By 
کار با فریلنسرها مدتهاست که برای بسیاری از مدیران به یک روال تبدیل شده است. حتی در یک سازمان بزرگ، همه وظایف را نمی توان در تیم حل کرد، نه اینکه به کسب و کارهای کوچک اشاره کنیم، که معمولاً نمی توانند یک کارمند اضافی را استخدام کنند. اما اتصال یک فرد خارجی به جریان کار دیجیتال میتواند خطرات سایبری بیشتری را به همراه داشته باشد، بهویژه زمانی که مستقیماً بدون آژانس واسطه با شخصی کار میکنید. فریلنسر درست بعید است که شما کسی را بدون نگاه کردن به نمونه کارها استخدام کنید. یک فریلنسر میتواند یک سند، یک بایگانی با مجموعهای از آثار یا پیوندی به یک سایت شخص ثالث برای شما ارسال کند و احتمالاً مجبور خواهید شد پیوند را دنبال کنید یا فایل را باز کنید. اما در واقع، تقریباً هر چیزی میتواند در آن فایل یا سایت باشد.
محققان مرتباً آسیبپذیریهایی را در مرورگرها یا مجموعههای اداری کشف میکنند. بیش از یک بار مهاجمان موفق شده اند با قرار دادن اسکریپت های مخرب در یک سند متنی یا با جاسازی یک بسته اکسپلویت در کد وب سایت، کنترل رایانه های شرکتی را در دست بگیرند. اما گاهی اوقات ممکن است چنین ترفندهایی ضروری نباشد. برخی از کارمندان آماده هستند که روی یک فایل دریافتی بدون نگاه کردن به پسوند کلیک کنند و یک فایل اجرایی راه اندازی کنند.
به خاطر داشته باشید که یک مهاجم می تواند یک نمونه کار کاملاً معمولی (نه لزوماً با آثار خودش) را نشان دهد و بعداً یک فایل مخرب را به عنوان ارسال کند. نتیجه یک کار علاوه بر این، شخصی می تواند کنترل کامپیوتر یا صندوق پستی یک فریلنسر را در دست بگیرد و از آنها برای حمله به شرکت شما استفاده کند. از این گذشته، هیچ کس نمی داند که چگونه دستگاه یا حساب خود محافظت می شود و امنیت فناوری اطلاعات شما کنترلی بر آنچه در آنجا اتفاق می افتد ندارد. شما نباید فایل های دریافتی را قابل اعتماد تلقی کنید، حتی اگر از طرف یک مترجم آزاد باشد که سال ها با او کار کرده اید. بیشترین اهمیت همه کارکنان باید از تهدیدات سایبری مربوطه آگاه باشند، بنابراین ارزش آن را دارد که سطح آگاهی امنیتی خود را بالا ببریم. علاوه بر این، میتوانیم توصیههای عملی ارائه کنیم:
- قوانین سختگیرانهای برای تبادل اسناد تنظیم کنید، به فریلنسرها اطلاع دهید و در صورت عدم رعایت این قوانین، فایلها را باز نکنید. بایگانی خود استخراج؟ نه ممنون. آرشیو با رمزی که در همان حرف مشخص شده است؟ این ممکن است فقط برای دور زدن فیلترهای ضد بدافزار ایمیل مورد نیاز باشد.
- یک رایانه مجزا، جدا از بقیه شبکه، یا یک ماشین مجازی را برای کار با فایلهای منابع خارجی اختصاص دهید، یا حداقل آنها را بررسی کنید. به این ترتیب میتوانید آسیبهای احتمالی را در صورت عفونت به میزان قابل توجهی کاهش دهید.
- حتماً این رایانه یا ماشین مجازی را به راهحل امنیتی مجهز کنید تا سوءاستفاده از آسیبپذیریها یا کلیک کردن روی پیوند به یک وبسایت مخرب را مسدود کنید.
. ]حقوق دسترسی
بیایید فرض کنیم متخصص خارجی مورد نیاز را پیدا کردید. برای همکاری در یک پروژه، فریلنسرها اغلب به سیستمهای دیجیتال شرکت دسترسی پیدا میکنند: پلتفرمهای اشتراکگذاری فایل، سیستمهای مدیریت پروژه، خدمات کنفرانس، پیامرسانهای داخلی، خدمات ابری و غیره. در اینجا باید از دو اشتباه اجتناب کنید – به فریلنسر حقوق بیش از حد ندهید و فراموش نکنید که پس از اتمام کار، دسترسی را لغو کنید. یک فریلنسر فقط باید به منابعی دسترسی داشته باشد که برای پروژه فعلی مورد نیاز است. دسترسی نامحدود به فضای ذخیره سازی فایل یا حتی تاریخچه چت می تواند یک تهدید باشد. اطلاعات ذخیره شده را حتی در سرویس های کمکی دست کم نگیرید. بر اساس گزارش رسانه ها، هک توییتر در سال 2020 زمانی آغاز شد که مهاجمان به چت داخلی سازمان دسترسی پیدا کردند. در آنجا، با استفاده از روشهای مهندسی اجتماعی، آنها توانستند یکی از کارمندان شرکت را متقاعد کنند که به دهها حساب دسترسی داشته باشند.
لغو حقوق پس از پایان پروژه نیز رسمی نیست. ما نمی گوییم که پس از اتمام کار، فریلنسر لزوماً شروع به هک کردن سیستم مدیریت پروژه شما می کند. وجود یک حساب اضافی با دسترسی به داده های شرکت چیز خوبی نیست. اگر فریلنسر رمز عبور ضعیفی تعیین کند یا از گذرواژه حسابهای دیگر خود دوباره استفاده کند، چه؟ در صورت نشت، یک نقطه آسیبپذیری اضافی در شبکه شرکتی شما وجود دارد.
اقدامات متقابل
مهمترین چیز حذف یا غیرفعال کردن حساب فریلنسر پس از پایان رابطه کاری است. یا حداقل، ایمیل و رمز عبور مرتبط را تغییر دهید — این ممکن است در سیستم هایی که تمام داده های مرتبط با حساب را حذف می کنند لازم باشد. علاوه بر این، توصیه میکنیم:
- یک سابقه متمرکز از اینکه چه کسی به کدام خدمات دسترسی دارد، نگه دارید. از یک طرف، این به شما کمک می کند تا تمام حقوق را پس از پایان پروژه لغو کنید، و از طرف دیگر، می تواند هنگام بررسی یک حادثه مفید باشد.
- الزام پیمانکاران به حفظ بهداشت دیجیتال خوب و استفاده از راه حل های امنیتی (در حداقل رایگان) در دستگاههایی که برای اتصال به منابع شرکت استفاده میکنند.
- اجرای احراز هویت دو مرحلهای در همه سیستمهای ابری تا جایی که ممکن است. امکان پذیر است.
- اسکن تمام فایل های آپلود شده در فضای ذخیره سازی ابری یا سرور شرکتی برای بدافزار.
(function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(d .getElementById(id)){return}js=d.createElement(s);js.id=id;js.src="https://connect.facebook.net/en_US/all.js"; fjs.parentNode.insertBefore(js,fjs)}(document,"script","facebook-jssdk"));
