Γράφει ο Scott Stewart, Αντιπρόεδρος της Τακτικής Ανάλυσης του Stratfor

› ΔΗΜΟΣΙΟ Wi-Fi: Υπάρχουν δύο βασικοί τρόποι με τους οποίους οι πληροφορίες μπορούν να αποτελέσουν στόχο, όταν ένας υπάλληλος χρησιμοποιεί δημόσιο ασύρματο δίκτυο, είτε από κάποιον που βρίσκεται κοντά στον υπολογιστή του εργαζομένου, καθώς μεταδίδει στο δίκτυο, είτε από άτομο ή την επιχείρηση που έχει και λειτουργεί το ασύρματο ρούτερ. Λόγω αυτού του αδύνατου σημείου, οι εργαζόμενοι πρέπει να θεωρήσουν ότι και άλλοι μπορούν να δουν τις πληροφορίες που στέλνουν και λαμβάνουν, εκτός εάν ληφθούν προφυλάξεις.

› Η ΧΡΗΣΗ ενός κρυπτογραφημένου δημόσιου δικτύου Wi-Fi μπορεί να μειώσει τον κίνδυνο ορισμένων τύπων επιθέσεων, αλλά η απειλή παραμένει ότι το ρούτερ θα μπορούσε να παραβιαστεί ή ότι το άτομο που είναι στην κατοχή του (το ρούτερ) θα μπορούσε να δει την «κίνηση» μέσω του ρούτερ. Ο ευκολότερος τρόπος να μειωθεί αυτή η απειλή είναι η αποφυγή χρήσης δημόσιων ασύρματων δικτύων. Ενα κινητό τηλέφωνο που χρησιμοποιείται ως κινητό hotspot μπορεί να προσφέρει μια πιο ασφαλή σύνδεση στο Internet. Σε ορισμένες περιπτώσεις, ωστόσο, η υπηρεσία της κινητής τηλεφωνίας στην περιοχή ενδέχεται να μην είναι αρκετά δυνατή για να χρησιμοποιηθεί το τηλέφωνο ως hotspot ή αυτό να μην μπορεί να αποτελεί επιλογή βάσει του προγράμματος που έχει το κινητό.

› ΕΑΝ ΠΡΕΠΕΙ να χρησιμοποιηθεί δημόσιο ασύρματο δίκτυο (Wi-Fi), ένας τρόπος για να μειωθεί ο κίνδυνος διαρροής είναι να διασφαλιστεί ότι όλοι οι συνδεδεμένοι ιστότοποι και οι εφαρμογές χρησιμοποιούν κρυπτογραφημένες συνδέσεις. Ορισμένες προσθήκες (plug-ins) στο πρόγραμμα περιήγησης (browser) μπορούν να βοηθήσουν, συμπεριλαμβανομένης της προσθήκης HTTPS Everywhere, που κατασκευάστηκε από το Electronic Frontier Foundation. Ωστόσο, δυστυχώς, πολλοί ιστότοποι εξακολουθούν να μην προσφέρουν κανένα είδος κρυπτογραφημένης σύνδεσης και αυτή η προσέγγιση δεν είναι ιδανική.

› ΕΝΑΣ ΠΙΟ ΙΣΧΥΡΟΣ τρόπος για να μετριάσετε τον κίνδυνο από τη χρήση του δημόσιου Wi-Fi είναι να χρησιμοποιήσετε ένα εικονικό ιδιωτικό δίκτυο ή VPN. Ενα VPN δημιουργεί ένα κρυπτογραφημένο «τούνελ» από τον υπολογιστή στον πάροχο VPN, ο οποίος στη συνέχεια μεταφέρει την «κίνηση» στον συγκεκριμένο προορισμό στο Internet. Υπάρχουν δύο διαφορετικά είδη VPN, εταιρικά και προσωπικά. Τα εταιρικά δίκτυα VPN συνδέουν συσκευές στο δίκτυο μιας επιχείρησης, προστατεύοντας την κίνηση του δικτύου των επιχειρήσεων. Τα προσωπικά δίκτυα VPN είναι ειδικά σχεδιασμένα για τον συγκεκριμένο καταναλωτή ή τον επαγγελματία ταξιδιώτη. Πολλές διαφορετικές εταιρίες παρέχουν δωρεάν ή πληρωμένες υπηρεσίες VPN.

› ΤΑ ΕΤΑΙΡΙΚΑ δίκτυα VPN είναι ασφαλέστερα επειδή δημιουργούν έναν απευθείας ασφαλή σύνδεσμο (ή τούνελ) μεταξύ της συσκευής του εργαζομένου και του εταιρικού συστήματος. Ομως, ανάλογα με τον τρόπο πρόσβασης στο VPN, μια εταιρία μπορεί να μην έχει τη δυνατότητα για όλους τους εργαζομένους της να έχουν ταυτόχρονη πρόσβαση στο VPN. Εξαιτίας αυτού, είναι σημαντικό οι ομάδες πληροφορικής (ΙΤ) να λάβουν υπόψη αυτήν τη δυνατότητα κατά την εκπόνηση σχεδίων έκτακτης ανάγκης. Εάν χρησιμοποιείται ένα προσωπικό VPN, είναι σημαντικό να θυμάστε ότι το αδύνατο σημείο απλά μετακινείται από το άμεσο δημόσιο δίκτυο στον πάροχο VPN και πέρα από αυτό. Εάν οι ιστοσελίδες και οι εφαρμογές όπου υπάρχει πρόσβαση δεν χρησιμοποιούν κρυπτογράφηση, τότε οποιοσδήποτε μεταξύ αυτών των ιστότοπων και του παρόχου VPN (καθώς και ο πάροχος VPN) θα μπορεί να δει αυτά τα δεδομένα.

› ΤΑ ΚΑΛΑ ΝΕΑ είναι ότι ο «δράστης» περιορίζεται στην πρόσβαση μόνο στις πληροφορίες που αποστέλλονται μέσω του δικτύου. Δεν έχουν πρόσβαση στις πληροφορίες που είναι αποθηκευμένες σε μεμονωμένες συσκευές. Υπάρχουν όμως και άλλες απειλές σε αυτές τις πληροφορίες.

› ΗΛΕΚΤΡΟΝΙΚΟ «ΨΑΡΕΜΑ» (Phishing) και μέσω εταιρικού ηλεκτρονικού ταχυδρομείου (B.E.C.-Business Email Compromise): Οπως και με κάθε κρίση, έχει εμφανιστεί μεγάλη ποικιλία προγραμμάτων «ηλεκτρονικού ψαρέματος» που προσπαθούν να επωφεληθούν από τη μαζική υστερία που έχει δημιουργηθεί από την πανδημία COVID-19. Ορισμένα από αυτά ισχυρίζονται ότι διαθέτουν ακόμη και τον σύνδεσμο που θα οδηγήσει τους χρήστες στην ευρέως αναγνωρισμένη και πολύ χρήσιμη ιστοσελίδα του Johns Hopkins για τον COVID-19. Συνιστούμε στους εργαζομένους να ενημερώνονται σχετικά με αυτές τις απειλές και να τους παρέχονται όλες οι συμβουλές για να προσέχουν ότι τους στέλνονται e-mails με συνημμένα ή με συνδέσμους για τον COVID-19. Αυτό θα πρέπει, επίσης, να περιλαμβάνει ανακοινώσεις που υποτίθεται ότι προέρχονται από την εταιρία, από τα σχολεία των παιδιών των εργαζομένων ή από τις τοπικές κυβερνήσεις, καθώς οι διευθύνσεις ηλεκτρονικού ταχυδρομείου μπορούν να είναι πλαστές.

› ΜΙΛΩΝΤΑΣ για ψεύτικα εταιρικά e-mails, αναμένουμε επίσης ότι μέσω εταιρικού ηλεκτρονικού ταχυδρομείου (B.E.C.-Business Email Compromise) που μερικές φορές αναφέρεται και ως «CEO scams» ή «president scams», θα γίνει ολοένα και περισσότερο επικίνδυνο, καθώς περισσότερες επιχειρήσεις λειτουργούν μέσω ηλεκτρονικού ταχυδρομείου εξ αποστάσεως – και οι εγκληματίες του Κυβερνοχώρου επιδιώκουν να επωφεληθούν από την κατάσταση. Πρόκειται για μια παλιά, αλλά αυξανόμενη κοινωνική απειλή στην οποία οι χάκερ υποδύονται εταιρικούς αξιωματούχους και στέλνουν ένα e-mail που ζητάει μεταφορά χρημάτων σε λογαριασμό για κάποιον εύλογο λόγο ή ζητείται η πληρωμή ενός ψεύτικου τιμολογίου. Τέτοιες επιθέσεις προσπαθούν να εκφοβίσουν τους υπαλλήλους για να συμμορφωθούν με τις οδηγίες, συνδυάζοντας το νομιμοφανές με την πίεση που ασκείται από μια επείγουσα έκκληση εκ μέρους ενός προσώπου της εταιρικής Αρχής. Είναι σημαντικό οι εργαζόμενοι να εκπαιδεύονται σχετικά με τέτοιες απάτες και να ενθαρρύνονται να διενεργούν διπλούς ελέγχους με το πρόσωπο που ζητά τη μεταφορά ή την πληρωμή, πριν να την εκτελέσει.

Από την έντυπη έκδοση