Kebanyakan pekerja tidak menjangkakan untuk sedar bahawa hari gaji telah ditangguhkan kerana pancingan data. Dan anda mungkin tidak akan meneka bahawa CFO menjalankan kesibukan sampingannya daripada komputer syarikat, atau bukti kelayakan korporat pekerja berada di web gelap kerana masa kerja yang dihabiskan di tapak temu janji. Internet yang ketinggalan bukanlah sesuatu yang mengejutkan, tetapi mengetahui lebar jalur itu sedang diasingkan daripada rancangan webcam ‘bertema dewasa’ pekerja adalah sentuhan yang lebih membimbangkan. Selamat datang ke kehidupan profesional keselamatan IT.
Kisah seperti ini boleh menjadi tipikal untuk profesional keselamatan IT. Malah, ancaman keselamatan siber – -dari dalam dan luar syarikat — telah menjadi begitu besar sehingga keselamatan siber telah mengambil nyawanya sendiri dalam sektor IT. Ia menjadi begitu besar sehingga permintaan untuk profesional keselamatan siber semakin meningkat dengan cara yang besar. Menurut data daripada data CyberSeek, kerjaya keselamatan siber percuma dan sumber tenaga kerja, hanya di AS sahaja, “terdapat 301,873 peluang pekerjaan keselamatan siber di sektor swasta dan awam dalam tempoh 12 bulan antara April 2017 dan Mac 2018.” Cerita seram keselamatan siber korporat seperti yang anda akan baca adalah sebab utama mengapa.
Mengacarakan Rancangan Dewasa di Pelayan Korporat
Walaupun tingkah laku dalam talian yang tidak sesuai nampaknya menjadi isu utama dalam dunia IT, banyak kali ia tidak ditunjukkan oleh penggodam, tetapi oleh pekerja dalaman. Raj Goel, pengasas penyedia perkhidmatan terurus (MSP) Brainlink yang berpangkalan di NYC berpendapat, dalam 20 tahun lebihnya dalam IT, dia telah melihat semuanya. Tetapi satu kejadian baru-baru ini adalah sesuatu yang tidak pernah dia bayangkan.
CFO pelanggan menghubungi Brainlink untuk mengetahui sebab jabatan IT mereka sentiasa kehabisan lebar jalur, walaupun selepas mereka baru sahaja membelanjakan wang untuk naik taraf.
“Orang-orang ini mempunyai apa yang saya panggil ‘paip gemuk,’ kata Goel, “tetapi atas sebab tertentu, ahli IT mereka terus mengatakan bahawa mereka kenyang sepenuhnya. Oleh itu, saya melihat dan mendapati bahawa salah seorang ahli IT yang sama menjalankan tapak web bayar setiap tontonan webcam di luar rangkaian syarikat. Ia adalah tapak lucah, dan nampaknya teman wanitanya dan rakan-rakannya adalah bakatnya.”
Lebih mengejutkan: Ini berterusan selama lebih daripada dua tahun, dan tiada siapa yang menangkapnya—walaupun selepas tindakan pekerja ini merugikan syarikat lebih daripada $180,000 dan keperluan untuk menaik taraf rangkaiannya setiap tiga bulan kerana ia berjalan sangat perlahan.
Oleh itu, saya melihat dan mendapati bahawa salah seorang ahli IT yang sama menjalankan tapak web bayar setiap tontonan webcam di luar rangkaian syarikat. Ia adalah tapak lucah, dan nampaknya teman wanitanya dan rakan-rakannya adalah bakatnya.”
“Pendapat di sini ialah CFO sepatutnya lebih proaktif. Dia akan bertanya dengan IT, dan mereka hanya memberinya bukan jawapan kepada soalannya,” kata Goel. “Pengajaran di sini ialah walaupun anda mempunyai pasukan IT dalaman atau MSP, adalah penting untuk (pada satu ketika) membawa pihak ketiga untuk melakukan audit atau penilaian bebas. Anda perlu mendapatkan semakan bahawa anda mendapat ROI dan semua orang menjalankan tugas mereka.”
Pertunjukan Sampingan CFO
Goel juga mengimbas kembali insiden di mana sebuah syarikat penjagaan kesihatan memanggilnya untuk melakukan pemeriksaan pematuhan dan keselamatan, dan dia mendapati CFO menjalankan syarikat yang berasingan sepenuhnya dari pejabatnya.
“Saya bertanya kepadanya dan menyebut bahawa saya melihat log masuk ke sambungan jauh setiap hari, dan sebaik sahaja dia mendengar ini, lelaki itu kelihatan terpegun … Saya fikir dia akan diserang sakit jantung, apabila saya memberitahunya. Pada mulanya, dia tidak berkata, tetapi kemudian mengakui dia melakukan beberapa kerja sampingan untuk perniagaannya sendiri,” kata Goel.
Walaupun Goel menyatakan bahawa eksekutif itu tidak menggunakan sumber syarikat, dia berkata pekerja itu masih menghabiskan separuh harinya menjalankan perniagaan import/eksport peribadinya mengikut masa syarikat dengan log masuk ke komputer rumahnya dari jauh. Goel dan pasukannya mengetahui perkara ini dengan menilai trafik tembok api rangkaian. Pada mulanya, dia menjangkakan mungkin masalah itu berpunca daripada pusat data luar tapak. Walau bagaimanapun, apabila dia mendekati CFO, dia tidak menjangkakan reaksi yang dia dapat:
“Saya bertanya kepadanya dan menyebut bahawa saya melihat log masuk ke sambungan jauh setiap hari, dan sebaik sahaja dia mendengar ini, lelaki itu kelihatan terpegun … Saya fikir dia akan diserang sakit jantung, apabila saya memberitahunya. Pada mulanya, dia tidak berkata, tetapi kemudian mengakui dia melakukan beberapa kerja sampingan untuk perniagaannya sendiri,” kata Goel.
Phishing Menangguhkan Hari Gaji
Kadangkala perniagaan tidak menyedari pelanggaran telah berlaku. Dan walaupun selepas menemui satu, mereka tidak selalu mengambil langkah keselamatan yang diperlukan.
“Pelanggaran luaran yang sangat dihebahkan boleh merosakkan reputasi, dan kemudian pelanggan tidak melabur dalam kawalan keselamatan hanya untuk mengetahui penggodam tidak pernah pergi, dan mereka masih menyusup ke rangkaian mereka,” Bart Barcewicz, pengasas MSP B yang berpangkalan di Chicago Suite Cyber Security, memberitahu Perkakasan Tom.
“Jika seseorang telah menetapkan peraturan dan pengesahan, mereka akan dimaklumkan bahawa maklumat telah diubah,” kata Barcewicz. “[Masalah] terbesar ialah selepas ini berlaku, mereka tidak mahu melabur dalam penyelesaian keselamatan siber dan tidak belajar daripada pengalaman ini.”
Ambil syarikat pembuatan/pengedaran besar tempat Barcewicz bekerja pada pekerjaan sebelumnya. Dia berkata kira-kira 10 pekerja di sana menerima e-mel pancingan data, yang mereka jatuh cinta, menghantar bukti kelayakan Office 365 mereka dan maklumat log masuk lain kepada penggodam yang tidak curiga. Penggodam kemudian menggunakan maklumat tersebut untuk masuk ke dalam akaun gaji syarikat ini dan menukar semua maklumat akaun pekerja. Oleh kerana syarikat itu tidak mempunyai sebarang amaran atau kawalan keselamatan yang dipasang, pelanggaran itu tidak ditemui sehingga dua minggu kemudian apabila pekerja tidak mendapat gaji mereka.
“Jika seseorang telah menetapkan peraturan dan pengesahan, mereka akan dimaklumkan bahawa maklumat telah diubah,” kata Barcewicz. “[Masalah] terbesar ialah selepas ini berlaku, mereka tidak mahu melabur dalam penyelesaian keselamatan siber dan tidak belajar daripada pengalaman ini.”
Keputusasaan Web Gelap
Satu lagi situasi, yang Barcewicz telah lihat berlaku pada berbilang pelanggan, ialah pekerja menggunakan maklumat log masuk korporat (cth: alamat e-mel kerja mereka) untuk mendaftar untuk tapak web peribadi, seperti media sosial dan perkhidmatan temu janji. Walaupun mengakses tapak ini biasanya tidak disukai semasa waktu bekerja, ia menjadi isu keselamatan apabila maklumat korporat pengguna digunakan pada tapak yang dilanggar dan kelayakan tersebut berakhir di web gelap. Barcewicz menemui situasi yang tepat ini selepas melakukan analisis web gelap untuk firma kejuruteraan dengan 2,500 pekerja.
“Mereka benar-benar mengatakan bahawa mereka merakam setiap pergerakan dalam talian pengguna, mengatakan bahawa mereka telah menonton mereka di webcam dan jika mereka tidak membayar dalam Bitcoins, mereka akan memberitahu senarai kenalan mereka semua yang mereka lakukan.”
Barcewicz juga mencatatkan satu lagi penipuan web gelap yang semakin popular, di mana penggodam merampas komputer pengguna dan mengancam untuk melaporkan tingkah laku dalam talian mereka yang tidak sesuai kepada semua orang dalam senarai kenalan mereka:
“Mereka benar-benar mengatakan bahawa mereka merakam setiap pergerakan dalam talian pengguna, mengatakan bahawa mereka telah menonton mereka di webcam dan jika mereka tidak membayar dalam Bitcoins, mereka akan memberitahu senarai kenalan mereka semua yang mereka lakukan.”
Barcewicz menasihatkan bahawa pekerja mengelak daripada menggunakan maklumat kerja untuk apa-apa perkara peribadi.
“Seseorang boleh mengambil maklumat itu dan kemudian menggunakannya untuk penipuan, seperti memegang maklumat tebusan anda sebagai pertukaran wang Bitcoin,” katanya.
Melawan Kegilaan
Salah satu sebab permintaan untuk profesional keselamatan adalah begitu besar adalah bahawa mereka bukan sahaja melawan banyak ancaman dari luar; mereka juga menguruskan jumlah risiko yang sihat dari dalam organisasi. Ini boleh datang daripada pekerja yang mempunyai akses kepada pelayan dan teknologi lain, dan lebih-lebih lagi selepas pekerja keluar—terutamanya jika ia bukan perpisahan secara baik. Untuk membetulkannya, Barcewicz mengesyorkan mengambil langkah seperti melaksanakan pengesahan dua faktor dan memasang pengurus kata laluan.
“Minimum untuk mana-mana perniagaan adalah menggunakan pengesahan kata laluan dua langkah apabila boleh, serta menggunakan kata laluan yang berbeza melalui alat pengurus kata laluan,” katanya. “Kami juga mengesyorkan menukar kata laluan anda (untuk tapak web sensitif) setiap tiga hingga enam bulan, tetapi dengan pengesahan dua langkah, ini biasanya tidak perlu dilakukan sekerap.”
Dan Barcewicz mempraktikkan apa yang dia sampaikan kepada pelanggannya. Dia secara peribadi menggunakan pengurus kata laluan berasaskan web yang secara automatik menjana kata laluan yang berbeza untuk setiap tapak web yang dia log masuk (serta pengesahan dua langkah). Beliau berkata ini kerana kata laluan yang dijana secara automatik lebih sukar untuk dilanggar. “Penggodam tidak selalu mencari kata laluan yang tepat,” katanya. “Mereka cuba memikirkan variasi dan corak kerana mereka tahu selalunya ia digunakan dengan cara ini di tapak lain.”
Kedua-dua Barcewicz dan Goel mengatakan bahawa moral cerita ini ialah, bagi pemilik perniagaan, tindakan terbaik ialah mempunyai penilai keselamatan IT pihak ketiga yang tahu apa yang mereka lakukan.
“Minimum untuk mana-mana perniagaan adalah menggunakan pengesahan kata laluan dua langkah apabila boleh, serta menggunakan kata laluan yang berbeza melalui alat pengurus kata laluan,” katanya.
“Penilaian yang baik tidak pernah menyakitkan,” kata Goel. “Tetapi anda perlu membelanjakan wang itu; jangan gunakan seseorang yang baru sahaja akan memuat turun alat percuma dan kemudian memberitahu anda perkara yang anda mahu dengar. Anda memerlukan seseorang yang akan melihat perkara seperti trafik corak, data, tingkah laku pengguna dan kawasan penting yang lain.”
Barcewicz menambah bahawa penentangan terhadap perubahan telah menghalang sesetengah pelanggan daripada melabur dalam keselamatan siber yang betul. Dalam kes pelanggan yang senarai gajinya digodam, eksekutif masih enggan menambah baik pendekatan mereka terhadap keselamatan siber. “Mereka tidak mahu mengubah cara mereka bekerja, dan wang bukanlah alasan sama sekali,” katanya. “Ia lebih kepada penentangan untuk berubah; itu adalah pemandu utama.”
Apakah kisah keselamatan IT anda yang paling gila? Bolehkah anda mengatasi skandal kamera web? Beritahu kami dalam ulasan di bawah.
