌پذیرد. بعلاوه نمی‌توان آلودگی‌ها را زیر قالیچه پنهان کرد (نمی‌توانید پنهان‌کاری کنید)، بالاخره روزی آشکار می‌شوند.

البته ممکن است شما بگویید که با وجود قدیمی بودن کامپیوترتان حمله‌ای به آن صورت نگرفته است؛ اما بهتر است که اقدامات امنیتی را انجام دهید به جای این که بعدها پشیمان شوید.

متأسفانه ما اکنون در موقعیت نامناسبی هستیم: بر طبق گزارش سالانه امنیتی cisco (سیسکو)، تبلیغ افزارها و تزریق در مرورگر از  سخت‌ترین تهدیدات برای کشف کردن هستند: کشف آن‌ها، بیشتر از 200 ساعت به طول می‌انجامد.

مشکل اینجاست که کارمندان از ناراحت کردن کارکنان بخش فناوری اطلاعات، احساس شرمندگی و تأسف می‌کنند.

بهتر است کارمندان، این موضوع را درک کنند که هرچه سریع‌تر گزارش دهند، بهتر است. به آن‌ها بگویید که در صورت بروز این گونه اتفاقات، جریمه نمی‌شوند، بنابراین از گزارش دادن نترسند.

اگر شخصی برای حل این مشکلات، بکار گرفته شده باشد تا در صورت بروز مشکل، به آن‌ها برای گزارش دادن مراجعه کنیم، بسیار مؤثر است.

6.هیچ‌گاه از شبکه‌ها و دستگاه‌های ناامن استفاده نکنید

برای ایجاد محیط کاری بهتر و راضی نگه داشتن کارکنان، بسیاری از کمپانی‌ها اجازه می‌دهند که کارکنان با استفاده از دستگاه‌های خودشان در منزل کار کنند. لپ‌تاپ، موبایل، تبلت، به نوع سیستم‌عامل بستگی ندارد، همه آن‌ها در مقابل حملات سایبری آسیب‌پذیر هستند. قابلیت حمل بیشتر و انعطاف‌پذیری بالاتر، منجر به خطرات امنیتی بیشتر می‌شود.

در یکی از گزارشات اخیر، نشان داده شده است که 67 درصد از سازمان‌هایی که اجازه دسترسی کارکنان به داده‌های کمپانی را از طریق موبایل می‌دادند، دچار رخنه‌های امنیتی شده‌اند. به این دلیل ضروری است که کارکنان از موبایل یا کامپیوترهای معتبر برای ورود به اکانت‌­ها و دسترسی به اطلاعات حساس استفاده کنند.

کارکنان شما چه اقداماتی باید انجام دهند:

سعی کنید از دستگاه‌های مورد تائید برای دسترسی به داده‌های حساس استفاده کنید. همین‌طور نباید به وای‌فای‌های نا امن و همگانی متصل شوید.

از آن‌ها بخواهید که از VPN استفاده کنند؛ یک Virtual Private Network است که ترافیک اینترنتی را امن و رمزنگاری می‌کند. این مورد، یک لایه امنیتی دیگر اضافه می‌کند و خطر افشا شدن داده‌ها را کاهش می‌دهد.

7.هیچ‌گاه USBهای خارجی و هاردهای اکسترنال را به کامپیوتر و لپ‌تاپ متصل نکنید

به دلیل کارکردشان بی خطر به نظر می‌آیند، اما می‌توانند به وسیله ویروس، بدافزار، تروجان یا کی‌لاگرها (keylogger) آلوده شده باشند.

کارکنان شما چه اقداماتی باید انجام دهند:

امن‌ترین راه‌حل این است که هیچ‌گاه درایوهای اکسترنال (خارجی) را به دستگاه‌هایشان متصل نکنند. اما پیروی از این قانون، بسیار سخت است.

بهترین گزینه امنیتی این است که Auto-Run را هنگام استفاده از درایو اکسترنال  غیر فعال کنند و از نرم‌افزار آنتی‌ویروس برای اسکن آن استفاده نمایند.

8.هیچ‌گاه برای اطلاع دادن از گم‌شدن یا دزدیده شدن دستگاه تعلل نکنند

تفاوتی ندارد که اگر آن وسیله مفقودی یک لپ‌تاپ، تلفن همراه، هارد اکسترنال یا یک USB است.

اقداماتی که کارکنان شما باید انجام دهند:

همان‌گونه که کارکنان باید گزارش اینکه دستگاه آن‌ها به صورت عجیبی کار می‌کند را ارائه دهند، در صورت بروز چنین اتفاقاتی نیز باید بلافاصله گزارش دهند.

مشکل اینجا است که اکثر کارکنان به دلیل ترس از تنبیه شدن، گزارش نمی‌دهند. به آن‌ها بگویید که در چنین مواقعی بهترین اقدام این است که بلافاصله گزارش دهند تا از خسارات وارده بعدی جلوگیری نمایند.

یک دستگاه دزدیده شده می‌تواند به مجرمین اجازه دهد که به داده‌های حساس و محرمانه دسترسی داشته باشند؛ اطلاعاتی مثل قراردادها، فروشندگان و فرم مالیاتی کارکنان.

9.هیچ‌گاه به عادات رمزگذاری‌شان بی‌توجهی نکنند

اگرچه امروزه رمزهای عبور برای در امان ماندن در حملات سایبری کافی نیستند، اما داشتن یک رمز عبور خوب و قوی ضروری است.

کارکنان شما چه اقداماتی باید انجام دهند:

• از رمز عبورهای قوی استفاده کنند. بهتر است که بیشتر از 14 حرف باشند، و ترکیبی از لغات بزرگ و کوچک، عدد و نشانه باشند.
• هیچ‌گاه از رمز عبوری که آن را برای یک اکانت خود بکار برده‌اند، دوباره استفاده نکنند. همین‌طور که از یک کلید برای ماشین، اداره و خانه استفاده نمی‌کنید، نباید از یک رمز عبور برای چندین اکانت استفاده کنید.
• هیچ‌گاه رمزهای عبور را با کارکنان دیگر به اشتراک نگذارند.

آیا میدانستید که به اشتراک گذاشتن رمز عبور بین کارکنان یکی از مهمترین فاکتورهای امنیتی است… 

• رمزهای عبور را به طور مداوم عوض کنند. بسیاری از افراد اکانت‌های متفاوتی دارند، که می‌تواند به خاطر سپردن رمز عبور آن‌ها بسیار مشکل‌ساز باشد. یکی از راه‌حل‌های این مشکل استفاده از ابزار مدیریت رمز عبور است، مثل LastPass. بنابراین، کارکنان تنها باید یک رمز عبور را به خاطر بسپارند و آن هم رمز عبور به اکانت LastPass است. از آن‌ها بخواهید که رمز عبور را در جایی ننویسند، یا آن را در فایلی روی دستگاه، پیامی روی تلفن، ایمیل یا هر گونه پیام دیگر نگه ندارند.
• احراز هویت دو مرحله‌ای را فعال کنید. این مورد می‌تواند یک لایه امنیتی دیگر را در کنار رمز عبور اضافه کند.

نتیجه‌گیری

مشکل کار کجاست؟ بسیاری از افراد اصول را می‌دانند، درباره معیارهای امنیتی و حفظ حریم خصوصی، اطلاعات لازم را دارند. اما تنها جایی که به مشکل می‌خورند این است که نمی‌توانند این دانش را به کار گیرند. فاصله زیادی بین اقداماتی که برای حفظ داده‌ها باید انجام دهیم و اقداماتی که انجام می‌دهیم وجود دارد. به همین دلیل است که آموزش امنیت سایبری برای همه سازمان ها حائز اهمیت است.

به آن‌ها هشدار دهید که یک تهدید امنیتی تا چه حد می‌تواند به ما نزدیک باشد. از خودتان بپرسید:

احتمال اینکه تحت حمله باج افزار قرار بگیریم چقدر است؟

آیا تأثیر هر معیار امنیتی که نادیده می‌گیریم را می‌دانیم؟

پاسخ‌های خود را به این سؤالات با ما در میان بگذارید.