ทำงานกับฟรีแลนซ์อย่างไรให้ปลอดภัยทางไซเบอร์

15 Mar 2022

ผู้เชี่ยวชาญของแคสเปอร์สกี้เผยวิธีการป้องกันภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับฟรีแลนซ์

ทำงานกับฟรีแลนซ์อย่างไรให้ปลอดภัยทางไซเบอร์

การทำงานกับฟรีแลนซ์เป็นเรื่องปกติทั่วไปสำหรับผู้จัดการหลายคนมานานแล้ว แม้แต่ในองค์กรขนาดใหญ่ งานบางอย่างก็ไม่สามารถจัดการได้ภายในทีม รวมถึงธุรกิจขนาดเล็กที่ปกติไม่สามารถจ้างพนักงานเพิ่มได้ แต่การเชื่อมโยงบุคคลภายนอกเข้ากับกระบวนการทำงานแบบดิจิทัลสามารถเพิ่มความเสี่ยงทางไซเบอร์ได้ โดยเฉพาะอย่างยิ่งเมื่อทำงานติดต่อกับตัวบุคคลโดยตรงโดยไม่ผ่านตัวแทนคนกลาง

อันตรายจากอีเมลขาเข้า

ในการค้นหาฟรีแลนซ์ที่เหมาะสม คุณควรเริ่มคิดถึงภัยคุกคามที่อาจเกิดขึ้น เมื่อจะว่าจ้างใครสักคน เรามักจะขอดูพอร์ตโฟลิโอประวัติและผลงานก่อน ฟรีแลนซ์จะส่งเอกสาร ไฟล์ผลงาน หรือลิงก์ไปยังเว็บไซต์ของเธิร์ดปาร์ตี้

นักวิจัยมักพบช่องโหว่ในเบราว์เซอร์หรือชุดโปรแกรมสำนักงาน ผู้โจมตีสามารถเข้าควบคุมคอมพิวเตอร์ขององค์กรได้หลายครั้งโดยการแทรกสคริปต์ที่เป็นอันตรายลงในเอกสารข้อความ หรือโดยการฝังชุดช่องโหว่ในโค้ดเว็บไซต์ แต่บางครั้งเทคนิคดังกล่าวอาจไม่จำเป็น พนักงานบางคนพร้อมที่จะคลิกไฟล์ที่ได้รับโดยไม่ดูส่วนขยายก่อน และเปิดใช้ไฟล์ปฏิบัติการโดยไม่ระมัดระวัง

ผู้โจมตีสามารถแสดงพอร์ตโฟลิโอปกติได้ (ซึ่งอาจไม่ใช่ผลงานของตัวเอง) และส่งไฟล์ที่เป็นอันตรายในภายหลัง นอกจากนี้ ผู้โจมตีสามารถควบคุมคอมพิวเตอร์หรือเมลบ็อกซ์ของฟรีแลนซ์ และใช้เพื่อโจมตีบริษัทของคุณได้ เพราะไม่มีใครรู้ว่าอุปกรณ์หรือบัญชีของฟรีแลนซ์ได้รับการปกป้องอย่างไร และความปลอดภัยด้านไอทีของคุณก็ไม่สามารถควบคุมสิ่งที่เกิดขึ้นได้ คุณไม่ควรถือว่าไฟล์ที่ได้รับนั้นเชื่อถือได้ แม้ว่าจะมาจากฟรีแลนซ์ที่คุณทำงานด้วยมาหลายปีแล้วก็ตาม

มาตรการรับมือ: หากคุณต้องการทำงานกับเอกสารที่สร้างขึ้นนอกโครงสร้างพื้นฐานของบริษัท การรักษาสุขอนามัยดิจิทัลเป็นสิ่งสำคัญสูงสุด พนักงานทุกคนควรตระหนักถึงภัยคุกคามทางไซเบอร์ที่เกี่ยวข้อง ดังนั้นจึงควรยกระดับความตระหนักด้านความปลอดภัยของตน นอกจากนี้ เราสามารถให้คำแนะนำที่ใช้งานได้จริงดังนี้

  • ตั้งกฎเกณฑ์ที่เข้มงวดสำหรับการแลกเปลี่ยนเอกสาร และห้ามเปิดไฟล์หากไม่ปฏิบัติตามกฎเหล่านี้ ไม่ควรรับส่งไฟล์ที่ขยายตัวเองได้ สำหรับไฟล์ที่ต้องใช้รหัสผ่านนั้น อาจจำเป็นต้องเลี่ยงผ่านตัวกรองป้องกันมัลแวร์ในอีเมลเท่านั้น
  • แยกใช้งานคอมพิวเตอร์ต่างหาก โดยแยกออกจากเครือข่าย หรือใช้เครื่องเสมือนเพื่อทำงานกับไฟล์จากแหล่งภายนอก หรืออย่างน้อยก็ตรวจสอบก่อน วิธีนี้จะช่วยลดความเสียหายที่อาจเกิดขึ้นได้อย่างมากในกรณีที่มีการติดมัลแวร์
  • ตรวจสอบการติดตั้งคอมพิวเตอร์เครื่องนี้หรือเครื่องเสมือนด้วยโซลูชันการรักษาความปลอดภัยเพื่อป้องกันการใช้ประโยชน์จากจุดอ่อนหรือคลิกลิงก์ไปยังเว็บไซต์ที่เป็นอันตราย

สิทธิ์การเข้าถึง

ในการทำงานร่วมกันในโครงการ ฟรีแลนซ์มักจะเข้าถึงระบบดิจิทัลของบริษัท ได้แก่ แพลตฟอร์มการแชร์ไฟล์ ระบบการจัดการโครงการ บริการการประชุม โปรแกรมส่งข้อความภายใน บริการคลาวด์ และอื่นๆ ดังนั้นคุณจะต้องหลีกเลี่ยงข้อผิดพลาดสองประการ นั่นคือ อย่าให้สิทธิ์การเข้าถึงแก่ฟรีแลนซ์มากเกินไป และอย่าลืมเพิกถอนการเข้าถึงหลังจากงานเสร็จสิ้น

ในการให้สิทธิ์การเข้าถึง เป็นการดีที่สุดที่จะปฏิบัติตามหลักการของสิทธิพิเศษน้อยที่สุด ฟรีแลนซ์ควรมีสิทธิ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นสำหรับโครงการปัจจุบันเท่านั้น เข้าถึงพื้นที่จัดเก็บไฟล์ได้ไม่จำกัด หรือแม้แต่ประวัติการแชทซึ่งอาจเป็นภัยคุกคามได้ อย่าประมาทข้อมูลที่เก็บไว้ในบริการเสริมต่างๆ

ตัวอย่างเช่น การแฮ็กทวิตเตอร์ในปี 2020 เริ่มขึ้นเมื่อผู้โจมตีเข้าถึงแชทภายในขององค์กรโดยใช้วิธีวิศวกรรมทางสังคม สามารถโน้มน้าวพนักงานบริษัทให้อนุญาตให้เข้าถึงบัญชีได้หลายสิบบัญชี

การเพิกถอนสิทธิหลังสิ้นสุดโครงการนั้นไม่ถือเป็นเรื่องทางการ มักไม่มีการแจ้งภายหลังจากทำงานเสร็จแล้ว การสร้างบัญชีเพิ่มเติมที่สามารถเข้าถึงข้อมูลบริษัทได้นั้นไม่ใช่เรื่องดี จะเกิดอะไรขึ้นหากฟรีแลนซ์ตั้งรหัสผ่านที่ไม่รัดกุมหรือใช้รหัสผ่านซ้ำจากบัญชีอื่นๆ ที่มีอยู่ ในกรณีที่มีการรั่วไหล ก็จะเป็นจุดอ่อนเพิ่มเติมในเครือข่ายองค์กรของคุณ

มาตรการรับมือ: สิ่งที่สำคัญที่สุดคือการลบหรือปิดใช้งานบัญชีของฟรีแลนซ์หลังจากสิ้นสุดการจ้างงาน หรืออย่างน้อยที่สุด ให้เปลี่ยนอีเมลและรหัสผ่านที่เกี่ยวข้อง อาจจำเป็นต้องให้ระบบลบข้อมูลทั้งหมดที่เชื่อมโยงกับบัญชีดังกล่าว นอกจากนี้ เราขอแนะนำดังต่อไปนี้

  • Requiring contractors to maintain good digital hygiene and use security solutions (at least free ones) on the devices they use to connect to company resources.
  • Enforcing two-factor authentication in all cloud systems wherever possible.
  • Setting up a separate infrastructure for the freelancers' and subcontractors' projects and files, if possible.
  • Scanning all files uploaded to the cloud storage or corporate server for malware.
  • เก็บบันทึกผู้ที่สามารถเข้าถึงบริการไว้ที่ส่วนกลาง วิธีนี้จะช่วยให้คุณเพิกถอนสิทธิ์ทั้งหมดหลังจากสิ้นสุดโครงการ และในทางกลับกัน อาจมีประโยชน์ในการตรวจสอบเหตุการณ์ที่เกิดขึ้น
  • กำหนดให้ผู้รับว่าจ้างรักษาสุขอนามัยดิจิทัลที่ดี และใช้โซลูชันการรักษาความปลอดภัย (อย่างน้อยก็ใช้โซลูชันฟรี) บนอุปกรณ์ที่ใช้เชื่อมต่อกับทรัพยากรของบริษัท
  • ใช้การรับรองความถูกต้องด้วยสองปัจจัยในระบบคลาวด์ทั้งหมดในทุกที่ที่ทำได้
  • หากเป็นไปได้ ให้ตั้งค่าโครงสร้างพื้นฐานแยกต่างหากสำหรับโครงการและไฟล์ของผู้รับว่าจ้างและฟรีแลนซ์
  • สแกนไฟล์ทั้งหมดที่อัปโหลดไปยังที่เก็บข้อมูลบนคลาวด์หรือเซิร์ฟเวอร์ขององค์กรเพื่อหามัลแวร์

HTML::image(