Event z cyberprzestępcą. Czy służbowe spotkanie może być zagrożeniem dla naszych danych?
Autor:
Konferencja branżowa, spotkanie z dziennikarzami czy event dla pracowników. To część PR-owej pracy. Wydaje się, że największym zagrożeniem dla powodzenia takiego przedsięwzięcia jest awaria sprzętu, słaby catering, niedostateczna frekwencja czy nieobecny prelegent. Zajęci sprawami organizacyjnymi możemy jednak popełnić błędy, które w znacznie poważniejszy sposób wpłyną na wizerunek naszych firm.
Czytaj także: Social media? Lubię to! Tak samo jak cyberprzestępcy
Event zazwyczaj nie kojarzy nam się z niebezpieczeństwem. Owszem, coś może nie pójść po naszej myśli, ale zwykle jesteśmy przygotowani na takie sytuacje i wiemy, jak zareagować. Warto pamiętać jednak, że podczas wszelkich firmowych spotkań wciąż jesteśmy w pracy i realizujemy służbowe zadania: logujemy się do systemów firmowych, przesyłamy poufne informacje itd. I o ile w biurze potrafimy zazwyczaj zadbać o to, aby nasze komputery, smartfony i tym samym dane pozostały bezpieczne, o tyle w przestrzeni publicznej łatwo dajemy się złapać w pułapki zastawione przez cyberprzestępców. Co nam grozi?
Hotelowe sieci WiFi
Jaka jest pierwsza czynność, którą wykonujemy po wejściu do pokoju hotelowego lub sali konferencyjnej? Zazwyczaj sprawdzamy, czy jest WiFi i łączymy się z dostępną siecią. Później korzystamy z internetu także w celach służbowych. Warto jednak pamiętać, że sieci hotelowe są bardzo często pełne luk w zabezpieczeniach i mogą stać się celem ataków hakerskich. Co więcej – nie raz już się stały.
W 2016 i 2017 roku jedna z grup cyberprzestępczych zaatakowała część hoteli wyższej kategorii w Europie i na Bliskim Wschodzie, aby dostać się do komputerów i danych ich gości – często członków zarządów dobrze prosperujących firm. Tego typu kampanie zdarzają się regularnie i mają różną formę. Tracą osoby, które ufają, że hotelowe WiFi jest bezpieczne.
Co zrobić, aby uniknąć ataków? Najlepiej korzystać z rozwiązań VPN, których zadaniem jest szyfrowanie całej komunikacji cyfrowej. Bez VPN-a nie powinno się wchodzić na strony, które wymagają od nas podania haseł dostępowych do różnych usług i systemów. Warto też unikać przeprowadzania aktualizacji systemu operacyjnego czy aplikacji na urządzeniach podłączonych do niezaufanych, publicznych sieci WiFi, aby wraz z aktualizacją nie zainstalować na laptopie czy smartfonie „niespodzianki” od hakera.
Komputer bez opieki
Nie musimy wchodzić do niezabezpieczonej sieci, aby otworzyć przestępcy furtkę do firmowych danych. W ferworze pracy, nawale spotkań, problemów, które piętrzą się podczas eventu, możemy nieświadomie pozostawić bez opieki komputer, tablet czy telefon. Takie porzucone nawet na chwilę urządzenia to gratka dla przestępców, którzy mogą je ukraść lub – zwłaszcza jeśli nie są zabezpieczone hasłem – bez większych problemów na miejscu dostać się do przechowywanych na nich informacji, a nawet zainfekować je złośliwym oprogramowaniem.
Ogólnodostępne urządzenia mobilne
Zdarza się, że hotel, restauracja lub centrum konferencyjne udostępniają gościom swoje komputery czy tablety. Jest to oczywiście bonus, warto jednak pamiętać o tym, aby korzystając z nich, nie logować się do żadnych systemów i usług oraz nie używać poufnych danych. Tak naprawdę tego typu ogólnodostępne urządzenia powinny nam służyć najwyżej do sprawdzania stron z newsami czy do prostego wyszukiwania potrzebnych informacji. Trzeba pamiętać, że na każdym z nich mogło zostać zainstalowane złośliwe oprogramowanie, które przechwyci nasze dane, łącznie z tymi, których używamy do logowania (login i hasło).
Niepowołani słuchacze wykładów i rozmów kuluarowych
Pożywką dla cyberprzestępców specjalizujących się w atakach socjotechnicznych mogą stać się spotkania strategiczne firm. Dlaczego? Ponieważ cały atak przeprowadzony za pomocą nowych technologii opierają oni na szczegółowych informacjach dotyczących firmy, osób w niej pracujących, sposobu zarządzania, zwracania się do siebie członków zespołów, imion i nazwisk konkretnych pracowników itd. To naprawdę duży problem. Raport Verison (2018 Data Breach Investigations Report) pokazuje jasno, że socjotechnika i błędy pracowników stanowią jedne z największych cyberzagrożeń dla firm. Wiele danych, których hakerzy używają do ukierunkowanych ataków, można zdradzić podczas spotkań wewnętrznych lub w rozmowach kuluarowych. Dlatego jeśli tego typu eventy odbywają się w centrach konferencyjnych lub hotelach, warto zadbać o to, aby na salę wykładową mogli wejść tylko pracownicy.
Nieznane pamięci USB
Materiały konferencyjne, zdjęcia ze spotkania, film z wieczoru integracyjnego. Znajdujesz na biurku lub w kopercie zaadresowanej na Twoje nazwisko pendrive nieznanego pochodzenia, rzekomo zawierający takie pliki? Nie otwieraj go, jeśli nie masz pewności, od kogo przyszedł. Pamięci USB zamiast obiecanych plików mogą zawierać szkodliwe oprogramowanie, które instaluje się na komputerze i wykrada dane. To bardzo popularny sposób aplikowania wirusów do komputerów, które nawet nie muszą być połączone z internetem. Tylko w II kwartale 2017 roku technologie Kaspersky Lab wykryły i zablokowały w Polsce ponad 17,2 mln ataków, opierających się na infekcjach inicjowanych z nośników takich jak USB czy CD/DVD.
Event dla pracowników, klientów czy dziennikarzy to świetna okazja do nawiązania i wzmocnienia relacji z ludźmi, z którymi na co dzień współpracujemy. To też stały element PR-owej pracy. W organizacyjnym zamieszaniu, które zwykle towarzyszy takim wydarzeniom, łatwo jednak o nierozważny krok prowadzący do utraty firmowych danych. Warto zachować ostrożność, by uchronić siebie i firmę przed poważnymi konsekwencjami finansowymi i wizerunkowymi.
Magdalena Grochala. Z branżą PR związana od 2006 roku. Wspólniczka w agencji Symetria Public Relations, wcześniej PR Manager w firmie Comarch. Na początku swojej ścieżki zawodowej współpracowała z mediami, m.in. z Programem Pierwszym Polskiego Radia. Wykładowczyni na studiach podyplomowych w Wyższej Szkole Europejskiej. Autorka artykułów eksperckich, prelegentka konferencji branżowych, współautorka badań branży PR oraz merytorycznych spotkań dla PR-owców Komu Komunikacja. Absolwentka filologii polskiej oraz dziennikarstwa i komunikacji społecznej na Uniwersytecie Jagiellońskim. Od kilku lat w ramach współpracy z firmą McAfee zajmuje się tematyką walki z cyberzagrożeniami. Ukończyła też studia podyplomowe z zakresu cyberbezpieczeństwa na Akademii Górniczo-Hutniczej w Krakowie.