Sākumlapa » Apdraudējumi » Četri “karaliski” veidi sava uzņēmuma datu izpaušanai

Četri “karaliski” veidi sava uzņēmuma datu izpaušanai

Nejauši nodot atklātībā slepenu informāciju mūsdienās ir itin viegli. Lūk, daži stāsti par to no Kaspersky ekspertiem, kā arī viņu padomi, kā mazināt sensitīvas informācijas noplūžu iespējamību.

 

 

Ja Instagram ievietojat attēlus ar koncertu biļetēm, neslēpjot svītrkodu, tad var gadīties, ka kāds apmeklēs šo koncertu jūsu vietā. Tas pats var notikt arī tad, ja slēpjat svītrkodu, bet izmantojat nepareizu rīku. Tomēr nav grūti atcerēties, ka nepieciešams noslēpt svītrkodu pirms palielīšanās ar biļetēm. Pavisam cita lieta, ja internetā ievietojat fotoattēlu, kurā pilnīgi nejauši gadījusies biļete vai, teiksim, piezīmju papīra lapiņa ar parolēm. Lūk, vairāki gadījumi, kad cilvēki publicējuši konfidenciālus datus, to nemaz neapzinoties.

 

1. Fotoattēli ar paroli fonā

Birojos un citās telpās uzņemti fotoattēli un videoklipi atklāj paroles un citus noslēpumus daudz biežāk, nekā varam iedomāties. Fotografējot savus kolēģus, reti kurš pievērš uzmanību attēla fonam, un rezultāts var būt kompromitējošs vai pat bīstams.

 

 

Armijnieku (ne)prāts

Lielbritānijas Karaliskie gaisa spēki (RAF) pamatīgi iegrābās 2012. gadā. Kopā ar fotoreportāžu par princi Viljamu, kurš toreiz dienēja kādā RAF vienībā, tika publicēti MilFLIP (Military Flight Information Publications) pieejas dati. Kembridžas hercogam aiz muguras sienu rotāja papīra lapiņa ar lietotājvārdu un paroli.

Drīz pēc fotogrāfiju publicēšanas karaliskās ģimenes oficiālajā vietnē šie attēli tika aizstāti ar retušētām versijām, bet izpaustos pieejas datus nomainīja. Nav zināms, vai tos atkal piesprauda pie sienas.

 

MilFLIP pieejas dati kā interjera rotājums. Avots: Naked Security.

MilFLIP pieejas dati kā interjera rotājums. Avots: Naked Security.

Notikums ar princi Viljamu nav nekas unikāls. Arī mazāk pazīstamas militārpersonas internetā izpauž noslēpumus gan ar preses palīdzību, gan bez tās. Piemēram, kāds virsnieks sociālajā tīklā publicēja selfiju uz darba datora fona, bet datora ekrānā bija redzama slepena informācija. Šis karakalps viegli tika cauri — tikai ar “pāraudzināšanu un apmācību”.

 

Noplūde tiešraidē

2015. gadā franču telekompānija TV5Monde kļuva par kiberuzbrukuma upuri. Nezināmas personas uzlauza un izkropļoja organizācijas interneta vietni un Facebook lapu, un televīzija uz vairākām stundām pārtrauca raidījumus.

Turpmākie notikumi pārvērta šo drāmu par farsu. Kāds TV5Monde darbinieks sniedza žurnālistiem interviju par uzbrukumu, bet tikmēr viņam aiz muguras bija redzamas uzņēmuma sociālo tīklu profilu paroles. Attēlos tekstu ir grūti izlasīt, taču entuziasti varēja iegūt vismaz TV5Monde YouTube konta paroli.

Vienlaicīgi tā bija arī mācība, kādu nevajag veidot paroli: attiecīgā slepenā frāze bija “lemotdepassedeyoutube”, kas tulkojumā no franču valodas burtiski nozīmē “youtubeparole”. Par laimi, uzņēmuma YouTube kontam un citiem kontiem neviens nebija ķēries klāt. Tomēr stāsts par parolēm fonā liek apdomāt sākotnējo kiberuzbrukumu.

 

TV5Monde darbinieks sniedz interviju uz paroļu fona. Avots: Ars Technica.

TV5Monde darbinieks sniedz interviju uz paroļu fona. Avots: Ars Technica.

Līdzīgs atgadījums notika tieši pirms Super Bowl XLVIII 2014. gadā, kad stadiona iekšējā Wi-Fi tīkla pieteikšanās dati iekļuva televīzijas kadrā. Lai būtu vēl trakāk, šie kadri tika uzņemti stadiona drošības komandcentrā.

 

Wi-Fi pieteikšanās dati, kas parādījās ekrānā stadiona komandcentrā. Avots: ZDNet.

Wi-Fi pieteikšanās dati, kas parādījās ekrānā stadiona komandcentrā. Avots: ZDNet.

 

2. Fitnesa ierīču izmantošana

Ierīces, kuras izmantojat, lai kontrolētu savu veselības stāvokli, itin labi var ļaut kādam citam kontrolēt jūs un no jūsu rokas kustībām iegūt konfidenciālus datus, piemēram, kredītkartes PIN kodu. Tiesa, pēdējais scenārijs nav gluži reāls.

Bet datu noplūde par slepenu objektu atrašanās vietu diemžēl ir pilnīgi patiesa. Piemēram, fitnesa lietotne Strava, kuras lietotāju skaits pārsniedz 10 miljonus, skrējēju maršrutus iezīmē publiski pieejamā kartē. Tā arī ir “izgaismojusi” ASV militārās bāzes.

Lai gan lietotni var konfigurēt tā, lai slēptu maršrutus no svešām acīm, šķiet, ka ne visi formastērpu nēsātāji ir apveltīti ar šādām tehniskām zināšanām.

 

Karavīru pārvietošanās kādā ASV militārā bāzē Afganistānā redzama Strava kartē. Avots: Strava.

Karavīru pārvietošanās kādā ASV militārā bāzē Afganistānā redzama Strava kartē. Avots: Strava.

Piesaucot jaunus informācijas noplūdes draudus, Pentagons 2018. gadā vienkārši aizliedza ASV karavīriem izmantot fitnesa ierīces. Protams, tiem, kas nedzīvo ASV karabāzēs, tas varētu būt pārspīlēts risinājums. Bet tik un tā ir ieteicams nežēlot laiku jūsu fitnesa lietotnes konfidencialitātes iestatījumu konfigurēšanai.

 

3. Nodevīgie metadati

Ir ļoti viegli aizmirst (vai vispār nezināt), ka noslēpumus dažreiz var saturēt informācija par failu jeb metadati. Proti, fotogrāfijas failā bieži vien ir norādītas tās vietas koordinātas, kur foto uzņemts.

2007. gadā ASV karavīri ievietoja internetā fotoattēlus ar helikopteriem, kas ierodas kādā bāzē Irākā. Attēlu metadatos bija precīzas atrašanās vietas koordinātas. Saskaņā ar vienu notikumu versiju informācija vēlāk tika izmantota ienaidnieka uzbrukumā, kurā tika iznīcināti četri helikopteri.

 

4. Neapdomīga dalīšanās sociālajos tīklos

Noslēpumus varat uzzināt, vienkārši aplūkojot kāda cilvēka draugu loku. Piemēram, ja pārdošanas menedžeri no kāda reģiona pēkšņi sāk parādīties uzņēmuma vadītāja draugu sarakstā, tad konkurenti var secināt, ka šī organizācija meklē jaunus tirgus, un pamēģināt aizsteigties tai priekšā.

2011. gadā Computerworld žurnāliste Šārona Mečlisa veica eksperimentu, lai uzzinātu, kādu informāciju var ievākt no LinkedIn. Tikai pēc 20 minūšu ilgas meklēšanas šajā vietnē viņa uzzināja Apple interneta forumu moderatoru skaitu, uzņēmuma cilvēkresursu nodaļas struktūru un daudz ko citu. Kā atzīst autore, viņa neatrada nekādus komercnoslēpumus, taču Apple lepojas ar to, ka pret konfidencialitāti izturas daudz nopietnāk nekā jebkurš vidusmēra uzņēmums. Tikmēr no HP viceprezidenta darba pienākumu saraksta, kas publicēts tajā pašā LinkedIn, ikviens varēja uzzināt, kādus mākoņpakalpojumus izstrādā šis uzņēmums.

 

Kā izvairīties no netīšas datu izpaušanas

Darbinieki netīši var daudz ko izpaust par uzņēmumu. Lai noslēpumi nekļūtu plaši zināmi, izstrādājiet stingrus noteikumus par informācijas publicēšanu internetā un informējiet visus savus darbiniekus.

  • Uzņemot fotogrāfijas un videoklipus, ko paredzēts ievietot sociālajos tīklos, pārliecinieties, ka kadrā nav nekā lieka. Tas pats attiecas uz gadījumiem, kad kāds fotografē vai filmē jūs vai jūsu biroju. Žurnālistiem tas nerūp, bet, iespējams, ka kādam noderēs jūsu paroles, ja tās parādīsies internetā. Ļaujiet fotografēt un filmēt tikai speciāli šim nolūkam paredzētā vietā. Ja tādas vietas nav, tad iepriekš vismaz pārbaudiet sienas un galdus.
  • Ņemiet vērā arī to, ko citi var saskatīt jums aiz muguras videozvanu un telekonferenču laikā — pat ja runājat ar saviem kolēģiem vai partneriem.
  • Sociālajos tīklos noslēpiet sensitīvus personiskos un biznesa kontaktus. Atcerieties, ka konkurenti, krāpnieki un vienkārši nelabvēļi var tos izmantot pret jums.
  • Pirms faila ievietošanas internetā izdzēsiet tā metadatus. Windows datorā to var izdarīt faila rekvizītos; viedtālruņiem ir īpašas lietotnes šim nolūkam. Lasītājiem nav jāzina, kur uzņemts fotoattēls vai kurā datora izveidots dokuments.
  • Pirms sākt lielīties ar panākumiem darbā apdomājiet, vai tas patiesībā nav komercnoslēpums. Iespējams, ka nav prātīgi tik sīki vēstīt par savu triumfu.

Darbiniekiem skaidri jāzina, kura informācija ir konfidenciāla un kā ar to rīkoties. Kaspersky automatizētajā kiberdrošības apmācību platformā ir pieejams apmācību kurss (pašlaik nav latviešu valodas versijas), kas veltīts tieši šai tēmai.

 

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 47 = 55

Uz augšu