พนักงานส่วนใหญ่ไม่คาดหวังว่าจะตื่นขึ้นมาและพบว่าวันจ่ายเงินเดือนถูกเลื่อนออกไปเนื่องจากฟิชชิง และคุณอาจไม่ได้เดาว่า CFO กำลังเร่งรีบจากคอมพิวเตอร์ของบริษัท หรือข้อมูลประจำตัวของบริษัทของพนักงานอยู่ใน Dark Web เนื่องจากใช้เวลาทำงานในเว็บไซต์หาคู่ อินเทอร์เน็ตที่ล้าหลังไม่ใช่เรื่องแปลก แต่พบว่าแบนด์วิดท์นั้น กำลังถูกระบายออกจากการแสดงเว็บแคม ‘ธีมผู้ใหญ่’ ของพนักงานเป็นสิ่งที่น่าตกใจมากขึ้น ยินดีต้อนรับสู่ชีวิตของผู้เชี่ยวชาญด้านความปลอดภัยไอที
เรื่องราวเช่นนี้อาจเป็นเรื่องปกติสำหรับผู้เชี่ยวชาญด้านความปลอดภัยด้านไอที อันที่จริง ภัยคุกคามความปลอดภัยทางไซเบอร์ – ทั้งจากภายในและภายนอกบริษัท – มีขนาดใหญ่มากจนการรักษาความปลอดภัยทางไซเบอร์ได้ดำเนินชีวิตด้วยตัวของมันเองภายในภาคไอที มันมีขนาดใหญ่มากจนความต้องการผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้นอย่างมาก ตามข้อมูลจากข้อมูลของ CyberSeek ซึ่งเป็นแหล่งอาชีพและบุคลากรด้านความปลอดภัยทางไซเบอร์ฟรี เฉพาะในสหรัฐอเมริกาเท่านั้น “มีงานเปิดงานความปลอดภัยทางไซเบอร์ 301,873 ตำแหน่งในภาคเอกชนและภาครัฐในช่วงระยะเวลา 12 เดือนระหว่างเดือนเมษายน 2017 ถึงมีนาคม 2018” เรื่องราวสยองขวัญด้านความปลอดภัยทางไซเบอร์ขององค์กร เช่น เรื่องที่คุณกำลังจะอ่านเป็นเหตุผลหลักว่าทำไม
จัดงานแสดงสำหรับผู้ใหญ่บนเซิร์ฟเวอร์องค์กร
แม้ว่าพฤติกรรมออนไลน์ที่ไม่เหมาะสมดูเหมือนจะเป็นปัญหาหลักในโลกไอที แต่หลายครั้งที่แฮกเกอร์ไม่ได้แสดงให้เห็นพฤติกรรมนี้ แต่แสดงให้เห็นโดยพนักงานภายใน Raj Goel ผู้ก่อตั้ง Brainlink ผู้ให้บริการที่มีการจัดการ (MSP) ในนิวยอร์คคิดว่าในช่วง 20 ปีบวกของเขาในด้านไอที เขาได้เห็นทุกอย่างแล้ว แต่เหตุการณ์หนึ่งล่าสุดคือสิ่งที่เขาไม่เคยคาดคิดมาก่อน
CFO ของลูกค้าโทรมาหา Brainlink เพื่อค้นหาว่าทำไมแผนกไอทีของพวกเขาจึงขาดแบนด์วิดท์อย่างต่อเนื่อง แม้ว่าพวกเขาจะใช้เงินไปกับการอัปเกรดก็ตาม
“คนพวกนี้มีสิ่งที่ผมเรียกว่า ‘ไอ้อ้วน’” Goel กล่าว “แต่ด้วยเหตุผลบางอย่าง พนักงานไอทีของพวกเขากลับบอกว่าพวกเขาเต็มไปหมด ดังนั้นฉันจึงตรวจสอบและพบว่าหนึ่งในคนไอทีกลุ่มเดียวกันนั้นใช้งานเว็บไซต์แบบจ่ายต่อการรับชมของเว็บแคมนอกเครือข่ายของบริษัท มันเป็นเว็บไซต์ลามกและเห็นได้ชัดว่าแฟนสาวของเขาและเพื่อนของเธอมีความสามารถ”
น่าตกใจยิ่งกว่าเดิม: เหตุการณ์นี้ดำเนินไปนานกว่าสองปีและไม่มีใครจับได้ แม้ว่าการกระทำของพนักงานคนนี้จะทำให้บริษัทต้องเสียค่าใช้จ่ายมากกว่า 180,000 ดอลลาร์ และจำเป็นต้องอัปเกรดเครือข่ายทุกๆ สามเดือน เนื่องจากเครือข่ายทำงานช้ามาก
ดังนั้นฉันจึงตรวจสอบและพบว่าหนึ่งในคนไอทีกลุ่มเดียวกันนั้นใช้งานเว็บไซต์แบบจ่ายต่อการรับชมของเว็บแคมนอกเครือข่ายของบริษัท มันเป็นเว็บไซต์ลามกและเห็นได้ชัดว่าแฟนสาวของเขาและเพื่อนของเธอมีความสามารถ”
“ประเด็นสำคัญที่นี่คือ CFO ควรมีความกระตือรือร้นมากกว่านี้ เขาจะสอบถามกับฝ่ายไอทีและพวกเขาก็ให้คำตอบที่ไม่ใช่คำตอบสำหรับคำถามของเขา” Goel กล่าว “บทเรียนที่นี่คือแม้ว่าคุณจะมีทีมไอทีภายในองค์กรหรือ MSP ก็ตาม (ในบางจุด) สิ่งสำคัญคือต้องนำบุคคลที่สามเข้ามาทำการตรวจสอบหรือประเมินอิสระ คุณต้องได้รับการตรวจสอบว่าคุณได้รับ ROI และทุกคนกำลังทำงานของพวกเขาอยู่”
กิ๊กข้างซีเอฟโอ
โกเอลยังเล่าถึงเหตุการณ์ที่บริษัทด้านการดูแลสุขภาพเรียกเขาให้ตรวจสอบการปฏิบัติตามกฎระเบียบและความปลอดภัย และเขาพบว่าซีเอฟโอกำลังบริหารบริษัทที่แยกจากกันโดยสิ้นเชิงจากสำนักงานของเขา
“ฉันถามเขาและบอกว่าฉันเห็นการเข้าสู่ระบบการเชื่อมต่อระยะไกลทุกวัน และทันทีที่เขาได้ยินสิ่งนี้ ผู้ชายคนนั้นดูตะลึง … ฉันคิดว่าเขาจะหัวใจวาย เมื่อฉันบอกเขา ตอนแรกเขาไม่ได้พูด แต่แล้วก็ยอมรับว่าเขาทำงานด้านธุรกิจของตัวเอง” โกเอลกล่าว
ในขณะที่ Goel สังเกตว่าผู้บริหารไม่ได้ใช้ทรัพยากรของบริษัท แต่เขากล่าวว่าพนักงานยังคงใช้เวลาครึ่งวันในการทำธุรกิจนำเข้า/ส่งออกส่วนตัวในเวลาของบริษัทด้วยการลงชื่อเข้าใช้คอมพิวเตอร์ที่บ้านจากทางไกล Goel และทีมของเขาค้นพบสิ่งนี้โดยการประเมินปริมาณการใช้ไฟร์วอลล์ของเครือข่าย ในตอนแรก เขาคาดว่าปัญหาอาจเกิดจากศูนย์ข้อมูลนอกสถานที่ อย่างไรก็ตาม เมื่อเขาเข้าหา CFO เขาไม่ได้คาดหวังปฏิกิริยาที่เขาได้รับ:
“ฉันถามเขาและบอกว่าฉันเห็นการเข้าสู่ระบบการเชื่อมต่อระยะไกลทุกวัน และทันทีที่เขาได้ยินสิ่งนี้ ผู้ชายคนนั้นดูตะลึง … ฉันคิดว่าเขาจะหัวใจวาย เมื่อฉันบอกเขา ตอนแรกเขาไม่ได้พูด แต่แล้วก็ยอมรับว่าเขาทำงานด้านธุรกิจของตัวเอง” โกเอลกล่าว
ฟิชชิ่งเลื่อนวันจ่ายเงินออก
บางครั้งธุรกิจไม่ทราบว่ามีการฝ่าฝืนเกิดขึ้น และแม้หลังจากค้นพบแล้ว พวกเขาก็ไม่ได้ใช้มาตรการรักษาความปลอดภัยที่จำเป็นเสมอไป
Bart Barcewicz ผู้ก่อตั้ง MSP B ในชิคาโก กล่าวว่า “การละเมิดภายนอกที่ได้รับการเผยแพร่อย่างสูงอาจสร้างความเสียหายต่อชื่อเสียง จากนั้นลูกค้าไม่ได้ลงทุนในการควบคุมความปลอดภัยเพียงเพื่อค้นหาว่าแฮ็กเกอร์ไม่เคยถูกทิ้งไว้ และพวกเขายังคงแทรกซึมเครือข่ายของพวกเขาอยู่” Suite Cyber Security บอกกับ Tom’s Hardware
“ถ้ามีใครตั้งกฎและการรับรองความถูกต้อง พวกเขาจะได้รับการแจ้งเตือนว่าข้อมูลมีการเปลี่ยนแปลง” Barcewicz กล่าว “ [ปัญหา] ที่ใหญ่ที่สุดคือหลังจากสิ่งนี้เกิดขึ้น พวกเขาไม่ต้องการลงทุนในโซลูชันความปลอดภัยทางไซเบอร์ และไม่เรียนรู้จากประสบการณ์นี้”
นำ Barcewicz บริษัทผู้ผลิต/จัดจำหน่ายรายใหญ่ที่เคยทำงานให้มาก่อน เขากล่าวว่ามีพนักงานประมาณ 10 คนที่ได้รับอีเมลฟิชชิ่งซึ่งพวกเขาตกเป็นเหยื่อ โดยส่งข้อมูลประจำตัว Office 365 และข้อมูลการเข้าสู่ระบบอื่นๆ ไปยังแฮ็กเกอร์ที่ไม่สงสัย จากนั้นแฮกเกอร์ใช้ข้อมูลเพื่อเข้าสู่บัญชีเงินเดือนของบริษัทนี้ และเปลี่ยนแปลงข้อมูลบัญชีของพนักงานทั้งหมด เนื่องจากบริษัทไม่ได้ติดตั้งการแจ้งเตือนหรือการควบคุมความปลอดภัย จึงไม่พบการละเมิดจนกระทั่งสองสัปดาห์ต่อมาเมื่อพนักงานไม่ได้รับเช็คเงินเดือน
“ถ้ามีใครตั้งกฎและการรับรองความถูกต้อง พวกเขาจะได้รับการแจ้งเตือนว่าข้อมูลมีการเปลี่ยนแปลง” Barcewicz กล่าว “ [ปัญหา] ที่ใหญ่ที่สุดคือหลังจากสิ่งนี้เกิดขึ้น พวกเขาไม่ต้องการลงทุนในโซลูชันความปลอดภัยทางไซเบอร์ และไม่เรียนรู้จากประสบการณ์นี้”
เว็บมืดสิ้นหวัง
อีกสถานการณ์หนึ่งที่ Barcewicz เคยเห็นเกิดขึ้นกับลูกค้าหลายราย คือ พนักงานใช้ข้อมูลการเข้าสู่ระบบของบริษัท (เช่น ที่อยู่อีเมลที่ทำงานของพวกเขา) เพื่อลงทะเบียนเว็บไซต์ส่วนตัว เช่น โซเชียลมีเดียและบริการหาคู่ ในขณะที่การเข้าถึงเว็บไซต์เหล่านี้มักจะถูกมองว่าไม่ยุติธรรมในช่วงเวลาทำงาน มันจะกลายเป็นปัญหาด้านความปลอดภัยเมื่อมีการใช้งานข้อมูลองค์กรของผู้ใช้บนไซต์ที่ถูกละเมิดและข้อมูลประจำตัวเหล่านั้นจะลงเอยที่ดาร์กเว็บ Barcewicz ค้นพบสถานการณ์ที่แน่นอนนี้หลังจากทำการวิเคราะห์เว็บมืดสำหรับบริษัทวิศวกรรมที่มีพนักงาน 2,500 คน
“พวกเขาบอกว่าพวกเขากำลังบันทึกทุกการเคลื่อนไหวออนไลน์ของผู้ใช้ บอกว่าพวกเขาได้ดูพวกเขาบนเว็บแคม และถ้าพวกเขาไม่จ่ายเป็น Bitcoins พวกเขาจะให้รายชื่อผู้ติดต่อของพวกเขารู้ทุกอย่างที่พวกเขาทำ”
Barcewicz ยังตั้งข้อสังเกตอีกว่ากลโกงเว็บมืดที่ได้รับความนิยม โดยที่แฮกเกอร์จี้คอมพิวเตอร์ของผู้ใช้และขู่ว่าจะรายงานพฤติกรรมออนไลน์ที่ไม่เหมาะสมของพวกเขาต่อทุกคนในรายชื่อผู้ติดต่อของพวกเขา:
“พวกเขาบอกว่าพวกเขากำลังบันทึกทุกการเคลื่อนไหวออนไลน์ของผู้ใช้ บอกว่าพวกเขาได้ดูพวกเขาบนเว็บแคม และถ้าพวกเขาไม่จ่ายเป็น Bitcoins พวกเขาจะให้รายชื่อผู้ติดต่อของพวกเขารู้ทุกอย่างที่พวกเขาทำ”
Barcewicz แนะนำให้พนักงานงดเว้นจากการใช้ข้อมูลการทำงานเพื่อความเป็นส่วนตัว
“อาจมีคนนำข้อมูลนั้นไปใช้หลอกลวงได้ เช่น เรียกค่าไถ่ข้อมูลของคุณเพื่อแลกกับเงิน Bitcoin” เขากล่าว
ต่อสู้กับความบ้าคลั่ง
เหตุผลหนึ่งที่ความต้องการผู้เชี่ยวชาญด้านความปลอดภัยมีมากคือพวกเขาไม่เพียงแค่ต่อสู้กับภัยคุกคามจากภายนอกเท่านั้น พวกเขายังจัดการความเสี่ยงจำนวนมากจากภายในองค์กร ซึ่งอาจมาจากพนักงานที่มีสิทธิ์เข้าถึงเซิร์ฟเวอร์และเทคโนโลยีอื่นๆ และยิ่งกว่านั้นหลังจากที่พนักงานลาออก โดยเฉพาะอย่างยิ่งหากไม่ใช่การจากลาที่เป็นมิตร ในการแก้ไขปัญหานี้ Barcewicz แนะนำให้ทำตามขั้นตอนต่างๆ เช่น ใช้การรับรองความถูกต้องด้วยสองปัจจัยและติดตั้งตัวจัดการรหัสผ่าน
“ขั้นต่ำสำหรับธุรกิจใดๆ คือการใช้การตรวจสอบรหัสผ่านสองขั้นตอนเมื่อเป็นไปได้ เช่นเดียวกับการใช้รหัสผ่านที่แตกต่างกันโดยใช้เครื่องมือจัดการรหัสผ่าน” เขากล่าว “เรายังแนะนำให้เปลี่ยนรหัสผ่านของคุณ (สำหรับเว็บไซต์ที่ละเอียดอ่อน) ทุก ๆ สามถึงหกเดือน แต่ด้วยการตรวจสอบสิทธิ์แบบสองขั้นตอน โดยปกติจะไม่ต้องทำบ่อยนัก”
และ Barcewicz ปฏิบัติสิ่งที่เขาเทศนาให้กับลูกค้าของเขา เขาใช้ผู้จัดการรหัสผ่านบนเว็บเป็นการส่วนตัวซึ่งจะสร้างรหัสผ่านที่แตกต่างกันโดยอัตโนมัติสำหรับทุกเว็บไซต์ที่เขาเข้าสู่ระบบ (รวมถึงการตรวจสอบสิทธิ์สองขั้นตอน) เขากล่าวว่าเป็นเพราะรหัสผ่านที่สร้างขึ้นโดยอัตโนมัตินั้นยากต่อการทำลาย “แฮกเกอร์ไม่ได้มองหารหัสผ่านที่แน่นอนเสมอไป” เขากล่าว “พวกเขากำลังพยายามหารูปแบบและรูปแบบต่างๆ เพราะพวกเขารู้ว่ามักถูกใช้ในลักษณะนี้ในไซต์อื่นๆ”
ทั้ง Barcewicz และ Goel กล่าวว่าคุณธรรมของเรื่องราวเหล่านี้คือ สำหรับเจ้าของธุรกิจ แนวทางปฏิบัติที่ดีที่สุดคือการมีผู้ประเมินความปลอดภัยไอทีบุคคลที่สามซึ่งรู้ว่ากำลังทำอะไรอยู่
“ขั้นต่ำสำหรับธุรกิจใดๆ คือการใช้การตรวจสอบรหัสผ่านสองขั้นตอนเมื่อเป็นไปได้ เช่นเดียวกับการใช้รหัสผ่านที่แตกต่างกันโดยใช้เครื่องมือจัดการรหัสผ่าน” เขากล่าว
“การประเมินที่ดีไม่เคยทำร้าย” โกเอลกล่าว “แต่คุณต้องใช้เงิน อย่าใช้คนที่เพิ่งจะดาวน์โหลดเครื่องมือฟรีแล้วบอกสิ่งที่คุณอยากได้ยิน คุณต้องการใครสักคนที่จะคอยดูสิ่งต่างๆ เช่น รูปแบบการรับส่งข้อมูล ข้อมูล พฤติกรรมผู้ใช้ และพื้นที่สำคัญอื่นๆ”
Barcewicz กล่าวเสริมว่าการต่อต้านการเปลี่ยนแปลงได้ระงับลูกค้าบางรายจากการลงทุนในความปลอดภัยทางไซเบอร์ที่เหมาะสม ในกรณีที่ลูกค้าถูกแฮ็กเงินเดือน ผู้บริหารยังคงปฏิเสธที่จะปรับปรุงวิธีการรักษาความปลอดภัยในโลกไซเบอร์ “พวกเขาไม่ต้องการเปลี่ยนวิธีการทำงาน และเงินไม่ใช่เหตุผลเลย” เขากล่าว “มันเป็นการต่อต้านการเปลี่ยนแปลงมากกว่า นั่นคือตัวขับเคลื่อนหลัก”
เรื่องความปลอดภัยไอทีที่บ้าที่สุดของคุณคืออะไร? คุณสามารถทำเรื่องอื้อฉาวเว็บแคมได้หรือไม่? แจ้งให้เราทราบในความคิดเห็นด้านล่าง
