În training-urile de GDPR pe care le ținem, întotdeauna menționez ca risc major de securitate nivelul scăzut de conștientizare al angajaților. Din neștiință lumea dă share pe rețele sociale la chestii confidențiale, trimite date confidențiale pe WhatsApp, Facebook Messenger sau alte tehnologii de consumer, vorbesc de proiecte confidențiale în public și multe altele. De aceea atacurile de phishing au atât de mare succes, pentru că oamenii nu conștientizează riscurile de securitate. Însă nimic nu mă înfurie mai tare decât să văd angajați ai companiilor ieșind la masă și comportându-se de parcă ar fi în bucătăria sau în sala de mese a firmei, vorbind despre chestii ultra-confidențiale.
Restaurantul nu este birou.
Dacă vrei să afli informații confidențiale, bârfe (cine cu cine și de câte ori), șpăgi, combinații și alte încălcări ale legislației, licitații, proiecte, discount-uri secrete și multe altele, te duci la o crâșmă – restaurant, pub, terasă, cafenea – de pe lângă un sediu de birouri de corporație. Te așezi și efectiv aștepți. Nu ai nevoie de tehnică de supraveghere, nu ai nevoie de nimic. Aștepți. Și vin – câte doi, patru, șase sau chiar și zece, cu badge-urile la vedere (să le poți liniștit replica) și gata să își hrănească stomacul cu ceva oroare sănătoasă deep-fried.
Imediat ce vin bunătățile, începe ospățul și bârfa. Se discută deschis despre proiectele confidențiale, resursele implicate, bugete și statusuri. Se discută despre recrutări de la competiție, despre inițiative competitive, despre probleme pe care competiția nu trebuie să le afle (menționat cu subiect și predicat „să nu care cumva să se afle despre această situație, da?”), despre strategii de marketing, pricing, canal, poziționare. Se discută și despre amantlâcuri, hărțuieli, promovări pe pile etc. Ca și cum ar fi într-o încăpere de aia mega-securizată, etanșeizată, sound-proof.
Ce poți face cu informațiile.
În primul rând este ușor să copiezi un badge. Da, nu funcționează să intri, dar te lasă cineva că lumea are suflet bun și nu te ține la ușă mai ales dacă ai o figură plouată. Odată intrat, poți liniștit să faci ce vrei dacă știi să menționezi „keywords” pe care le-ai auzit: angajați cheie care sunt plecați și nu te pot valida, proiecte interne, strategii etc. Aș putea să pun pariu că pot sta la o corporație de asta o zi prin birouri și să nu se prindă nimeni că ceva nu este în regulă.
În al doilea rând, dacă ești de la competiție (sau chiar de la parteneri), ai toată strategia expusă. Literalmente tot. Bugete, bani, paraîndărături, incentive-uri, șpăgi și așa mai departe. Strategii de marketing, de retail, de pricing ce pot fi apoi ușor contracarate de competiție.
În al treilea rând, dacă ești hacker, ai o viziune foarte bună a vulnerabilităților. Eram la Manufaktura la Promenada Mall, așteptam să mă duc la un client în zonă, când o aud pe o doamnă de la o masă alăturată vorbind de niște bug-uri din noul sistem critic al corporației în care lucra. A descris bine bug-ul, posibilitățile de exploit, cum ar trebui ca un hacker să exploateze bug-ul și ce informații ar putea fura. Mai rămânea să scoată laptop-ul și să ne și arate tuturora cât de neagră era situația.
Altă dată, o doamnă îi rostea altei doamne pe litere parola sa. Curat data protection!
Rezultatul este dezastruos.
Marea majoritate a atacurilor cibernetice se bazează nu pe vulnerabilitățile infrastructurii IT, ci pe tâmpenia oamenilor. Repet, vrei să afli secrete? Nu ai nevoie de tehnică de supraveghere, camere, senzori etc – te duci în crâșmele de pe lângă sediile de birouri și asculți. Mai că nu ești invitat în discuție!
O mențiune specială merge și către geniile care se duc în cafenele (cele care mai permit) să lucreze, stând la geam sau pe terasă „că e cool”. Da, e cool, tot cool este și faptul că avem telefoane cu Zoom 100x pe cameră care pot înregistra perfect tot ce face berilă pe laptop. Parole, conversații, analize, excel-uri, propuneri de business și așa mai departe. S-au dus vremurile în care puteai merge în cafenea să lucrezi fără să îți expui toate datele. Dacă tot o faci, pune-te naibii într-un colți și lucrează de acolo fără să fii spionat!
4 comentarii Adaugă comentariu
Când am închiriat spațiul de birouri, tot lângă Mall Promenada, le-am cerut sa reconfigurăm așezarea pentru ca nu vreau să stau cu monitorul paralel cu geamul fiind o altă cladire vis-a-vis. S-au uitat la mine ca la urs dar am pus monitoarele înspre perete si geamul sa vină in lateral. În clădirea apropiată daca îmi depărtam putin ochelarii puteam sa citesc pe monitoarele lor, nici nu era nevoie de binoclu.
M-am distrat :)) dar asa e, adevarat, ai mare dreptate. Si eu mor cu parolele dictate clar si raspicat 😆