Sa psihološke tačke gledišta, svi mi žudimo za pažnjom, a lajkovi i komentari hrane tu potrebu, podstičući nas da još više dijelimo na društvenim mrežama. U korporativnom svijetu, ovaj rizik se eksponencijalno povećava jer nije u pitanju samo naša lična informacija, već i sigurnost cijele kompanije.
Pretjerano dijeljenje na društvenim mrežama stvara cyber sigurnosni rizik za kompanije
Svaki podatak koji podijelimo je poput dijela slagalice. LinkedIn otkriva nazive radnih mjesta, Facebook i Instagram pružaju svakodnevne detalje iz naših života, a X (bivši Twitter) nudi uvid u stvarnovremenske informacije. Zajedno, ovi fragmenti mogu formirati mapu za cyber kriminalce i pomoći u stvaranju vrlo ciljanih phishing napada.
Napredak vještačke inteligencije dodatno unapređuje ovaj proces. Prema podacima kompanije Ivanti, generativna AI (GenAI) povećava efikasnost ovih napada, a istovremeno smanjuje njihove troškove. Analizom obrazaca aktivnosti na društvenim mrežama, AI može kreirati veoma personalizovane i uvjerljive phishing poruke.
Pretjerano dijeljenje informacija na društvenim mrežama stvara prilike za cyber kriminalce da prikupe detaljne profile korisnika. Ovo može uključivati hobije, planove za odmor, porodične podatke, pa čak i poslovna dostignuća.
Ovi detalji mogu omogućiti napadačima da se lažno predstave kao zaposleni ili da kreiraju emailove koji iskorištavaju te informacije, navodeći primaoca da klikne na maliciozne linkove ili otvori zaražene privitke.
Cyber kriminalci mogu koristiti društvene mreže da izgrade odnos sa zaposlenima i manipulišu ih kako bi izvršili radnje koje ugrožavaju sigurnost kompanije. Mogu se predstaviti kao kolege, poslovni partneri ili čak rukovodioci, koristeći informacije sa društvenih mreža da zvuče uvjerljivo.
Nedavni izvještaj kompanije Gen pokazuje da su društvene mreže postale glavni ciljevi za cyber kriminalce, pri čemu Facebook čini 56% identifikovanih prijetnji. Slijedi YouTube sa 24%, X sa 10%, dok Reddit i Instagram svaki imaju po 3%.
Mnogi zaposleni koriste iste lozinke za lične naloge na društvenim mrežama i za poslovne naloge, čime dovode korporativne podatke u opasnost. Iako je to zgodno, ova praksa znači da ako lični nalog bude kompromitovan, napadači mogu dobiti pristup i poslovnim sistemima.
Tokom 2023. godine, iranska hakerska grupa TA455 ciljala je zaposlene u avioindustriji tako što su se predstavljali kao regruteri za posao na LinkedInu, usmjeravajući žrtve na maliciozne web stranice koje distribuišu malver SnailResin s ciljem uspostavljanja trajnog pristupa sistemima.
CISO-i moraju adresirati ponašanje zaposlenih na društvenim mrežama
Glavni službenici za informatičku sigurnost (CISO) sada moraju uzeti u obzir ponašanje zaposlenih i izvan korporativnog sistema. Površina napada više ne završava na korporativnim uređajima – ona se proteže na LinkedIn profile, Instagram objave s odmora i ležerne tweetove.
Kompanije bi trebale uspostaviti politike koje definišu šta zaposlenici smiju objavljivati na društvenim mrežama, posebno u vezi sa svojim poslom i radnim okruženjem. Ove politike trebale bi uključivati ograničenja u dijeljenju osjetljivih informacija kao što su:
- Projekti na radnom mjestu: Zaposleni bi trebali izbjegavati objavljivanje informacija o tekućim projektima, nadolazećim lansiranjima proizvoda ili internim operacijama koje bi se mogle iskoristiti u sajber napadu.
- Poslovni odnosi: Ohrabrivanje zaposlenih da ne dijele detalje o svojim kolegama, nadređenima ili poslovnim partnerima može pomoći u izbjegavanju socijalno-inženjerskih napada.
- Nazivi radnih mjesta i odgovornosti: Trebalo bi jasno navesti da zaposleni ne bi trebali objavljivati osjetljive detalje o svojim ulogama, odgovornostima i lokacijama rada, jer se te informacije mogu koristiti za ciljani phishing ili lažno predstavljanje.
Problem sa objavama na društvenim mrežama je što postoji tanka linija između privatnosti i sigurnosti kompanije. CISO-i moraju balansirati – osigurati kompaniju, a da pritom ne nadziru šta zaposleni rade u svoje slobodno vrijeme.
Zato bi obuka o privatnosti trebala biti integrisana u politike cyber sigurnosti. Nije riječ o kontroli, već o jasnoći. CISO-i ne mogu samo nametati pravila – moraju osnažiti zaposlene da donose informisane odluke o tome šta dijele online, tražeći ravnotežu između lične slobode i sigurnosti kompanije.
Izvor:Help Net Security
