Monitoring zaměstnanců na sociálních sítích
Má vaše společnost zavedena nějaká pravidla, jak se mají vaši zaměstnanci chovat na sociálních sítích?
A pokud ano, kontrolujete a vynucujete jejich dodržování?
Když se v roce 2006 stala sociální síť Facebook dostupnou i pro širokou veřejnost, málokdo asi tušil, jakou popularitu platforma nakonec získá. Natož aby se zamýšlel nad potenciálními riziky.
O téměř 20 let a desítky sociálních sítí později bychom měli být moudřejší a uvědomovat si dostatečně cenu svých dat sdílených na sociálních sítích. A to nejen my, ale i organizace spravující citlivá data či finance svých klientů. Máme ale vůbec tušení, jak se naši zaměstnanci na sociálních sítích chovají?
Jistě, společnosti, zejména ty z tzv. kritické infrastruktury (energetika, bankovnictví, doprava atd.), mají implementována pokročilá opatření. Ať už zabraňující průniku do jejich prostředí nebo třeba nechtěnému i chtěnému úniku dat. Nejčastější slabinou ale stále zůstává právě člověk, což potvrzují pravidelné analýzy bezpečnostních událostí (např. Verizon Data Breach Investigations Report). A v kombinaci člověk a sociální síť narážíme na rizika, která se na první dojem mohou někomu jevit nevinně.
Ale selfies a stories jsou přeci cool. Sdílení fotografií či videí prostřednictvím sociálních sítí, na kterých jsou vidět ID karty zaměstnanců, vstupní turnikety nebo jiné prvky fyzického zabezpečení, je ale chybou. Na první pohled možná detaily, ale pro útočníka podstatné informace, jak je naše společnost chráněna. Svou šikovností může následně využít cílených technik sociálního inženýrství nebo plánovat fyzický průnik do budovy technicky sofistikovanější cestou.
Sociální inženýrství? Jdeme mu skutečně naproti pouhou ranní „výtahovkou“ nebo dokonce zvěčněním svého pracovního místa. A že se na snímek, mimo jiné, vměstnala i zaměstnanecká ID karta nebývá náhodou. Friends & followers musí být přeci pravidelně informováni, jak prestižního mám zaměstnavatele. A jelikož umí dnešní mobilní telefony velmi kvalitní fotografie, není pro nikoho již problém získat údaje z karty. Váš obličej, jméno a logo společnosti již není tajemstvím a útočník může začít tvořit kopii. Scénáře, které by mohly být následně použity, již nebude složité si domyslet. Do hry rozhodně vstupují i další scénáře technicky sofistikovanějšího charakteru. O tom ale později.
Zákaz by měl určitě zaznívat z našich politik. Osvětu pro změnu zajistí naše awareness programy, třeba povinná školení zaměstnanců. Čímž si můžeme odškrtnout „due diligence“. Položme si ale otázku za milion. Jsou to pro nás plnohodnotná opatření?
Zde přichází na řadu „due care“ princip a přiložení ruky k dílu. Tím jest myšleno zaměření se na monitoring podobného nežádoucího chování našich zaměstnanců na sociálních sítích. Je pochopitelné, pokud budeme chtít využít služeb profesionálů. Ti již vědí, jak hledat. A jedním z cílů bude multimediální obsah, který by mohl zachycovat bezpečnostní prvky naší společnosti.
Zkusit to můžeme konec konců i sami. Po otevření Instagramu lze vyhledat #našespolečnost. Po chvilce scrollování veřejných galerií nás možná čeká překvapení. Tento postup se nelimituje pouze na jednu sociální síť. Na stejné chování lze narazit třeba na, v posledních letech oblíbené, síti LinkedIn. Zde se toho z pracovního prostředí našich společností prezentuje logicky daleko více. Objevit můžeme například fotografie z konferencí organizovaných v naší budově. Na této profesní platformě může navíc útočník získat další důležité informace. Díky detailnímu popisu pracovní pozice, či vazeb na další kolegy, lze posléze aplikovat cílenější metody sociálního inženýrství.
Lynčování netřeba. Hříšníkům musíme dostatečně vysvětlit potenciální rizika, která mohla být jejich chováním naplněna. Nechejme je znovu prostudovat politiku, vymezující se proti takovému chování a odstranit závadný materiál z jejich profilů.
V dalším díle se detailněji podíváme, jaké informace mohou útočníkovi pomoci k plánování technicky sofistikovaných útoků na naše prvky fyzického zabezpečení.
FALTUS, Radim, 2024. Monitoring zaměstnanců na sociálních sítích. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/monitoring-zamestnancu-na-socialnich-sitich/. [citováno 08.12.2024].
K článku “Monitoring zaměstnanců na sociálních sítích” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.