GDPR Q1: Πώς προστατεύουμε την επιχείρηση μας από επιθέσεις ηλεκτρονικού "ψαρέματος"(phishing)
Το ηλεκτρονικό "ψάρεμα" (phishing) περιγράφει έναν τύπο κοινωνικής μηχανικής όπου οι επιτιθέμενοι προτρέπουν τους χρήστες να κάνουν μια λάθος ενέργεια, όπως αποκάλυψη πληροφοριών ή κλικ σε επικίνδυνη σύνδεση. Ο σύνδεσμος μπορεί να εγκαταστήσει κακόβουλο λογισμικό στο σύστημά σας ή να σας κατευθύνει σε έναν ψεύτικο ιστότοπο που ζητάει ευαίσθητες πληροφορίες (όπως τραπεζικά στοιχεία).
Το ηλεκτρονικό "ψάρεμα" (phishing) μπορεί να πραγματοποιηθεί μέσω μηνύματος κειμένου, κοινωνικών μέσων ή μέσω τηλεφώνου, αλλά αυτές τις μέρες οι περισσότεροι χρησιμοποιούν τον όρο για να περιγράψουν τις επιθέσεις που φτάνουν μέσω ηλεκτρονικού ταχυδρομείου. Οι επιτιθέμενοι χρησιμοποιούν το ηλεκτρονικό ταχυδρομείο για phishing, επειδή μπορούν να προσεγγίσουν απευθείας τους χρήστες και τα μηνύματα ηλεκτρονικού ταχυδρομείου τους να κρύβονται ανάμεσα στον τεράστιο αριθμό καλοπροαίρετων μηνυμάτων ηλεκτρονικού ταχυδρομείου που λαμβάνουν οι χρήστες καθημερινά.
Τα μηνύματα ηλεκτρονικού "ψαρέματος" μπορούν να χτυπήσουν οργανισμούς οποιουδήποτε μεγέθους και τύπου .Οι επιθέσεις μπορούν να κλέψουν ευαίσθητες πληροφορίες, να εγκαταστήσουν ransomware, να σαμποτάρουν τα συστήματά σας και να κλέψουν χρήματα. Μπορεί να παγιδευτείτε σε μια μαζική εκστρατεία που αποστέλλεται σε χιλιάδες οργανισμούς - όπου ο επιτιθέμενος προσπαθεί να συλλέξει κωδικούς πρόσβασης ή να βγάλει "εύκολο χρήμα". Ή θα μπορούσαν να υποβάλουν μια στοχευμένη επίθεση εναντίον της εταιρείας σας, όπου ο επιτιθέμενος θα προσαρμόσει τα μηνύματα ηλεκτρονικού ταχυδρομείου τους, ώστε να είναι ακόμα πιο πειστικοί και ρεαλιστικοί για τους υπαλλήλους σας.
1. Φιλτράρουμε ή αποκλείουμε τα εισερχόμενα μηνύματα ηλεκτρονικού "ψαρέματος"
Το Φιλτράρισμα ή αποκλεισμός ηλεκτρονικού ταχυδρομείου ηλεκτρονικού "ψαρέματος" πριν φτάσει στο προσωπικό σας είναι σημαντικό για δύο λόγους. Πρώτων, η επίθεση είναι λιγότερο πιθανό να συμβεί. Δεύτερον, μειώνει το χρόνο που περνά ο έλεγχος και η αναφορά ηλεκτρονικών μηνυμάτων από το προσωπικό σας. Εάν χρησιμοποιείτε μια φιλοξενούμενη υπηρεσία ηλεκτρονικού ταχυδρομείου, ο πάροχός σας ενδέχεται να προσφέρει μια υπηρεσία προστασίας από ηλεκτρονικό "ψαρέμα".Παρότι δεν σας προσφέρει απόλυτη ασφάλεια, σίγουρα θα πρέπει να χρησιμοποιήσετε μια τέτοια υπηρεσία, εάν είναι διαθέσιμη.
Μια κοινή επίθεση είναι η "CEO - Fraud", όπου οι εγκληματίες στέλνουν ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing emails) - που υποτίθεται ότι προέρχονται από έναν ανώτερο υπάλληλο της εταιρείας σας - ζητώντας από το προσωπικό να μεταφέρει χρήματα. Διαμορφώνοντας τους εξωτερικούς διακομιστές ηλεκτρονικού ταχυδρομείου σας για να μην αποδέχονται μηνύματα ηλεκτρονικού ταχυδρομείου από τον δικό σας τομέα , θα μειώσετε αυτήν την απειλή. Το προσωπικό που έχει την εξουσία να κάνει αγορές ή να μεταφέρει κεφάλαια θα πρέπει να γνωρίζει αυτό το είδος επίθεσης.
2. Διασφαλίζουμε ότι τα εξωτερικά μηνύματα ηλεκτρονικού ταχυδρομείου χαρακτηρίζονται εξωτερικά.
Ο εταιρικός διακομιστής ηλεκτρονικού ταχυδρομείου σας μπορεί να ρυθμιστεί ώστε να προσθέτει κάποιο κείμενο στο σώμα (ή θέμα) ενός μηνύματος ηλεκτρονικού ταχυδρομείου, για να βοηθήσει το προσωπικό να αναγνωρίσει γρήγορα ότι ένα μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από την εταιρεία σας. Αυτή η γνώση μπορεί να τους βοηθήσει να κρίνουν σχετικά με το πώς πρέπει να αντιμετωπίζουν το μήνυμα ηλεκτρονικού ταχυδρομείου και τυχόν αιτήματα που κάνει. Θα πρέπει να κατανοήσετε πώς αυτό θα μπορούσε να επηρεάσει την καθημερινή εργασία των υπαλλήλων σας και θα πρέπει να τους εξηγήσετε τι σημαίνει αυτό.
3. Σταματάμε τα μηνύματα ηλεκτρονικής αλληλογραφίας των εισβολέων.
Οι επιτιθέμενοι κάνουν τα μηνύματα ηλεκτρονικού ταχυδρομείου τους να μοιάζουν με αυτά που έχουν σταλεί από αξιόπιστες πηγές ή εγκεκριμένα brand name (όπως το δικό σας). Αυτά τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου μπορούν να χρησιμοποιηθούν για να επιτεθούν στους πελάτες σας ή στο προσωπικό σας. Μπορείτε να το κάνετε πολύ πιο δύσκολο για τους εισβολείς να παραβιάζουν τα μηνύματά σας, διασφαλίζοντας ότι ο οργανισμός σας χρησιμοποιεί τους παρακάτω ελέγχους:
D.M.A.R.C. (επικύρωση μηνυμάτων βάσει τύπου μηνυμάτων, αναφοράς και συμμόρφωσης)
S.P.F. (πλαίσιο πολιτικής αποστολέων)
D.K.I.M. (Ταυτοποιημένη αλληλογραφία τομέα-κλειδιών)
Αυτά τα μέτρα σας βοηθούν να ελέγχετε τον τρόπο με τον οποίο επεξεργάζεται το email σας. Οι οργανισμοί που εφαρμόζουν σωστά τα μέτρα αυτά μπορούν να διασφαλίσουν ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου τους δεν χρησιμοποιούνται από εγκληματίες.
4.Βοηθάμε το προσωπικό μας.
Το προσωπικό καλείται συχνά να αποφασίσει εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου είναι πραγματικό ή όχι. Βεβαιωθείτε ότι υπάρχει ένας απλός τρόπος για να αναφέρουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου στο τμήμα ασφάλειας IT και βεβαιωθείτε ότι λαμβάνουν ανατροφοδότηση. Κάποια στιγμή, όλοι θα πληγούν από μια επίθεση phishing. Μη τιμωρείτε το προσωπικό και μην το κάνετε να αισθάνεται άσχημα γι 'αυτό. Είναι λιγότερο πιθανό να αναφέρουν επιθέσεις και θα αφιερώνουν υπερβολικό χρόνο στο να ελέγχουν κάθε email που λαμβάνουν. Και τα δύο αυτά πράγματα προκαλούν μεγαλύτερη ζημιά στην επιχείρησή σας μακροπρόθεσμα.
Κατά την εκπαίδευση του προσωπικού σας, δίνετε συχνά ιδιαίτερη έμφαση στην προστασία από το ηλεκτρονικό ψάρεμα. Η κατάρτιση δεν μπορεί ποτέ να λύσει πλήρως το πρόβλημα του ηλεκτρονικού "ψαρέματος" (phishing) επειδή είναι σχεδόν αδύνατο να εντοπιστούν οι καλά σχεδιασμένες επιθέσεις ηλεκτρονικού "ψαρέματος". Οι επαναλαμβανόμενες προσομοιώσεις ή δοκιμές phishing έχουν αποδειχθεί ότι έχουν μακροπρόθεσμο αποτέλεσμα, οπότε μην επιβαρύνετε υπερβολικά το προσωπικό σας.
Έχοντας πει αυτά, ορισμένες εγκληματικές ομάδες εξακολουθούν να στέλνουν επιθέσεις μαζικής αλληλογραφίας που μπορεί να είναι ευκολότερο να εντοπιστούν. Αυτά τα πιο προφανή μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να περιλαμβάνουν κακή ορθογραφία και γραμματική, χαλασμένα λογότυπα, ή μπορεί να πιέσουν τους αναγνώστες να ενεργούν επειγόντως. Μπορούν να σας αναφέρουν ως «εκτιμώμενοι πελάτες» ή «φίλοι», είναι ένα σημάδι ότι ο αποστολέας δεν σας γνωρίζει και ότι αποτελεί μέρος μιας απάτης ηλεκτρονικού "ψαρέματος" (phishing). Πρέπει να ενθαρρύνετε το προσωπικό σας να εμπιστεύεται τα ένστικτά του και εάν κάτι δεν τους φαίνεται σωστό, να τους ζητήσετε να το αναφέρουν.
Οι επιτιθέμενοι μπορούν να χρησιμοποιούν διαθέσιμες στο κοινό πληροφορίες σχετικά με τον οργανισμό και το προσωπικό σας για να καταστήσουν πιο πειστικά τα μηνύματα ηλεκτρονικού "ψαρέματος". Αυτά συχνά συλλέγονται από τον ιστότοπο του οργανισμού σας και από τους λογαριασμούς κοινωνικών μέσων του προσωπικού. Θα πρέπει να βοηθήσετε το προσωπικό σας να κατανοήσει πώς η ανταλλαγή των προσωπικών του πληροφοριών, μέσω των κοινωνικών μέσων και άλλων πλατφορμών, μπορεί να είναι χρήσιμη για τους επιτιθέμενους.
5. Περιορίζουμε τον αντίκτυπο των επιθέσεων phishing.
Δεδομένου ότι δεν είναι δυνατό να σταματήσετε όλες τις επιθέσεις, η επιχείρηση σας θα πρέπει να είναι προετοιμασμένη για όσες έρθουν, ώστε να μειώσετε τον αντίκτυπό τους. Οι προετοιμασίες σας θα εξαρτηθούν από τα συστήματά σας, τον τρόπο εργασίας σας και τους πόρους που διαθέτετε, αλλά θα πρέπει να περιλαμβάνουν τα εξής βήματα:
χρησιμοποιείστε ένα διακομιστή μεσολάβησης που σταματά την πρόσβαση σε γνωστούς κακούς ιστότοπους,
χρησιμοποιείστε ενημερωμένα προγράμματα περιήγησης για πρόσβαση στο διαδίκτυο,
διασφάλιση της προστασίας από κακόβουλα προγράμματα σε μεμονωμένες συσκευές να είναι ενημερωμένη,
διασφαλίστε ότι το προσωπικό δεν περιηγείτε στον ιστό ή ανοίγει μηνύματα ηλεκτρονικού ταχυδρομείου από έναν λογαριασμό με δικαιώματα διαχειριστή,
χρησιμοποιείστε έλεγχο ταυτότητας δύο παραγόντων (2FA) στους σημαντικούς λογαριασμούς ή τις υπηρεσίες σας,
προετοιμάστε σχέδια αντιμετώπισης περιστατικών για διάφορα είδη συμβάντων.
Διαβάστε ακόμη: GDPR Q2. Ποιες μέθοδοι ελέγχου ταυτότητας χρησιμοποιούνται για τον έλεγχο της πρόσβασης στα συστήματα και δεδομένα;
Το GDPR δεν είναι ο απέραντος ωκεανός οπου τα τεράστια κύματα του παραμονεύουν να τσακίσουν το πλοίο / επιχείρηση σας, αλλά ....
θα σας δείξει τον δρόμο για να φτάσετε με ασφάλεια στο λιμάνι του προορισμού σας.
Εμείς με συνεχή ενημέρωση και την παροχή E-BOOK, GUIDE, NEWSLETTER, αλλά και απευθείας απαντήσεων στα ερωτήματα σας μέσω του support@benefitfs.gr, μπορούμε να σας παρέχουμε κάθε δυνατή ενημέρωση και βοήθεια για τον περιορισμό του κόστους.
"Από τις 9/11/2018 ξεκινάει ένας εκπαιδευτικός κύκλος για την ΕΦΑΡΜΟΓΗ ΤΟΥ GDPR ΣΤΙΣ ΜΙΚΡΟΜΕΣΑΙΕΣ ΕΠΙΧΕΙΡΙΣΕΙΣ.. Κάθε Παρασκευή θα λαμβάνετε στο e-mail σας ένα newsletter οπου θα κατανοήσετε την εφαρμογή του GDPR στην εταιρεία σας και την διαχείρηση της ασφάλειας των πληροφοριών"
Εγγραφείτε τώρα για να λαμβάνετε κάθε εβδομάδα Βήμα Βήμα τον ΟΔΗΓΟ ΣΥΜΜΟΡΦΩΣΗΣ στα newsletter μας!
Σχόλια
Δημοσίευση σχολίου