9 minute read
Jak sociální média ovlivňují firemní bezpečnost
MICHALA BENEŠOVSKÁ
Sociální média se stala nezbytnou součástí obchodních strategií moderních organizací. Aktivní přítomnost na sociálních sítích může být pro firmu nesmírně přínosná. Jenže sociální média přinášejí také rizika, a nejde přitom pouze o nepovedený post nebo válku s trolly. Bezpečnostní rizika sociálních médií mohou mít velký dopad, včetně kompromitace firemních a osobních účtů, což může vést nejen k finančním ztrátám, ale také ke ztrátě reputace a pokutám od regulačních orgánů.
Sociální média netřeba v roce 2022 blíže představovat, neboť jsou strategickým komunikačním nástrojem, bez nějž podniky, ať už jde o velké nebo malé firmy, ve vysoce konkurenčním prostředí nemají šanci na úspěch. Sociální média způsobila revoluci ve způsobu, jakým se podniky spojují se svými zákazníky, zvyšují povědomí o značce, generují potenciální zákazníky a poskytují zákaznickou podporu. Platformy sociálních médií s obrovským celosvětovým publikem, které lze zapojit v reálném čase, pomáhají nejen s marketingem a prodejem, ale také s budováním značky nebo náborem zaměstnanců.
V tuzemském prostředí dominuje Facebook, který dnes má prakticky každá společnost, která přistupuje k marketingu alespoň trochu systematicky. Ve firemním prostředí se těší oblibě také LinkedIn, který do značné míry přebírá roli Facebooku, a to bohužel i s jeho neduhy. Osvícenější společnosti mají také Instagram – ty, které se chtějí v online prostředí skutečně prosadit mají na jeho správu vyhrazeného specialistu nebo spolupracují s agenturami nebo zdatnými externisty. Dokonce i u nás jsou progresivní společnosti, které se nebojí ani TikToku, ale zde už jde opravdu o důkladně promyšlené marketingové koncepty, které tuto síť, kde dominují krátká videa a její hlavní cílovou skupinou jsou příslušníci generace Z, zahrnují do svých strategií. Pokud jde o Twitter, zde se dá spíš na „hlas jednotlivce“, takže jde o účinný nástroj, ale firemní profily propagující služby a produkty, jsou zde prakticky ignorovány. Dobře zvládnutý firemní twitterový profil je v českém prostředí spíš výjimkou.
Proč by měla být sociální média bezpečnostní hrozbou?
Ze sociálních sítí přichází řada hrozeb, což si možná mnozí neuvědomují. Kyberzločinci používají různé metody v závislosti na cílové platformě sociálních médií. Ve velkém množství případů se setkáváme například s tím, že kyberzločinci využívají účty podniků a jejich zaměstnanců na sociálních sítích ke shromažďování informací, což je obvykle první krok jejich kybernetického útoku. Tyto informace pak využívají k sociálnímu inženýrství v dalších krocích svých útoků. Sociální sítě mohou být také využívány k vydávání se za značky nebo osoby s nimi spojené s cílem využít důvěry, která je s těmito značkami spojena, při phishingových kampaních.
Sociální sítě jsou ideální pro sociální inženýrství
Průzkum sociálních médií pomáhá zločincům zjistit, kdo ve společnosti je zranitelný vůči psychologické manipulaci a zastrašovací taktice. Tyto informace využívají k vytváření zpráv, které vyvolávají pocit naléhavosti a brání oběti v racionálním uvažování.
Pokud například útočník zjistí, že do organizace nastoupil nový člověk do účetního oddělení, může mu zkusmo poslat e-mail nebo zprávu, v níž se vydává za vysoce postaveného manažera, a pokusit se z něj vylákat prostředky. Protože ví, že je vybraný člověk ve společnosti nový, může si myslet, že není obeznámen s procesy a že ho naléhavý e-mail od vysoce postaveného vedoucího pracovníka donutí zkratovitě jednat.
Phishing
Platformy pro zasílání zpráv na sociálních sítích se často využívají k zasílání phishingových e-mailů, které se snaží uživatele přimět ke kliknutí na škodlivé odkazy nebo ke stažení malwaru. Informace získané ze sociálních sítí mohou útočníkům také umožnit, aby jejich phishingové zprávy byly relevantní a věrohodné. Pokud například útočník zjistí, že je zaměstnanec na dovolené, může podvrhnout jeho účet na sociální síti a poslat phishingové zprávy jeho kolegům
Podvržený profil
Kyberzločinci často vytvářejí falešné profilové stránky a účty, které se vydávají za známé značky. Ty pak používají k šíření falešných nabídek, slev nebo dárků, aby uživatele podvodně přiměli k prozrazení svých přihlašovacích údajů nebo jiných citlivých informací. To může mít na postiženou značku či firmu neblahý dopad hned na dvou úrovních – buď se může za firmu na sociálních sítích někdo vydávat, čímž napáchá velké škody a může nevratně ovlivnit reputaci společnosti, nebo se obětí takových podvodů mohou stát samotní zaměstnanci, kteří bezděky vystaví interní síť a firemní účet bezpečnostním rizikům.
Malware
I když je e-mail nejčastějším médiem pro doručování malwaru, jsou k tomuto účelu využívány také platformy pro zasílání zpráv na sociálních sítích. K nakažení stačí kliknout na škodlivý odkaz nebo reklamu. Existují dokonce i malwary bez souborů, které není třeba stahovat; malware lze získat pouhou návštěvou škodlivé webové stránky. Na pracovišti jsou zaměstnanci před většinou takového malwaru chráněni různými bezpečnostními systémy. Domácí síť a veřejná síť Wi-Fi však obvykle nemají příliš robustní bezpečnostní systémy, které by vás před pokročilým malwarem ochránily.
Falešný profil – catfishing
Na internetu označuje termín catfish falešný osobní profil na sociální síti vytvořený za podvodným nebo klamavým účelem. Catfishing může sloužit k firemní špionáži, krádeži dat a získávání pověření. Lze se s ním setkat napříč internetem od Instagramu a Twitteru až po různé chaty a seznamky, kde lidé používají falešné, ukradené fotografie k vytvoření osobního profilu. Ten pak slouží k tomu, aby se nejprve spřátelili s cílovými účty online a poté toto přátelství využili k získání citlivých informací nebo k přímému finančnímu zisku.
Důsledky zneužití sociálních médií
Sociální média mohou napáchat pěknou paseku – obzvláště v případě, že společnost tuto oblast zanedbává a je na okraji jejích zájmů. Co všechno hrozí společnostem, které berou bezpečnost a sociální média na lehkou váhu?
Ztráta duševního vlastnictví a citlivých údajů
Únik nebo krádež dat, předčasné zveřejnění citlivých informací strategických pro chod organizace a krádež duševního vlastnictví mohou vést k výrazným finančním ztrátám a mohou dokonce vyústit v ukončení činnosti společnosti. Takové události nejsou vždy výsledkem sofistikovaných kybernetických útoků. V mnoha případech jsou důsledkem lidské chyby vynucené phishingovými útoky, sociálním inženýrstvím a vydáváním se za někoho jiného.
Ztráta dobrého jména
Názory spotřebitelů se na sociálních sítích šíří neskutečně rychle. A negativní recenze a zpětná vazba mají mnohem větší tendenci stát se virálními než dobrá zkušenost nebo pochvala. Z tohoto důvodu musejí být společnosti velmi opatrné, pokud jde o jejich pověst na internetu. A nemusí jít zrovna o falešný nebo ukradený profil. Některé společnosti si na sociálních sítích podřezaly větev samy – necitlivé posty, urážení zákazníků (zákazník má vždycky pravdu, na to je třeba myslet i na sociálních sítích) nebo šíření fake news, nereálné sliby, politické názory, nevhodné chování zaměstnanců… Pokud firma nevěnuje pozornost své online prezentaci nebo neřeší negativní zpětnou vazbu, mohou být potenciální následky negativní publicity na sociálních sítích doslova katastrofa. Sociální média mají takovou moc, že jedna negativní událost může během několika okamžiků zničit roky budování značky a veškerou dobrou pověst. V tomto ohledu jsou sociální média naprosto nekompromisní a jejich uživatelé nikdy a nikomu neodpouštějí. Únik dat nebo narušení bezpečnosti
Platformy sociálních médií, zejména seznamky, mohou být využity k nalákání zaměstnanců nebo vedoucích pracovníků. Taktika „falešných online vztahů“ se používá k lákání osob, které mají přístup k citlivým informacím. Útočník pak získá informace nebo přihlašovací údaje k účtu, aby získal neoprávněný přístup k citlivým údajům s úmyslem je ukrást nebo nechat uniknout za účelem finančního zisku. Může se to zdát jako příliš triviální nebo neuvěřitelné, ale faktem je, že řada zaměstnanců této taktice podlehne. Jde totiž o propracovanou a dlouhodobou strategii – útočníci budují důvěru i měsíce a vytvářejí komplexní persony s příběhy, které působí legitimně.
Porušování pravidel
Pokud účty na sociálních sítích nejsou přísně regulovány firemními zásadami, může se firma vystavit riziku sdělování informací, které porušují regulační požadavky a zákony na ochranu osobních údajů. V závislosti na odvětví a službách existuje řada potenciálních rizik, včetně porušení ochranné známky nebo autorských práv, porušení předpisů, porušení práv souvisejících s uchováváním údajů nebo práv na ochranu soukromí atd.
Rozsáhlé úniky a narušení bezpečnosti dat vedly ke zvýšenému důrazu na ochranu soukromí, což má za následek více předpisů a požadavků na dodržování pravidel ze strany podniků. Organizace proto musejí být velmi opatrné, pokud jde o jejich online přítomnost a zapojení uživatelů v souvislosti se zabezpečením dat a ochranou soukromí.
Jak zmírnit rizika, která sociální média přinášejí
Sociální média jsou dnes nutnost pro všechny, kteří se chtějí v online prostoru prosadit. Rizika, která jsme si představili, mohou vyústit ve fatální incident, který může vést k ukončení činnosti společnosti. Jak tedy postupovat, aby byla tato různorodá rizika eliminována?
Dvoufaktorové ověřování (2FA)
Pokud to platforma sociálních médií umožňuje (ty, které se dnes masově používají, dvoufaktorové ověřování nabízejí), je přímo nutné 2FA aktivovat. Nejde sice o 100% účinný a neprůstřelný způsob zabezpečení účtu, ale rozhodně to případným útočníkům dost zkomplikuje „práci“ – těm méně zdatným dokonce natolik, že pokusů o neoprávněný průnik do účtu vzdají. V dnešní době patří 2FA k naprostému bezpečnostnímu minimu.
Zavedení přísných zásad používání hesel
Hesla jsou stálicí kybernetické bezpečnosti. Jde o princip, který je dávno překonaný, nespolehlivý, a přesto neustále nenahraditelný. Kombinace uživatelského jména a hesla je nejvýznamnějším zranitelným místem, protože většina zaměstnanců (a obecně uživatelů) nepraktikuje správnou „hygienu“ hesel. Zavedením přísné politiky hesel lze do jisté míry ochránit své uživatelské účty a interní síť před většinou typů útoků na hesla a pokusů o hackerské útoky.
Jen kvalitní spojení
Z marketingového hlediska je cílem mít na sociálních médiích co nejvíce sledujících nebo spojení. Čím větší je však počet spojení, tím větší je hrozba podvodných nebo kompromitujících útoků. Ne každý sledující na sociálních médiích je potenciální zákazník, ne každá žádost o přátelství se musí přijmout. V temných zákoutích sociálních sítí se potuluje spousta aktérů hrozeb.
Ne všichni jsou však ostražití nebo technicky zdatní. Někdo může nevědomky sdílet škodlivý odkaz a ohrozit tak celý firemní účet nebo síť. Proto je na místě obezřetnost v tom, s kým se člověk připojuje a komunikuje online.
Agregování dat napříč platformami
Každá informace, kterou člověk umístí na své účty na sociálních sítích, je potenciálním datovým bodem, ale nejde jen o obsah, který uživatel sdílí. Aktéři hrozeb mohou shromažďovat informace z memů a kvízů, které uživatel vyplňuje. Odpovídat na memy typu „Jméno tvého superhrdiny je dívčí jméno tvé matky plus tvá oblíbená barva“ je zdánlivě neškodné rozptýlení. Zní to povědomě? Třeba jako bezpečnostní otázky, které kladou weby, aby získaly hesla? První domácí zvíře, první auto, oblíbená barva a tak dále. Ukázalo se, že některé z těchto kvízů vytvářejí útočníci, aby získali přístup k online účtům svých obětí.
Jeden nebo dva kousky informací pravděpodobně nebudou nebezpečné, ale pokud se uživatel stane cílem útoku, bude útočník hledat další informace napříč sociálními sítěmi. Jakýkoli veřejně dostupný obsah je potenciálně užitečný.
Monitoring značky i loga
Také společnosti, které dbají na bezpečnost v maximální možné míře, si musejí dávat na podvržené účty. Kyberzločinci mohou použít veřejně dostupné logo k vytvoření falešných stránek značky a využít je k podvodu na nových i stávajících zákaznících. Proto společnosti musejí monitorovat sociální média, zda někdo nepoužívá název a logo značky, a nahlásit všechny falešné stránky nebo účty.
Zásady používání sociálních médií
Většina zaměstnanců je aktivní na platformách sociálních médií, jako jsou Facebook, LinkedIn, Twitter atd. Informace, které na nich zveřejňují, mohou být zneužity aktéry hrozeb k vytvoření vysoce cílených spear-phishingových e-mailů s cílem zmocnit se účtů, poškodit pověst organizace nebo získat přístup do interních sítí. Navíc to, jak zaměstnanci komunikují na sociálních sítích, se může odrazit na značce a online pověsti.
Proto by v zájmu ochrany firmy měly mít jasné zásady pro sociální média. Pravidla by měla upravovat, jaké informace mohou a nemohou být sdíleny, jak používat firemní a osobní účty a aktiva, jak reagovat na nevhodný nebo citlivý obsah a jak řídit rizika přímého nebo nepřímého poškození pověsti.
Školení zaměstnanců
Útoky na sociální média představují velmi reálná nebezpečí, kterých si musejí být zaměstnanci vědomi. Zaměstnanci hrají velkou roli při ochraně organizace před útoky na sociálních sítích a tuto roli musejí pochopit. Pravidelné programy zvyšování povědomí a školení mohou vašim zaměstnancům pomoci identifikovat útoky na sociální sítě a pomoci ochránit firmu před phishingovými útoky na sociální sítě a dalšími riziky. Zaměstnanci by měli být pravidelně školeni o online bezpečnosti obecně.
Sociální média: dobrý sluha, zlý pán
V dnešní době jsou sociální média více než jen o sociálních sítích. Staly se obchodní nutností, ale také bezpečnostním rizikem. Útočníci přizpůsobili své metody tak, aby mohli ze sociálních médií získat důležitá fakta o zaměstnancích a vytvořit skryté phishingové kampaně a další útoky založené na sociálním inženýrství.
Sociální média přinášejí podnikům různá rizika od relativně neškodného (avšak frustrujícího a nepříjemného) trollingu a vandalismu přes kompromitaci firemních e-mailů (BEC) až po krádeže dat. Pokud je firma přítomna na sociálních sítích, je nutné vyčlenit prostředky na ochranu účtů, respektive firmy před hrozbami sociálních médií. Sociální média mohou být skvělým prostředkem komunikace a dost mohou pomoci i obchodním aktivitám, ale stejně dobře můžou posloužit nekalým úmyslům.
