ทำงานกับฟรีแลนซ์อย่างไรให้ปลอดภัยทางไซเบอร์
ผู้เชี่ยวชาญของแคสเปอร์สกี้เผยวิธีการป้องกันภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับฟรีแลนซ์ การทำงานกับฟรีแลนซ์เป็นเรื่องปกติทั่วไปสำหรับผู้จัดการหลายคนมานานแล้ว
แม้แต่ในองค์กรขนาดใหญ่ งานบางอย่างก็ไม่สามารถจัดการได้ภายในทีม รวมถึงธุรกิจขนาดเล็กที่ปกติไม่สามารถจ้างพนักงานเพิ่มได้ แต่การเชื่อมโยงบุคคลภายนอกเข้ากับกระบวนการทำงานแบบดิจิทัลสามารถเพิ่มความเสี่ยงทางไซเบอร์ได้ โดยเฉพาะอย่างยิ่งเมื่อทำงานติดต่อกับตัวบุคคลโดยตรงโดยไม่ผ่านตัวแทนคนกลาง
อันตรายจากอีเมลขาเข้า
ในการค้นหาฟรีแลนซ์ที่เหมาะสม คุณควรเริ่มคิดถึงภัยคุกคามที่อาจเกิดขึ้น เมื่อจะว่าจ้างใครสักคน เรามักจะขอดูพอร์ตโฟลิโอประวัติและผลงานก่อน ฟรีแลนซ์จะส่งเอกสาร ไฟล์ผลงาน หรือลิงก์ไปยังเว็บไซต์ของเธิร์ดปาร์ตี้
นักวิจัยมักพบช่องโหว่ในเบราว์เซอร์หรือชุดโปรแกรมสำนักงาน ผู้โจมตีสามารถเข้าควบคุมคอมพิวเตอร์ขององค์กรได้หลายครั้งโดยการแทรกสคริปต์ที่เป็นอันตรายลงในเอกสารข้อความ หรือโดยการฝังชุดช่องโหว่ในโค้ดเว็บไซต์ แต่บางครั้งเทคนิคดังกล่าวอาจไม่จำเป็น พนักงานบางคนพร้อมที่จะคลิกไฟล์ที่ได้รับโดยไม่ดูส่วนขยายก่อน และเปิดใช้ไฟล์ปฏิบัติการโดยไม่ระมัดระวัง
ผู้โจมตีสามารถแสดงพอร์ตโฟลิโอปกติได้ (ซึ่งอาจไม่ใช่ผลงานของตัวเอง) และส่งไฟล์ที่เป็นอันตรายในภายหลัง นอกจากนี้ ผู้โจมตีสามารถควบคุมคอมพิวเตอร์หรือเมลบ็อกซ์ของฟรีแลนซ์ และใช้เพื่อโจมตีบริษัทของคุณได้ เพราะไม่มีใครรู้ว่าอุปกรณ์หรือบัญชีของฟรีแลนซ์ได้รับการปกป้องอย่างไร และความปลอดภัยด้านไอทีของคุณก็ไม่สามารถควบคุมสิ่งที่เกิดขึ้นได้ คุณไม่ควรถือว่าไฟล์ที่ได้รับนั้นเชื่อถือได้ แม้ว่าจะมาจากฟรีแลนซ์ที่คุณทำงานด้วยมาหลายปีแล้วก็ตาม
มาตรการรับมือ: หากคุณต้องการทำงานกับเอกสารที่สร้างขึ้นนอกโครงสร้างพื้นฐานของบริษัท การรักษาสุขอนามัยดิจิทัลเป็นสิ่งสำคัญสูงสุด พนักงานทุกคนควรตระหนักถึงภัยคุกคามทางไซเบอร์ที่เกี่ยวข้อง ดังนั้นจึงควรยกระดับความตระหนักด้านความปลอดภัยของตน นอกจากนี้ เราสามารถให้คำแนะนำที่ใช้งานได้จริงดังนี้
- ตั้งกฎเกณฑ์ที่เข้มงวดสำหรับการแลกเปลี่ยนเอกสาร และห้ามเปิดไฟล์หากไม่ปฏิบัติตามกฎเหล่านี้ ไม่ควรรับส่งไฟล์ที่ขยายตัวเองได้ สำหรับไฟล์ที่ต้องใช้รหัสผ่านนั้น อาจจำเป็นต้องเลี่ยงผ่านตัวกรองป้องกันมัลแวร์ในอีเมลเท่านั้น
- แยกใช้งานคอมพิวเตอร์ต่างหาก โดยแยกออกจากเครือข่าย หรือใช้เครื่องเสมือนเพื่อทำงานกับไฟล์จากแหล่งภายนอก หรืออย่างน้อยก็ตรวจสอบก่อน วิธีนี้จะช่วยลดความเสียหายที่อาจเกิดขึ้นได้อย่างมากในกรณีที่มีการติดมัลแวร์
- ตรวจสอบการติดตั้งคอมพิวเตอร์เครื่องนี้หรือเครื่องเสมือนด้วยโซลูชันการรักษาความปลอดภัยเพื่อป้องกันการใช้ประโยชน์จากจุดอ่อนหรือคลิกลิงก์ไปยังเว็บไซต์ที่เป็นอันตราย
สิทธิ์การเข้าถึง
ในการทำงานร่วมกันในโครงการ ฟรีแลนซ์มักจะเข้าถึงระบบดิจิทัลของบริษัท ได้แก่ แพลตฟอร์มการแชร์ไฟล์ ระบบการจัดการโครงการ บริการการประชุม โปรแกรมส่งข้อความภายใน บริการคลาวด์ และอื่นๆ ดังนั้นคุณจะต้องหลีกเลี่ยงข้อผิดพลาดสองประการ นั่นคือ อย่าให้สิทธิ์การเข้าถึงแก่ฟรีแลนซ์มากเกินไป และอย่าลืมเพิกถอนการเข้าถึงหลังจากงานเสร็จสิ้น
ในการให้สิทธิ์การเข้าถึง เป็นการดีที่สุดที่จะปฏิบัติตามหลักการของสิทธิพิเศษน้อยที่สุด ฟรีแลนซ์ควรมีสิทธิ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นสำหรับโครงการปัจจุบันเท่านั้น เข้าถึงพื้นที่จัดเก็บไฟล์ได้ไม่จำกัด หรือแม้แต่ประวัติการแชทซึ่งอาจเป็นภัยคุกคามได้ อย่าประมาทข้อมูลที่เก็บไว้ในบริการเสริมต่างๆ
ตัวอย่างเช่น การแฮ็กทวิตเตอร์ในปี 2020 เริ่มขึ้นเมื่อผู้โจมตีเข้าถึงแชทภายในขององค์กรโดยใช้วิธีวิศวกรรมทางสังคม สามารถโน้มน้าวพนักงานบริษัทให้อนุญาตให้เข้าถึงบัญชีได้หลายสิบบัญชี
การเพิกถอนสิทธิหลังสิ้นสุดโครงการนั้นไม่ถือเป็นเรื่องทางการ มักไม่มีการแจ้งภายหลังจากทำงานเสร็จแล้ว การสร้างบัญชีเพิ่มเติมที่สามารถเข้าถึงข้อมูลบริษัทได้นั้นไม่ใช่เรื่องดี จะเกิดอะไรขึ้นหากฟรีแลนซ์ตั้งรหัสผ่านที่ไม่รัดกุมหรือใช้รหัสผ่านซ้ำจากบัญชีอื่นๆ ที่มีอยู่ ในกรณีที่มีการรั่วไหล ก็จะเป็นจุดอ่อนเพิ่มเติมในเครือข่ายองค์กรของคุณ
มาตรการรับมือ: สิ่งที่สำคัญที่สุดคือการลบหรือปิดใช้งานบัญชีของฟรีแลนซ์หลังจากสิ้นสุดการจ้างงาน หรืออย่างน้อยที่สุด ให้เปลี่ยนอีเมลและรหัสผ่านที่เกี่ยวข้อง อาจจำเป็นต้องให้ระบบลบข้อมูลทั้งหมดที่เชื่อมโยงกับบัญชีดังกล่าว นอกจากนี้ เราขอแนะนำดังต่อไปนี้
- Requiring contractors to maintain good digital hygiene and use security solutions (at least free ones) on the devices they use to connect to company resources.
- Enforcing two-factor authentication in all cloud systems wherever possible.
- Setting up a separate infrastructure for the freelancers’ and subcontractors’ projects and files, if possible.
- Scanning all files uploaded to the cloud storage or corporate server for malware.
- เก็บบันทึกผู้ที่สามารถเข้าถึงบริการไว้ที่ส่วนกลาง วิธีนี้จะช่วยให้คุณเพิกถอนสิทธิ์ทั้งหมดหลังจากสิ้นสุดโครงการ และในทางกลับกัน อาจมีประโยชน์ในการตรวจสอบเหตุการณ์ที่เกิดขึ้น
กำหนดให้ผู้รับว่าจ้างรักษาสุขอนามัยดิจิทัลที่ดี และใช้โซลูชันการรักษาความปลอดภัย (อย่างน้อยก็ใช้โซลูชันฟรี) บนอุปกรณ์ที่ใช้เชื่อมต่อกับทรัพยากรของบริษัท
- ใช้การรับรองความถูกต้องด้วยสองปัจจัยในระบบคลาวด์ทั้งหมดในทุกที่ที่ทำได้
- หากเป็นไปได้ ให้ตั้งค่าโครงสร้างพื้นฐานแยกต่างหากสำหรับโครงการและไฟล์ของผู้รับว่าจ้างและฟรีแลนซ์
- สแกนไฟล์ทั้งหมดที่อัปโหลดไปยังที่เก็บข้อมูลบนคลาวด์หรือเซิร์ฟเวอร์ขององค์กรเพื่อหามัลแวร์
ที่มา:
ไอทีจีเนียส เอ็นจิเนียริ่ง (IT Genius Engineering) ให้บริการด้านไอทีครบวงจร ทั้งงานด้านการอบรม (Training) สัมมนา รับงานเขียนโปรแกรม เว็บไซต์ แอพพลิเคชั่น งานออกแบบกราฟิก และงานด้าน E-Marketing ที่กำลังได้รับความนิยมในปัจจุบัน ทั้ง SEO , PPC , และ Social media marketting
ติดต่อเราเพื่อสอบถามผลิตภัณฑ์ ขอราคา หรือปรึกษาเรื่องไอที ได้เลยค่ะ
Line : @itgenius (มี @ ด้านหน้า) หรือ https://lin.ee/xoFlBFeFacebook : https://www.facebook.com/itgeniusonline
Tel : 02-570-8449 มือถือ 088-807-9770 และ 092-841-7931
Email : contact@itgenius.co.th
แนะนำหลักสูตรอบรมที่น่าสนใจ
Oracle Database 11g for Administration (5 days)
หลักสูตรนี้เป็นหลักสูตรที่สำคัญสำหรับผู้เริ่มต้นการเป็นผู้เชี่ยวชาญในฐานข้อมูล Oracle โ...
Web Application with Yii Framework
เรียนรู้การใช้งาน Yii ซึ่งเป็น PHP Framework ที่มีประสิทธิภาพสูงเหมาะสำหรับใช้กับการพัฒ...
Basic iOS Development
หลักสูตร IOS Development เหมาะสำหรับผู้เริ่มต้นที่จะทำการพัฒนาโปรแกรมบนระบบมือถือ iPhon...
Web Services Using C# and ASP.NET
การสร้าง Web Service และการเรียกใช้งาน Web Service โดยใช้ C# และ ASP.NET สำหรับผู้เริ่ม...
Visual C# Programming and Microsoft SQL Server 2012
หลักสูตรนี้เหมาะสำหรับการเขียน application ที่ติดต่อกับฐานข้อมูล โดยใช้เทคโนโลยีล่าสุดข...
คำค้นหา : ฟรีแลนซ์แคสเปอร์สกี้ภัยคุกคามทางไซเบอร์การทำงานแบบดิจิทัลการติดมัลแวร์อันตรายจากอีเมลไฟล์ผลงานคอมพิวเตอร์พอร์ตโฟลิโอแพลตฟอร์มการแชร์ไฟล์บริการคลาวด์สแกนไฟล์