Dla wielu osób współpraca z freelancerami nie jest już niczym nadzwyczajnym. Nawet w dużej organizacji zdarza się, że w obrębie własnego zespołu nie można zrealizować wszystkich zadań, a z kolei małe firmy zwykle nie mogą sobie pozwolić na zatrudnienie dodatkowego pracownika. Jednak włączenie osoby z zewnątrz do cyfrowego przepływu pracy może zwiększyć ryzyko zagrożeń, zwłaszcza gdy pracujesz z osobą bezpośrednio, zamiast korzystać z agencji pośredniczącej.
Zagrożenia w odbieranych wiadomościach
O potencjalnych zagrożeniach należy zacząć myśleć już podczas poszukiwania odpowiedniego freelancera. Raczej mało prawdopodobne jest, że zatrudnisz kogoś, nie zaglądając w jego portfolio. Freelancer może wysłać Ci jakiś dokument, spakowany zestaw swoich prac lub link do strony innej firmy — w każdym przypadku prawdopodobnie trzeba będzie kliknąć link lub otworzyć plik. W rzeczywistości w takim pliku lub witrynie może znajdować się prawie wszystko.
Badacze regularnie odkrywają luki w zabezpieczeniach przeglądarek lub pakietów biurowych. Atakującym nie raz udało się przejąć kontrolę nad komputerami firmowymi, a w efekcie umieszczali w dokumentach tekstowych szkodliwe skrypty lub pakiet exploitów w kodzie strony internetowej. Czasami użycie takich sztuczek może nie być konieczne, bo część pracowników jest gotowa kliknąć otrzymany plik, nie patrząc na jego rozszerzenie.
Należy pamiętać, że potencjalny napastnik może pokazać Ci portfolio (niekoniecznie z własnymi pracami), a szkodliwy plik wysłać później, na przykład jako wykonane zadanie. Co więcej, ktoś może przejąć kontrolę nad komputerem lub skrzynką pocztową freelancera i użyć ich do ataku na Twoją firmę. W końcu nikt nie wie, w jaki sposób jego urządzenie lub konto jest chronione, więc Twój dział bezpieczeństwa IT nie ma kontroli nad tym, co się tam dzieje. Dlatego nie warto uznawać otrzymanych plików za bezpieczne, nawet jeśli pochodzą od freelancera, z którym współpracujesz od lat.
Jak zapewnić sobie bezpieczeństwo?
Jeśli musisz pracować z dokumentami, które powstają poza infrastrukturą firmy, ogromne znaczenie ma utrzymanie higieny cyfrowej. Wszyscy pracownicy powinni dysponować stosowaną wiedzą dotyczącą cyberzagrożeń, więc warto podnieść ich poziom świadomości bezpieczeństwa. Ponadto poniżej publikujemy kilka praktycznych porad:
- Ustal ścisłe zasady wymiany dokumentów, poinformuj o nich freelancerów i nie otwieraj plików, jeśli nie przestrzegają tych zasad. Samorozpakowujące się archiwum? Nie, dziękuję. Archiwum z hasłem podanym w tej samej wiadomości? Może to być konieczne tylko w celu ominięcia filtrów poczty e-mail chroniących przed szkodliwym oprogramowaniem.
- Zorganizuj oddzielny, odizolowany od reszty sieci komputer lub maszynę wirtualną, które będą służyły do pracy z plikami pochodzącymi ze źródeł zewnętrznych lub przynajmniej do sprawdzania ich. W ten sposób znacznie zmniejszysz wszelkie potencjalne szkody w przypadku infekcji.
- Pamiętaj, aby wyposażyć ten komputer lub maszynę wirtualną w rozwiązanie zabezpieczające, które uniemożliwi wykorzystanie luk w zabezpieczeniach i kliknięcie linku prowadzącego do szkodliwej witryny.
Uprawnienia dostępowe
Załóżmy, że znalazłeś potrzebnego zewnętrznego specjalistę. Aby współpraca nad projektem była możliwa, freelancerzy często uzyskują dostęp do systemów cyfrowych firmy: platform udostępniania plików, systemów zarządzania projektami, usług do przeprowadzania konferencji, wewnętrznych komunikatorów, usług w chmurze itp. Zwróć uwagę, aby nie popełnić dwóch błędów — nie dawaj freelancerowi większych uprawnień, niż potrzebuje, i nie zapomnij odwołać dostępu po zakończeniu pracy.
Jeśli chodzi o przyznawanie uprawnień, najlepiej kieruj się zasadą przyznawania najniższych koniecznych: freelancer powinien mieć dostęp tylko do tych zasobów, które są potrzebne do bieżącego projektu. Zagrożenie może stanowić nieograniczony dostęp do przechowywania plików, a nawet historii czatów. Nie lekceważ danych przechowywanych w usługach pomocniczych. Według doniesień medialnych włamanie na Twittera w 2020 roku rozpoczęło się, gdy atakujący uzyskali dostęp do wewnętrznego czatu organizacji. Wówczas, za pomocą socjotechniki, udało im się przekonać pracownika firmy, aby dał im dostęp do kilkudziesięciu kont.
Konieczne jest także cofnięcie uprawnień po zakończeniu projektu. Nie twierdzę, że po zakończeniu pracy każdy freelancer na pewno zacznie hakować system zarządzania projektami, ale samo istnienie dodatkowego konta z dostępem do danych firmowych nie jest dobrą praktyką. Jeśli freelancer ustawi słabe hasło lub użyje hasła, które stosuje na innych kontach, w przypadku wycieku będzie to dodatkowy punkt podatności w sieci firmowej.
Jak zapewnić sobie bezpieczeństwo?
Najważniejszym krokiem jest tu usunięcie lub dezaktywacja konta freelancera po ustaniu współpracy. A przynajmniej zmiana powiązanego adresu e-mail i hasła — taka sytuacja może dotyczyć systemów, które usuwają wszystkie dane związane z kontem. Ponadto zalecamy przestrzeganie poniższych wskazówek:
- Prowadź scentralizowany rejestr tego, kto ma dostęp do jakich usług. Z jednej strony pomoże to odwołać wszystkie uprawnienia po zakończeniu projektu, a z drugiej strony może przydać się podczas badania ewentualnego incydentu.
- Wymagaj od podwykonawców przestrzegania właściwej higieny cyfrowej i korzystania z rozwiązań bezpieczeństwa (chociażby bezpłatnych) na urządzeniach, których używają do łączenia się z zasobami firmy.
- Tam, gdzie to możliwe, wymuś stosowanie uwierzytelniania dwuskładnikowego na wszystkich systemach chmurowych.
- Jeśli to możliwe, stwórz oddzielną infrastrukturę dla projektów i plików freelancerów i podwykonawców.
- Skanuj wszystkie pliki przesyłane do magazynu w chmurze lub na serwer firmowy pod kątem szkodliwego oprogramowania.