آیا ویروس کرونا موجب افزایش حملات سایبری خواهد شد؟

نویسندگان: برندا آر. شارتون

در حالی که دنیا بر خطرات جانیِ ایجاد شده بر اثر کووید-۱۹ متمرکز است، مجرمان سایبری در سرتاسر جهان با راه‌اندازی نوع دیگری از «ویروس»، بی‌تردید به دنبال این هستند تا از این بحران نهایت استفاده را ببرند. هر روز تعداد بیشتر و بیشتری از کارمندان در حالِ دورکاری هستند و ممکن است بالاخره کمپانی‌ها با کمبود یا نبودِ پرسنل در محل کار یا انجام کار با کمترین تعداد کارمند در فعالیت‌های فناوری اطلاعات و سایر فعالیت‌های پشتیبانی مهم مواجه شوند.

در رویارویی با چنین شرایطی، هم کارفرمایان و هم کارمندان باید نهایت توجه خود را به کار بگیرند تا از خودشان و اطلاعات محرمانه‌ی شرکت محافظت کنند. در ادامه، توصیه‌هایی ارائه می‌شوند که باید کارفرمایان و کارمندان به منظور کاهش حداکثریِ خطر به ذهن بسپارند:

 

برای کارمندان

۱. در مورد ایمیل‌های فیشینگ[1] بسیار مراقب باشید

مجرمان سایبری، عاشق بحران هستند. مراقب ایمیل‌های فیشینگ باشید. این نوع ایمیل‌ها طراحی می‌شوند تا شما را وسوسه کنند که بر روی جدیدترین و مهم‌ترین پیشنهادات مرتبط با محافظت در برابر ویروس کرونا، یا بر روی دستورالعمل‌های فوری از سوی رئیس‌تان که در خارج از اداره حضور دارد، کلیک کنید. هدف تمام این نوع ایمیل‌ها این است که شما را ترغیب کنند تا ندانسته و به اشتباه یک بدافزار را بر روی سیستم خودتان و سیستم‌های شرکت دانلود کنید.
طی چند هفته‌ی اخیر، کلاهبرداری‌های بسیار زیادی از طریق اختلال در ایمیل‌های کسب و کاری صورت گرفته است (که در آنها حساب‌های کاربری آفیس‌ (office 365) یا جیمیل ( Gmail) از طریق یک فیشینگ ایمیل هک می‌شوند و سپس هکر صورت حساب‌های جعلی را ارسال می‌کند که به دروغ ادعا می‌شود از سوی فروشنده‌ی قانونی ارسال شده‌اند و در نتیجه طوری دستورالعمل‌های انتقال وجه را تغییر می‌دهد که پول به حساب هکر واریز شود).

احراز هویت چند عاملی[2] را بر روی تمام حساب‌های کاربریِ تحت کنترل‌تان فعال کنید و صددرصد مطمئن شوید که برای حساب‌های کاربری آفیس ۳۶۵ استفاده می‌شوند. این اقدام، مانعِ دسترسی همه‌ی عوامل مشکوک خواهد شد. اگر هر سوالی در مورد اعتبار یک ایمیل درون‌سازمانی دارید، تعلل نکنید و با فرستنده تماس بگیرید- قبل از این که پولی انتقال دهید یا دستورالعمل‌های پرداخت پول را تغییر دهید، حتما این کار را انجام دهید.

 

۲. بهداشت سایبری[3] را به خوبی تمرین کنید

اطمینان حاصل کنید که سیستم‌های شما- از جمله روتر اینترنتی‌تان[4] – از لحاظ محافظت به وسیله آنتی ویروس به‌روزرسانی شده‌اند و در حال استفاده از اتصالات امن و شناخته شده هستید. در یک مکان عمومی به هیچ وجه از بلوتوث استفاده نکنید- این باعث می‌شود هکرها به راحتی به دستگاه شما متصل شوند. از احراز هویت چندعاملی بر روی حساب‌های کاربری‌تان استفاده کنید. از دستورالعمل‌های شرکت در هنگام استفاده از اینترنت و همچنین استفاده از سیستمِ خودتان پیروی کنید.

 

۳. فقط از وای‌فای امن استفاده کنید

فقط از اتصالات اینترنتی امن و محافظت شده با پسوورد استفاده کنید. اگر مجبور هستید از وای‌فای عمومی استفاده کنید، مطمئن شوید شبکه‌ای که برای اتصال از آن استفاده می‌کنید، شبکه‌ای قانونی است و با پسوورد محافظت می‌شود. هرگز از یک شبکه وای‌فای عمومی برای دسترسی به اطلاعات محرمانه یا حساس استفاده نکنید. هکرها سعی می‌کنند با کپی کردن نام یک شبکه‌ی امن شما را فریب دهند، بنابراین شبکه‌ی مورد استفاده‌تان را دقیقا بررسی کرده و اطمینان حاصل کنید که شبکه‌ای که استفاده می‌کنید قانونی است. اگر این کار را نکنید، ممکن است به هکر اجازه دهید که بر شبکه تسلط پیدا کرده و به تمام اطلاعات شما در اینترنت دسترسی پیدا کند.

 

۴. گم شدن یا به سرقت رفتن دستگاه را فورا گزارش دهید

دورکاری، احتمال گم کردن یا به سرقت رفتن دستگاه‌تان را افزایش می‌دهد. در صورت گم شدن یا به سرقت رفتنِ دستگاه‌تان، فورا به کارکنان امنیت اطلاعات شرکت گزارش دهید تا ریسک کلاهبرداری را به حداقل برسانید.

 

برای کارفرمایان

۱. همین حالا دسترسی از راه دور را فعال کنید

اگر پرسنلی دارید که نیاز به دسترسی از راه دور دارند، همین حالا قبل از تعطیلی شرکت، اقدامات لازم را انجام دهید. صدور توکن‌های احراز هویت چندعاملی برای کارمندان خارج از محل[5] که برای اولین بار دورکاری می‌کنند و نصب و راه‌اندازی تکنولوژیِ مشابه بدون دسترسی فیزیکی، دشوارتر است.

 

۲. اطلاعات محرمانه، همچنان محرمانه هستند

به کارمندان یادآوری کنید که باید به همان اندازه که در محل کار خود مراقب اطلاعات محرمانه بودند، الان هم همچنان مراقب این اطلاعات باشند. برای کسب‌وکار شرکت، نباید از ایمیل شخصی استفاده شود و کارمندان باید مراقب پرینت‌هایی که در خانه می‌گیرند، باشند. اگر سندِ پرینت گرفته شده باید در محیطِ شرکت از بین برده می‌شد، کارمندان مراقب باشند که همان سند را در خانه نیز پاره کرده و از بین ببرند، یا این که اصلا آن را پرینت نگیرند.

 

۳. به کارمندان یادآوری کنید که از لپ‌تاپ‌های شخصی برای کار استفاده نکنند

از کارمندان‌تان بخواهید از لپ‌تاپ‌های خودِ شرکت استفاده کنند یا در صورتی که از سیستم کامپیوتریِ مورد استفاده‌شان مطمئن نیستند با پرسنل امنیت اطلاعات تماس بگیرند. استفاده از دستگاه‌ها و سیستم‌های شخصی، مشکلاتی را در مورد حفظ سند ایجاد می‌کند و خطر را افزایش می‌دهد. به علاوه، نرم‌افزار مورد استفاده در بعضی سیستم‌های خانگی ممکن است ماه‌ها یا حتی سال‌ها به ‌روزرسانی نشده باشند.

 

۴. تماس‌های اضطراری‌تان را به‌روزرسانی کنید

اطمینان حاصل کنید که شرکت شما یک شیوه‌ی «خارج از باند» برای تماس با تمام کارمندان- از طریق یک شماره موبایل یا روشی دیگر برای برقراری تماس با کارمندان در خارج از سیستم‌های شرکت- دارد. بدین ترتیب، اگر قرار باشد شرکت شما قربانیِ یک حمله (بدافزار، باج‌افزار[6] ، DDoS یا نوع دیگر) شود، شما قادر خواهید بود با کارمندان‌تان ارتباط برقرار کنید. بر روی یک اپلیکیشن پیام‌رسان امن مانند سیگنال، گروهی را برای کارکنان اصلی یا مدیر عامل راه‌اندازی کنید تا اگر سیستم‌ها غیر فعال شدند و امکان استفاده از ایمیل وجود نداشت، مدیر عامل بتواند بدون ترس از مداخله‌ی مجرمان سایبری با کارکنان ارتباط برقرار کند.

ابزارهای دسترسی از راه دور پیشرفت کرده‌اند تا حدی که حتی ۱۰ سال پیش غیر قابل تصور بود، و در نتیجه دورکاری را امکان‌پذیر ساخت. اما مانند امنیت تمام داده‌ها، قدرت دسترسی از راه دور به اندازه‌ی ضعیف‌ترین لینکِ آن است. با ترکیب قدرتمندِ تکنولوژی با مهارت و آموزش کارمندان، دسترسی از راه دور را می‌توان به طور امن و هوشمند انجام داد. امن بمانید و مراقب باشید.

خانم شارتون تمایل دارد که از کمک‌های همکارانش در گودوین، دیوید اس. کاتروویتز (مشاور حریم خصوصی و امنیت سایبری و دارنده‌ی رتبه‌ی Legal 500 وکیل «نسل بعدی») و اسکات دی. کوپچا (مدیر عامل امنیت اطلاعات) در این مقاله قدردانی کند.

 


برندا آر. شارتون عضو قضایی و رئیس کل دفتر حریم خصوصی و امنیت سایبری گودوین است. خانم شارتون جزو پیشروهای این زمینه است که تاکنون به صدها مورد تخلف در اطلاعات شرکت‌های دولتی و خصوصی و همچنین اقامه دعوی برای حریم خصوصی شرکت‌ها رسیدگی کرده است. در خصوص قانون سایبری او از سوی Legal 500 «وکیل برجسته» نامیده شد که از هر ۱۸ وکیل در ایالات متحده فقط به یک وکیل چنین لقبی اعطا می‌شود.


[1] Phishing Emails: ایمیل‌هایی برای ترغیب کاربران به افشای اطلاعات محرمانه شخصی با استفاده از هویت‌های جعلی و ساختگی.

[2] multi-factor authentication

[3] cyber hygiene

[4] internet router

[5] offsite employees

[6] ransom


منبع | مترجم: نرجس سعیدنیا

این مقاله در شماره ی زیر منتشر شده است:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *