कैसे एक कर्मचारी आपके व्यवसाय को नष्ट कर सकता है: डिजिटल निरक्षरता के 7 उदाहरण
अपने काम प्रौद्योगिकी के / / December 28, 2020
हर दिन नए प्रकार के साइबर खतरे उभर रहे हैं। ऐसा लग सकता है कि हैकर्स और स्कैमर्स बाजार के दिग्गजों के बाद ही हैं। पर ये स्थिति नहीं है। सभी हमलों के 63% लक्ष्य हैं साइबर थ्रेटटैप रिपोर्ट छोटे व्यवसाय, और 60% छोटी कंपनियां साइबर हमले के बाद बंद हो रही हैं। इसके अलावा, हमलों के शिकार जरूरी सिलिकॉन वैली स्टार्टअप नहीं हैं। रूसी संघ के अभियोजक जनरल के कार्यालय ने दर्ज किया सूचना का खतरा: साइबर अपराधियों से अपने और अपने व्यवसाय की रक्षा कैसे करें 2019 के पहले छह महीनों में 180,153 साइबर अपराध। और यह 2018 की तुलना में 70% अधिक है।
यहां तक कि अगर आपके पास एक संपूर्ण आईटी विभाग है और सभी कंप्यूटरों पर एंटीवायरस सॉफ़्टवेयर स्थापित है, तो यह विश्वसनीय सुरक्षा के लिए पर्याप्त नहीं है। इसके अलावा, हमेशा एक मानवीय कारक होता है: कर्मचारियों के गलत कार्यों से डिजिटल आपदा हो सकती है। इसलिए, साइबर खतरों के बारे में अपनी टीम से बात करना और उन्हें यह समझाना ज़रूरी है कि उन्हें अपनी सुरक्षा कैसे करनी चाहिए। हमने सात स्थितियों को संकलित किया है, जहां एक व्यक्ति का अविवेक आपकी कंपनी को महंगा पड़ सकता है।
1. एक दुर्भावनापूर्ण लिंक का अनुसरण करना
- परिस्थिति: कर्मचारी के मेल पर एक ईमेल भेजा जाता है, जो एक परिचित पते से नियमित मेलिंग की तरह दिखता है। पत्र में एक बटन होता है जो एक ऐसी साइट की ओर जाता है जो किसी व्यक्ति में संदेह पैदा नहीं करता है। कर्मचारी लिंक का अनुसरण करता है और स्कैमर्स साइट पर पुनर्निर्देशित किया जाता है।
वर्णित तंत्र तथाकथित फ़िशिंग हमला है। Microsoft शोध कहता है माइक्रोसॉफ्ट रिसर्च: फिशिंग अटैक 2018 में 350% बढ़ायह सबसे सामान्य धोखाधड़ी योजनाओं में से एक है। 2018 में, ऐसे हमलों की संख्या में 350% की वृद्धि हुई। फ़िशिंग खतरनाक है क्योंकि इसमें सोशल इंजीनियरिंग के तत्व शामिल हैं: हमलावर किसी कंपनी या किसी व्यक्ति की ओर से ईमेल द्वारा ईमेल भेजते हैं, जिस पर पीड़ित निश्चित रूप से भरोसा करता है।
धोखाधड़ी की योजनाएँ अधिक से अधिक जटिल होती जा रही हैं: हमले कई चरणों में होते हैं, ईमेल अलग-अलग आईपी पते से भेजे जाते हैं। एक फ़िशिंग ईमेल को कंपनी के कार्यकारी के संदेश के रूप में भी प्रच्छन्न किया जा सकता है।
पकड़े नहीं जाने के लिए, आपको सभी पत्रों को ध्यान से पढ़ने की जरूरत है, पते में एक पत्र या प्रतीक में विसंगतियों पर ध्यान दें, और किसी भी संदेह के मामले में - कुछ करने से पहले प्रेषक से संपर्क करें।
अर्टिओम सिनित्सिन
मध्य और पूर्वी यूरोप में सूचना सुरक्षा कार्यक्रमों के निदेशक, माइक्रोसॉफ्ट।
नियमित साइबर स्पेस अशिक्षा के अलावा, "फील्ड एक्सरसाइज" करना भी आवश्यक है - नियंत्रित फ़िशिंग मेलिंग और रिकॉर्ड कितने लोग संदेश पढ़ते हैं, क्या वे पत्र के अंदर लिंक का अनुसरण करते हैं और संलग्न हैं दस्तावेजों। उदाहरण के लिए, Microsoft Office 365 में हमला सिम्युलेटर उपकरण शामिल है। यह आपको कुछ माउस क्लिक में ऐसी मेलिंग करने की अनुमति देता है और सटीक डेटा के साथ एक रिपोर्ट प्राप्त करता है।
2. एक संक्रमित फ़ाइल डाउनलोड करना
- परिस्थिति: कर्मचारी को काम करने के लिए नए सॉफ्टवेयर की आवश्यकता होती है। वह सार्वजनिक डोमेन में प्रोग्राम को डाउनलोड करने का फैसला करता है और एक साइट पर समाप्त होता है जहां मैलवेयर उपयोगी सॉफ़्टवेयर होने का दिखावा करता है।
इंटरनेट पर वायरस अक्सर काम करने वाले सॉफ्टवेयर के रूप में प्रच्छन्न होते हैं। इसे स्पूफिंग कहा जाता है - उपयोगकर्ता को नुकसान पहुंचाने के लिए किसी कार्यक्रम के उद्देश्य को गलत ठहराना। जैसे ही कोई कर्मचारी डाउनलोड की गई फ़ाइल को खोलता है, उसका कंप्यूटर जोखिम क्षेत्र में आता है। इसके अलावा, कुछ साइटें स्वचालित रूप से आपके कंप्यूटर पर दुर्भावनापूर्ण कोड डाउनलोड करती हैं - यहां तक कि आपके बिना भी कुछ डाउनलोड करने की कोशिश नहीं की जाती है। इन हमलों को ड्राइव-बाय डाउनलोड कहा जाता है।
आगे के परिणाम वायरस के प्रकार पर निर्भर करते हैं। रैंसमवेयर प्रचलित हुआ करता था: इसने कंप्यूटर को अवरुद्ध कर दिया और सामान्य ऑपरेशन पर लौटने के लिए उपयोगकर्ता से फिरौती की मांग की। अब, एक और विकल्प अधिक सामान्य है - हमलावर खनन क्रिप्टोकरेंसी के लिए अन्य लोगों के कंप्यूटर का उपयोग करते हैं। उसी समय, अन्य प्रक्रियाएं धीमी हो जाती हैं, और सिस्टम का प्रदर्शन कम हो जाता है। इसके अलावा, कंप्यूटर तक पहुंच होने पर, धोखेबाज किसी भी समय गोपनीय डेटा प्राप्त कर सकते हैं।
अर्टिओम सिनित्सिन
मध्य और पूर्वी यूरोप में सूचना सुरक्षा कार्यक्रमों के निदेशक, माइक्रोसॉफ्ट।
यह इन परिदृश्यों के कारण है कि स्वचालित वेबसाइट और वर्कफ़्लो में डाउनलोड की गई प्रतिष्ठा की जाँच करना महत्वपूर्ण है। उदाहरण के लिए, Microsoft उत्पाद स्मार्टस्क्रीन सेवा के माध्यम से प्रतिष्ठा विश्लेषण करते हैं। यह प्रतिदिन Microsoft क्लाउड में लगभग 8 ट्रिलियन सिग्नल को संसाधित करने से प्राप्त साइबर खुफिया डेटा का उपयोग करता है।
कंपनी के कर्मचारियों को पता होना चाहिए कि काम करने वाला सॉफ्टवेयर इंटरनेट से डाउनलोड नहीं किया जा सकता है। जो लोग वेब पर प्रोग्राम पोस्ट करते हैं, वे आपके डेटा और उपकरणों की सुरक्षा के लिए कोई जिम्मेदारी नहीं लेते हैं।
यह न केवल सुरक्षित है, बल्कि सुविधाजनक भी है: Office 365 के साथ आप सभी अनुप्रयोगों का उपयोग कर सकते हैं कार्यालय, आउटलुक ईमेल को कैलेंडर के साथ सिंक करें और वनड्राइव क्लाउड में सभी महत्वपूर्ण जानकारी रखें 1 टी.बी.
3. असुरक्षित चैनलों पर फ़ाइल स्थानांतरण
- परिस्थिति: कर्मचारी को एक सहयोगी के साथ गोपनीय जानकारी के साथ एक कार्य रिपोर्ट साझा करने की आवश्यकता होती है। इसे तेज करने के लिए, वह सोशल मीडिया पर फ़ाइल अपलोड करता है।
जब कर्मचारियों को कॉर्पोरेट चैट या अन्य कार्यालय सॉफ़्टवेयर का उपयोग करने में असुविधा होती है, तो वे वर्कअराउंड की तलाश करते हैं। जानबूझकर नुकसान नहीं पहुंचाना है, लेकिन सिर्फ इसलिए कि यह आसान है। यह समस्या इतनी व्यापक है कि इसके लिए एक विशेष शब्द भी है - छाया आईटी (शैडो आईटी)। यह इस प्रकार है कि वे एक ऐसी स्थिति का वर्णन करते हैं जब कर्मचारी अपनी सूचना प्रणाली को कंपनी की आईटी नीति द्वारा निर्धारित के विपरीत बनाते हैं।
यह स्पष्ट है कि एन्क्रिप्शन के बिना सोशल नेटवर्क या चैनलों के माध्यम से गोपनीय जानकारी और फ़ाइलों का हस्तांतरण डेटा रिसाव का एक उच्च जोखिम वहन करता है। कर्मचारियों को समझाएं कि आईटी विभाग द्वारा नियंत्रित प्रोटोकॉल का पालन करना क्यों महत्वपूर्ण है ताकि समस्याओं की स्थिति में, कर्मचारी व्यक्तिगत रूप से सूचना के नुकसान के लिए जिम्मेदार नहीं होंगे।
अर्टिओम सिनित्सिन
मध्य और पूर्वी यूरोप में सूचना सुरक्षा कार्यक्रमों के निदेशक, माइक्रोसॉफ्ट।
किसी संदेशवाहक या सामाजिक नेटवर्क में किसी फ़ाइल को स्थानांतरित करना, फिर उसे कई सहयोगियों की टिप्पणियों के साथ प्राप्त करना और इन सभी प्रतियों को अद्यतित रखना न केवल असुरक्षित है, बल्कि अप्रभावी भी है। फ़ाइल को क्लाउड में रखना बहुत आसान है, सभी प्रतिभागियों को अपनी भूमिकाओं के लिए उपयुक्त स्तर तक पहुंच प्रदान करें, और ऑनलाइन दस्तावेज़ पर काम करें। इसके अलावा, आप दस्तावेज़ की अवधि निर्धारित कर सकते हैं और समय समाप्त होने पर सह-लेखकों से एक्सेस अधिकारों को स्वचालित रूप से रद्द कर सकते हैं।
4. आउटडेटेड सॉफ्टवेयर और अपडेट की कमी
- परिस्थिति: कर्मचारी को एक नए सॉफ़्टवेयर संस्करण की रिलीज़ के बारे में एक सूचना मिलती है, लेकिन हर समय सिस्टम अपडेट को स्थगित कर देता है और पुराने पर काम करता है, क्योंकि "कोई समय नहीं है" और "बहुत काम"।
नए सॉफ्टवेयर संस्करण न केवल बग फिक्स और सुंदर इंटरफेस हैं। यह उभरते खतरों के साथ-साथ सूचना रिसाव चैनलों को अवरुद्ध करने के लिए प्रणाली का अनुकूलन भी है। फ्लेक्सरा कंपनी की रिपोर्ट दिखाया हैआप सिस्टम की भेद्यता को 86% तक कम कर सकते हैं, बस नवीनतम सॉफ्टवेयर अपडेट को स्थापित करके।
साइबर क्रिमिनल नियमित रूप से अन्य लोगों के सिस्टम में हैक करने के लिए अधिक परिष्कृत तरीके ढूंढते हैं। उदाहरण के लिए, 2020 में, साइबर इंटेलिजेंस का उपयोग साइबर हमले के लिए किया जाता है, और क्लाउड स्टोरेज की हैकिंग की संख्या बढ़ रही है। एक जोखिम के खिलाफ सुरक्षा प्रदान करना असंभव है जो कार्यक्रम से बाहर होने पर मौजूद नहीं था। इसलिए, सुरक्षा में सुधार करने का एकमात्र मौका हर समय नवीनतम संस्करण के साथ काम करना है।
बिना लाइसेंस वाले सॉफ़्टवेयर के साथ स्थिति समान है। ऐसे सॉफ़्टवेयर में फ़ंक्शंस का एक महत्वपूर्ण हिस्सा हो सकता है, और कोई भी इसके सही संचालन के लिए ज़िम्मेदार नहीं है। महत्वपूर्ण कॉर्पोरेट सूचनाओं को जोखिम में डालने और संपूर्ण कंपनी के संचालन को खतरे में डालने की तुलना में लाइसेंस प्राप्त और समर्थित सॉफ़्टवेयर के लिए भुगतान करना बहुत आसान है।
5. काम के लिए सार्वजनिक वाई-फाई नेटवर्क का उपयोग करना
- परिस्थिति: कर्मचारी एक कैफे या हवाई अड्डे में लैपटॉप के साथ काम करता है। यह सार्वजनिक नेटवर्क से जुड़ता है।
यदि आपके कर्मचारी दूर से काम करते हैं, तो उन्हें उन खतरों के बारे में शिक्षित करें जो सार्वजनिक हैं वाई - फाई। नेटवर्क खुद एक नकली हो सकता है, जिसके जरिए स्कैमर्स कोशिश करने पर कंप्यूटर से डेटा चुरा लेते हैं सम्बन्ध। लेकिन भले ही नेटवर्क वास्तविक हो, अन्य समस्याएं उत्पन्न हो सकती हैं।
एंड्रे बेशकोव
सॉफ्टलाइन में बिजनेस डेवलपमेंट के प्रमुख।
सार्वजनिक वाई-फाई का उपयोग करने के लिए मुख्य खतरे उपयोगकर्ता और वेबसाइट के बीच ट्रैफ़िक पर ग्रहण लगा रहे हैं। उदाहरण के लिए, एक सामाजिक नेटवर्क या कॉर्पोरेट अनुप्रयोग। दूसरा खतरा तब होता है जब एक हमलावर मध्य हमले में एक व्यक्ति को प्रदर्शन करता है और उपयोगकर्ता के ट्रैफ़िक को पुनर्निर्देशित करता है (उदाहरण के लिए, एक वैध संसाधन का अनुकरण करने वाली वेबसाइट की उसकी प्रति)।
इस तरह के हमले के परिणामस्वरूप, महत्वपूर्ण जानकारी, लॉगिन और पासवर्ड चोरी हो सकते हैं। स्कैमर आपकी ओर से संदेश भेजना शुरू कर सकते हैं और आपकी कंपनी से समझौता कर सकते हैं। केवल विश्वसनीय नेटवर्क से कनेक्ट करें और सार्वजनिक वाई-फाई पर गोपनीय जानकारी के साथ काम न करें।
6. सार्वजनिक सेवाओं के लिए महत्वपूर्ण जानकारी की नकल करना
- परिस्थिति: कर्मचारी को एक विदेशी सहयोगी से एक पत्र प्राप्त होता है। सब कुछ ठीक से समझने के लिए, वह पत्र को ब्राउज़र में अनुवादक को कॉपी करता है। पत्र में गोपनीय जानकारी होती है।
बड़ी कंपनियां अपने कॉर्पोरेट पाठ संपादकों और अनुवादकों को विकसित करती हैं और कर्मचारियों को केवल उनका उपयोग करने का निर्देश देती हैं। कारण सरल है: सार्वजनिक ऑनलाइन सेवाओं के भंडारण और प्रसंस्करण की जानकारी के लिए अपने नियम हैं। वे आपके डेटा की गोपनीयता के लिए ज़िम्मेदार नहीं हैं और इसे तीसरे पक्ष को स्थानांतरित कर सकते हैं।
आपको सार्वजनिक संसाधनों के लिए कॉर्पोरेट पत्राचार के महत्वपूर्ण दस्तावेज या टुकड़े अपलोड नहीं करने चाहिए। यह साक्षरता परीक्षण के लिए सेवाओं पर भी लागू होता है। इन संसाधनों के माध्यम से सूचना के रिसाव पहले ही हो चुके हैं थे. अपने स्वयं के सॉफ़्टवेयर बनाने के लिए आवश्यक नहीं है, यह काम कंप्यूटर पर विश्वसनीय कार्यक्रम स्थापित करने और कर्मचारियों को यह समझाने के लिए पर्याप्त है कि केवल उनका उपयोग करना क्यों महत्वपूर्ण है।
7. बहु-कारक प्रमाणीकरण को अनदेखा करना
- परिस्थिति: सिस्टम कर्मचारी को डिवाइस और फिंगरप्रिंट के साथ पासवर्ड जोड़ने के लिए प्रेरित करता है। कर्मचारी इस कदम को छोड़ देता है और केवल पासवर्ड का उपयोग करता है।
यदि आपके कर्मचारी अपने पासवर्ड को मॉनिटर से चिपके स्टिकर पर स्टोर नहीं करते हैं, तो यह बहुत अच्छा है। लेकिन नुकसान के जोखिम को खत्म करने के लिए पर्याप्त नहीं है। बंडल "पासवर्ड - लॉगिन" विश्वसनीय सुरक्षा के लिए पर्याप्त नहीं हैं, खासकर अगर एक कमजोर या अपर्याप्त रूप से लंबे पासवर्ड का उपयोग किया जाता है। माइक्रोसॉफ्ट के अनुसार, यदि एक खाता साइबर अपराधियों के हाथों में पड़ता है, तो 30% मामलों में उन्हें अन्य मानव खातों के पासवर्ड का अनुमान लगाने के लिए लगभग दस प्रयासों की आवश्यकता होती है।
बहु-कारक प्रमाणीकरण का उपयोग करें, जो लॉगिन / पासवर्ड जोड़ी में अन्य चेक जोड़ता है। उदाहरण के लिए, एक फिंगरप्रिंट, फेस आईडी, या एक अतिरिक्त उपकरण जो लॉगिन की पुष्टि करता है। बहु-कारक प्रमाणीकरण सुरक्षा करता है एक साधारण कार्रवाई आप अपने खातों पर 99.9 प्रतिशत हमलों को रोकने के लिए कर सकते हैं डेटा चुराने या खनन के लिए अपने डिवाइस का उपयोग करने के उद्देश्य से 99% हमले।
अर्टिओम सिनित्सिन
मध्य और पूर्वी यूरोप में सूचना सुरक्षा कार्यक्रमों के निदेशक, माइक्रोसॉफ्ट।
स्मार्टफोन पर प्रवेश करने के लिए लंबे और जटिल पासवर्ड विशेष रूप से असुविधाजनक हैं। यह वह जगह है जहां मल्टी-फैक्टर ऑथेंटिकेशन एक्सेस को बहुत आसान बना सकता है। यदि आप विशेष प्रमाणीकरण एप्लिकेशन (उदाहरण के लिए, Microsoft प्रमाणक) का उपयोग करते हैं, तो आपको अपने स्मार्टफ़ोन पर पासवर्ड का उपयोग करने की आवश्यकता नहीं है। लेकिन एक ही समय में, यदि आवश्यक हो, तो लैपटॉप और पीसी के लिए पासवर्ड प्रविष्टि अनिवार्य छोड़ दें।
फ़िशिंग, खाता हैकिंग और ईमेल संक्रमण सहित आधुनिक साइबरबैट से अपने व्यवसाय को बचाने के लिए, आपको विश्वसनीय सहयोग सेवाओं को चुनने की आवश्यकता है। प्रभावी सुरक्षा के लिए प्रौद्योगिकी और तंत्र को शुरू में उपयोग करने के लिए उत्पाद में एकीकृत किया जाना चाहिए यह यथासंभव सुविधाजनक था, और साथ ही साथ आपको डिजिटल के मामलों में समझौता करने की आवश्यकता नहीं थी सुरक्षा।
यही कारण है कि Microsoft Office 365 में कई बुद्धिमान सुरक्षा सुविधाएँ शामिल हैं। उदाहरण के लिए, बिल्ट-इन जोखिम मूल्यांकन मॉडल का उपयोग कर समझौता करने से खातों और लॉगिन प्रक्रियाओं की रक्षा करना, बहु-कारक प्रमाणीकरण जिसके लिए आपको अतिरिक्त लाइसेंस, या पासवर्ड रहित खरीदने की आवश्यकता नहीं है प्रमाणीकरण। सेवा जोखिम मूल्यांकन के साथ गतिशील एक्सेस कंट्रोल प्रदान करती है और कई स्थितियों को ध्यान में रखती है। ऑफिस 365 में बिल्ट-इन ऑटोमेशन और डेटा एनालिटिक्स भी हैं, और यह आपको उपकरणों को नियंत्रित करने और डेटा को रिसाव से बचाने की भी अनुमति देता है।
Office 365 के बारे में और जानें