ผู้เชี่ยวชาญของแคสเปอร์สกี้เผยวิธีการป้องกันภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับฟรีแลนซ์
การทำงานกับฟรีแลนซ์เป็นเรื่องปกติทั่วไปสำหรับผู้จัดการหลายคนมานานแล้ว แม้แต่ในองค์กรขนาดใหญ่ งานบางอย่างก็ไม่สามารถจัดการได้ภายในทีม รวมถึงธุรกิจขนาดเล็กที่ปกติไม่สามารถจ้างพนักงานเพิ่มได้ แต่การเชื่อมโยงบุคคลภายนอกเข้ากับกระบวนการทำงานแบบดิจิทัลสามารถเพิ่มความเสี่ยงทางไซเบอร์ได้ โดยเฉพาะอย่างยิ่งเมื่อทำงานติดต่อกับตัวบุคคลโดยตรงโดยไม่ผ่านตัวแทนคนกลาง
อันตรายจากอีเมลขาเข้า
ในการค้นหาฟรีแลนซ์ที่เหมาะสม คุณควรเริ่มคิดถึงภัยคุกคามที่อาจเกิดขึ้น เมื่อจะว่าจ้างใครสักคน เรามักจะขอดูพอร์ตโฟลิโอประวัติและผลงานก่อน ฟรีแลนซ์จะส่งเอกสาร ไฟล์ผลงาน หรือลิงก์ไปยังเว็บไซต์ของเธิร์ดปาร์ตี้
นักวิจัยมักพบช่องโหว่ในเบราว์เซอร์หรือชุดโปรแกรมสำนักงาน ผู้โจมตีสามารถเข้าควบคุมคอมพิวเตอร์ขององค์กรได้หลายครั้งโดยการแทรกสคริปต์ที่เป็นอันตรายลงในเอกสารข้อความ หรือโดยการฝังชุดช่องโหว่ในโค้ดเว็บไซต์ แต่บางครั้งเทคนิคดังกล่าวอาจไม่จำเป็น พนักงานบางคนพร้อมที่จะคลิกไฟล์ที่ได้รับโดยไม่ดูส่วนขยายก่อน และเปิดใช้ไฟล์ปฏิบัติการโดยไม่ระมัดระวัง
ผู้โจมตีสามารถแสดงพอร์ตโฟลิโอปกติได้ (ซึ่งอาจไม่ใช่ผลงานของตัวเอง) และส่งไฟล์ที่เป็นอันตรายในภายหลัง นอกจากนี้ ผู้โจมตีสามารถควบคุมคอมพิวเตอร์หรือเมลบ็อกซ์ของฟรีแลนซ์ และใช้เพื่อโจมตีบริษัทของคุณได้ เพราะไม่มีใครรู้ว่าอุปกรณ์หรือบัญชีของฟรีแลนซ์ได้รับการปกป้องอย่างไร และความปลอดภัยด้านไอทีของคุณก็ไม่สามารถควบคุมสิ่งที่เกิดขึ้นได้ คุณไม่ควรถือว่าไฟล์ที่ได้รับนั้นเชื่อถือได้ แม้ว่าจะมาจากฟรีแลนซ์ที่คุณทำงานด้วยมาหลายปีแล้วก็ตาม
มาตรการรับมือ: หากคุณต้องการทำงานกับเอกสารที่สร้างขึ้นนอกโครงสร้างพื้นฐานของบริษัท การรักษาสุขอนามัยดิจิทัลเป็นสิ่งสำคัญสูงสุด พนักงานทุกคนควรตระหนักถึงภัยคุกคามทางไซเบอร์ที่เกี่ยวข้อง ดังนั้นจึงควรยกระดับความตระหนักด้านความปลอดภัยของตน นอกจากนี้ เราสามารถให้คำแนะนำที่ใช้งานได้จริงดังนี้
สิทธิ์การเข้าถึง
ในการทำงานร่วมกันในโครงการ ฟรีแลนซ์มักจะเข้าถึงระบบดิจิทัลของบริษัท ได้แก่ แพลตฟอร์มการแชร์ไฟล์ ระบบการจัดการโครงการ บริการการประชุม โปรแกรมส่งข้อความภายใน บริการคลาวด์ และอื่นๆ ดังนั้นคุณจะต้องหลีกเลี่ยงข้อผิดพลาดสองประการ นั่นคือ อย่าให้สิทธิ์การเข้าถึงแก่ฟรีแลนซ์มากเกินไป และอย่าลืมเพิกถอนการเข้าถึงหลังจากงานเสร็จสิ้น
ในการให้สิทธิ์การเข้าถึง เป็นการดีที่สุดที่จะปฏิบัติตามหลักการของสิทธิพิเศษน้อยที่สุด ฟรีแลนซ์ควรมีสิทธิ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นสำหรับโครงการปัจจุบันเท่านั้น เข้าถึงพื้นที่จัดเก็บไฟล์ได้ไม่จำกัด หรือแม้แต่ประวัติการแชทซึ่งอาจเป็นภัยคุกคามได้ อย่าประมาทข้อมูลที่เก็บไว้ในบริการเสริมต่างๆ
ตัวอย่างเช่น การแฮ็กทวิตเตอร์ในปี 2020 เริ่มขึ้นเมื่อผู้โจมตีเข้าถึงแชทภายในขององค์กรโดยใช้วิธีวิศวกรรมทางสังคม สามารถโน้มน้าวพนักงานบริษัทให้อนุญาตให้เข้าถึงบัญชีได้หลายสิบบัญชี
การเพิกถอนสิทธิหลังสิ้นสุดโครงการนั้นไม่ถือเป็นเรื่องทางการ มักไม่มีการแจ้งภายหลังจากทำงานเสร็จแล้ว การสร้างบัญชีเพิ่มเติมที่สามารถเข้าถึงข้อมูลบริษัทได้นั้นไม่ใช่เรื่องดี จะเกิดอะไรขึ้นหากฟรีแลนซ์ตั้งรหัสผ่านที่ไม่รัดกุมหรือใช้รหัสผ่านซ้ำจากบัญชีอื่นๆ ที่มีอยู่ ในกรณีที่มีการรั่วไหล ก็จะเป็นจุดอ่อนเพิ่มเติมในเครือข่ายองค์กรของคุณ
มาตรการรับมือ: สิ่งที่สำคัญที่สุดคือการลบหรือปิดใช้งานบัญชีของฟรีแลนซ์หลังจากสิ้นสุดการจ้างงาน หรืออย่างน้อยที่สุด ให้เปลี่ยนอีเมลและรหัสผ่านที่เกี่ยวข้อง อาจจำเป็นต้องให้ระบบลบข้อมูลทั้งหมดที่เชื่อมโยงกับบัญชีดังกล่าว นอกจากนี้ เราขอแนะนำดังต่อไปนี้
ติดต่อเราได้ที่ facebook.com/newswit