آسیب های ناشی از شبکه های اجتماعی بر کارمندان
مقدمه
امروزه فعالیت در شبکه های اجتماعی و اینترنت به امری شایع تبدیل شده است و دور از ذهن به نظر نمی رسد که روز به روز بر محبوبیت این شبکه ها افزوده شود. شبکه های اجتماعی از جمله فیس بوک، به مشترکان خود کمک می کنند با دوستان و اعضای خانواده خود هر نقطه از کره خاکی در ارتباط داشته باشند و به اطلاعات مورد نظر و جدید ترین خبر ها دسترسی داشته باشند ، بسیاری از سازمان های بزرگ و کوچک از شبکه های اجتماعی استفاده می کنند؛ اما متأسفانه توجه چندانی به احتمال بروز مشکلات امنیتی و خطرات ناشی از دسترسی مداوم و کنترل نشده به شبکه های اجتماعی را نمیکنند . خطرات احتمالی و آسیب های ناشی از فعالیت در شبکه های اجتماعی به ویژه بر کارکنان سازمان ها را می توان از ابعاد گوناگون مورد برسی قرار داد:
1 – امنیت سازمان
2 – بعد اجتماعی
3 – سلامت روحی
به طور کلی می توان تمام تأثیرات شبکه های اجتماعی را در 3 دسته فوق طبقه بندی کرد، که در ادامه به تشریح هر یک از موارد فوق میپردازیم.
1- امنیت سازمان
الف) افشای نا خواسته یا عمدی اطلاعات محرمانه توسط افراد: کارمندان ممکن است به عمد، اطلاعات محرمانه را به انگیزه های متفاوت از قبیل سود مالی، شهرت، کلاهبرداری و فاش کنند و یا به صورت ناخواسته و از روی سهل انگاری اطلاعات محرمانه سازمان را فاش کنند و در دسترس عام قرار دهند.
ب) ایجاد آزار و اذیت، تهدید و مزاحمت و دیگر اشکال سوءاستفاده آنلاین توسط کارمندان و دیگر افراد: گاهی این احتمال وجود دارد که شخص در هنگام فعالیت در شبکه های اجتماعی مورد مزاحمت و یا قربانی سوء استفاده اینترنتی کارمندان یا اشخاص دیگر قرار گیرد. امروزه بسیاری از سازمان های بزرگ و کوچک به منظور انجام تحقیقات، بازاریابی، اطلاع رسانی و سنجش موقعیت خودشان از شبکه های اجتماعی استفاده می کنند، اما متأسفانه مشکلات امنیتی و خطرات ناشی از دسترسی مداوم و کنترل نشده به شبکه های اجتماعی را پیشبینی و لحاظ نمیکنند.
ج ) هدایت کابران به سایتهای کلاهبرداری به بهانه ایمیلها و پستهای تبلیغاتی شبکههای اجتماعی: در این روشها برای سرقت اطلاعات در بعضی موارد با ارسال ایمیلها، پستها و توییتهای جعلی و یا تبلیغاتی کاربر را به سمت سایت های کلاهبرداری سوق می-دهند .
د) ربوده شدن اطلاعات محرمانه توسط حمله هکرها و کلاهبرداران: اغلب در اخبار مشاهده شده است که حساب کاربری شخصی توسط هکر ها ربوده شده باشد، هکرها و کلاهبرداران به حساب کاربر نفوذ و اطلاعات را ربوده و گاهی هم کنترل حساب را به دست میگیرند، گاهی هم ممکن است در تصاویر یا پیوستهایی که برای کاربر ارسال میشود ، نرم افزار جاسوسی وجود داشته باشد.
برخی از خطرات این شبکه ها برای سازمان ها و کارمندان آن ها :
- افشای ناخواسته اطلاعات محرمانه توسط افراد(کارمندان، مشتریان یا هر کدام از افرادی که در تماس با سازمان هستند).
- افشای عمدی اطلاعات محرمانه که به انگیزه های متفاوت از قبیل سود مالی، شهرت، کلاهبرداری و در معرض خطر قرار دادن هویت صورت می گیرد.
- قربانی آزار و اذیت، تهدیدات و مزاحمت ها و دیگر اشکال سوءاستفاده آنلاین شدن.
- ارتکاب آزار و اذیت، تهدید و مزاحمت و دیگر اشکال سوءاستفاده آنلاین توسط کارمندان.
- امکان دسترسی به محتواهای نامناسب از طریق دسترسی به پست ها و توئیت های نا مناسب.
- ایمیل های فیشینگ که شرحی از سایت های شبکه های اجتماعی به افراد می دهند، اما در واقع آن ها را به بازدید از وب سایت های کلاهبرداری تشویق می کنند.
- پست ها و توئیت هایی که از طرف همکاران، مشتریان، و سایر افراد است، مشوق افراد در تماس با سایت های نامناسب و کلاهبرداری است.
- کلاهبرداران، سارقان هویت یا هکرها، صفحه و حساب افراد را هک می کنند و یا اطلاعات محرمانه آنان را به سرقت می برند.
- ممکن است در عکس ها یا پیوست های پیام، نرم افزارهای جاسوسی وجود داشته باشد.
لازم به ذکر است که چنانچه حتی از ارائه اطلاعات محرمانه جلوگیری شود با بعضی از روش ها مانند مهندسی اجتماعی مهاجم میتواند به اطلاعات مهمی دست پیدا کند .
حملات مهندسی اجتماعی چیست ؟
مهندسی اجتماعی یک متد غیر فنی نفوذ به یک سیستم یا یک شبکه است. این روش در واقع فرآیند فریب دادن کاربران یک سیستم و متقاعد کردن آنها به انجام کارهایی میباشد که دسترسی نفوذگر را به اطلاعات یا امکانات لازم برای نفوذ و در دست گرفتن کنترل سیستم فراهم میکند. مثل گرفتن اطلاعاتی از آنها که بتوان در شکستن یا دور زدن مکانیزم امنیتی استفاده کرد. درک مفهوم مهندسی اجتماعی مهم است چرا که هکرها میتوانند با استفاده از آن به عنصر انسانی یک سیستم حمله کنند و معیارهای فنی امنیتی را دور زنند. این متد را میتوان در جمع آوری اطلاعات قبل یا طی یک حمله استفاده کرد.
یک مهندس اجتماعی معمولا از تلفن یا اینترنت برای فریب مردم به منظور آشکارسازی اطلاعات حساس استفاده میکند. با استفاده از این شیوه مهندسین اجتماعی به جای نفوذ به حفره های امنیتی کامپیوتر، از گرایشهای طبیعی اشخاص بهره می گیرند تا اشخاص به سخنان یا اطلاعاتی که ارائه میدهند اعتماد کنند. امروزه اکثر متخصصان امنیت بر این باور هستند که کاربران، پیوند ضعیفی در زنجیره امنیت هستند، که این امر مهندسی اجتماعی را ممکن می سازد .
در زیر یک مثال از مهندسی اجتماعی توسط Kapil Raina که هم اکنون از متخصصین امنیتی شرکت VeriSign است آورده شده است. این مثال بر پایه یک تجربه واقعی محیط کاری با یک کارمند اسبق میباشد.
مثالی واقعی از حملات مهندسی اجتماعی
سالها قبل گروهی از افراد غریبه وارد یک شرکت بزرگ حمل و نقل می شوند و پس از دسترسی به کل شبکه آن شرکت از آن خارج میشوند.
این افراد چگونه این کار را انجام دادند؟
از طریق بدست آوردن مقادیر اندک دسترسی، بیت به بیت، از شماری از کارمندان همان شرکت. در ابتدا آنها حتی قبل از اینکه به محل شرکت پا بگذارند درباره این شرکت به مدت دو روز تحقیق و جستجو کردند. برای مثال آنها دریافتند که کلمه رمز نام کارمندان صدا کردن آنها با کلمه HR است. سپس وانمود کردند کلید درب جلویی را گم کردهاند و نگهبان هم به آنها اجازه ورود داد. سپس وقتی وارد طبقه سوم یعنی منطقه ایمن شدند وانمود کردند که نشان های شناسایی خود را گم کرده اند و لبخندی زدند و یک کارمند مهربان در را برای آنها باز کرد. افراد غریبه میدانستند که مدیر ارشد اجرایی (CFO) خارج از شهر است، پس قادر بودند تا به دفتر وی وارد شوند و داده های مالی را از کامپیوتر قفل نشده وی بدست آورند. آنها درون سطل زباله سازمان جستجو کرده و انواع اسناد مفید را پیدا کردند. سپس از یک سرایدار درخواست کردند تا اسناد خود را در داخل محفظه انتقال زباله گذاشته و به خارج شرکت منتقل کند و خارج از شرکت تحویل آنها دهد. آنها صدای مدیر ارشد اجرایی را مورد بررسی قرار داده و لحن صحبت وی را فر گرفته بودند و بنابراین قادر بودند تا تلفن بزنند و وانمود کنند که مدیر ارشد هستند و در معرض یک حمله سایبری قرار گرفتهاند و به شدت نیازمند پسورد شبکه هستند. سپس از آنجا با استفاده از ابزارهای معمول هک با سطح دسترسی کاربر ارشد به شبکه سازمان مربوطه دست یافتند.
در این مورد ، افراد غریبه مشاورین امنیتی شبکه بودند که بدون داشتن هیچ دانشی از کارمندان سازمان، یک بازرسی امنیتی برای مدیر ارشد اجرایی انجام دادند. آنها هرگز هیچ اطلاعات ممتاز و خاصی از مدیر ارشد اجرایی دریافت نکردند اما قادر بودند که تمام دسترسیهای خواسته شده را از طریق مهندسی اجتماعی انجام دهند.
خطرناکترین بخش مهندسی اجتماعی این است که شرکت ها با وجود پروسههای تشخیص هویت، فایروالها، شبکههای خصوصی مجازی(VPNs) و نرمافزارهای نظارت بر شبکه هنوز هم به شدت از لحاظ حملات مهندسی اجتماعی باز و آسیبپذیر هستند، زیرا مهندسی اجتماعی به طور مستقیم به معیارهای امنیتی حمله نمیکند. در عوض یک حمله مهندسی اجتماعی معیارهای امنیتی را دورزده و به دنبال عناصر انسانی یک سازمان میرود.
2 – بعد اجتماعی
سوء استفادهگران اينترنتي، افرادي آگاه و آشنا با فناوريهاي نوين هستند كه با هنرمندي تمام، خود را افرادي موجه معرفی میکنند و چون در فضای مجازی امکان شناسایی آنها وجود ندارد، از کاربران ساده و نا آشنا به این محیط سوء استفاده مینمایند. موارد سوء استفاده اين افراد در فضاهاي مجازي علاوه بر سو استفاده هاي مالي و جنسی به موضوعاتي همچون همسريابي، دوست يابي، سرمايهگذاريهاي اقتصادي با درآمد كلان و زودبازده، تحصيل در دانشگاه هاي معتبر خارج از كشور و مسافرت به ديگر كشورها مرتبط ميشود. حتي در بسياري از وبلاگها و رسانههاي اجتماعي مجازي، مقولات خطرناكي مانند سست نشان دادن بنيان خانواده، معمولي نشان دادن رخدادهايي مثل سردي روابط زن و شوهر، طلاق، همجنس گرايي و … به وفور به چشم مي خورد، و همچنین با راهنمایی شخص به مطالب نامناسب و همچنین محتواهای شامل دینزدایی سعی در گمراهی و انحراف شخص میکنند. از طرفی دیگر شبکههای اجتماعی باعث انزوا و جدایی از جامعه انسانی میگردد و روابط بین خانواده را سست و ویران مینماید.
3- آسيب هاي رواني ـ رفتاري:
اعتياد به شبکه هاي اجتماعي
وابستگي روزافزون مخاطبان به شبکه هاي اجتماعي و صرف کردن زمان هاي طولاني براي انتشار پست، بازنشر پستهاي سايرين، لايک کردن و امتحان کردن ساير قابليتهايي که شبکههاي اجتماعي در اختيار آنها قرار ميدهند، نوعي از اعتياد اينترنتي به نام اعتياد به شبکههاي اجتماعي را به وجود آورده است که برخی عوارض آن عبارتند از:
- افسردگي، خجالتي شدن، گوشه گيري و تمايل به دوري از اجتماع و کاهش اعتماد به نفس
- عادت بيش از حد به دنياي مجازي
- بیاعتنایی به گذر زمان و از دست دادن نظم زندگی(بعضا نظم بیولوژیک فرد نیز تحت تاثیر قرار میگیرد)
- فرد چنان به تصویری که از خود در فضای مجازی ساخته(که عموما ساخته و پرداخته ذهن است و با واقعیت فاصله دارد) عادت کرده و به آن علاقهمند میشود که وقتی در شرايط دنياي واقعي قرار مي گيرد به اصطلاح سکته روحي ميکند.
اختلالهاي جنسي و روابط نابهنجار
يكى از آسيبهاي شايع و خطرناک شبکههاي اجتماعي، اشاعه فحشا، بى بندوبارى اخلاقى و تحريك جنسى است.
چرا اينترنت منبع پخش فحشا و هرزه نگاري در دنياي جديد است؟
به دلیل «دسترسي آسان»، «هزينه اندک» و «ناشناس ماندن کاربر»
نامرئى بودن اين جرأت را به افراد مىدهد كه به جاهايى بروند و كارهايى انجام دهند كه در خارج از اينترنت انجام نمیدهند. افراد در اينگونه ارتباطها، نگران اين نخواهند بود كه از سوى ديگران تهديد شوند، زيرا هر كارى كه انجام دهند، گمنام خواهند ماند.
3 – سلامت روانی
شبکه های اجتماعی باعث می شود فرد بیشتر زمان خود را با اینترنت و وسایل الکترونیکی صرف کند و لذا شخص ترجیح میدهد زمان بیشتری در خانه حضور داشته باشد و تمایلی به تعاملات اجتماعی و ملاقاتهای حضوری ندارد. تمایل بیشتری برای گفتگوهای اینترنتی با افرادی که تفکر منفی دارند ایجاد میشود و حضور افراد مثبتتر با سبک زندگی سالم و مسیر هدفمند در اطراف او کمرنگ میشود. این اصل تمامی روابط اجتماعی شخص را تحت تأثیر خود قرار میدهد.
کاربران به هنگام حضور در شبکههای اجتماعی به صورت ناخودآگاه خود را با دوستانشان مقایسه میکنند یا از اینکه کسی درخواست دوستی آنها را در شبکههای اجتماعی نمیپذیرد ناراحت میشوند و البته تمام این اتفاقات ساده باعث میشود تا احساسات ما با فضای مجازی بیشتر گره بخورد. به همین دلیل است که برخی از کاربران امروزی به نوعی اختلال موسوم به «افسردگی شبکههای اجتماعی» مبتلا شدهاند.
تا به حال آسیبهای محتمل را برشمردیم و اما پرسش اصلی این میباشد که چه راهکارهایی جهت حفظ امنیت کارکنان وجود دارد؟
راهکار های مفید جهت حفظ امنیت کارمندان در شبکه های اجتماعی چیست ؟
راهکارهای مقابله با مضرات شبکههای اجتماعی را میتوان به دو بخش رویکردهای دولت و جامعه تقسیم کرد.
الف)از طرف دولت و ارگان ها:
- بومي سازي شبکه هاي اجتماعي
- نقش تاثير گذار نخبگان و صاحبنظران در شبکه هاي اجتماعي
- نيازمند برنامه ريزي و تببين قانون
ب)از طرف افراد جامعه:
- جديت در کنار گذاشتن شبکههاي اجتماعي
- تفريح با خانواده و رسيدگي به آن
- ارزش قایل شدن برای وقت خود
- استفاده از يک نرمافزار واحد و حذف نرمافزارهاي مشابه
- هر گروهي ارزش عضو شدن ندارد
- آشنايي فرزندان با مضرات شبکههاي اجتماعي
با پیروی از رهنمودهای منطقی زیر میتوان سازمان و کارمندان را از این خطرات حفاظت کرده و شبکه های اجتماعی را برای آنان امن تر نمود. رهنمودهای ارائه شده علاوه بر امکان استفاده در محیط کار، در زندگی شخصی نیز کاربرد دارد.
- دسترسی به حساب کاربری شبکه های اجتماعی مورد استفاده شرکت را تنها در اختیار افرادی قرار دهید که برای پیشبرد کار به آن نیاز دارند، نکات لازم برای استفاده امن از آن شبکه ها را آموزش دهید.
- یک سیستم بررسی مداوم از کسانی که دسترسی به حسابهای کاربری شبکههای اجتماعی دارند ایجاد کنید و دسترسی کسانی که سازمان شما را ترک کردند خیلی فوری متوقف کنید.
- اگر دسترسی به یکسری از شبکه ها همانند فیس بوک، توئیتر و غیره مورد نیاز است، دسترسی به انواع دیگر شبکه ها را محدود کنید، زیرا اگر نظارت کافی نداشته باشید ممکن است آن ها هدف هک و نفوذ قرار بگیرند.
- در مورد انتشار هرگونه اطلاعات محرمانه در مورد کار، مدیران و کارمندان و یا مشتریان و پروفایلتان در پستها و توئیتها هشیار باشید.
- از رمز عبورهای قوی استفاده کنید.
- بر ایمیلهایی که از طرف رقبای کاری برای شما ارسال میشود، نظارت دقیق داشته باشید، همچنین بر پاسخهایی که به ایمیلها و پستهای شما داده میشود نیز نظارت داشته باشید.
- یاد بگیرید که چگونه میتوانید به شکل صحیحی از این شبکهها استفاده کنید. از امکانات موجود در حریم شخصی برای محدودکردن دسترسی دیگران به پروفایلتان استفاده کنید و در مورد افرادی که اجازه استفاده از حساب کاربری شبکههایتان را به آنها دادهاید محتاط باشید.
- مطمئن شوید که شما و همکارانتان در مقابل حملات فیشینگ، و دیگر فعالیتهای مهندسی اجتماعی که با هدف جمعآوری پسوردهای رسانههای اجتماعی سازماندهی شده است، ایمن هستید و تحت محافظت قرار دارید.
- مطمئن شوید که نرمافزارهای اینترنتی و فایروال شما به روز و اثربخش هستند و قبل از آنلاین شدن شما اجرا میشوند.
- نسبت به مدت زمانی که کارمندان و همکاران شما در سایتهای غیر مرتبط با کار میگذرانند آگاه باشید تا بتوانید نظارت بر فعالیتهای آنلاین آنها داشته باشید.
چه چیزهایی را باید به کارکنان آموزش داد ؟
آموزش مؤثر یکی از بهترین روشها برای اطمینان از ایمنی آنلاین و دفاع در برابر نفوذ مجرمان سایبری است. زیرا یکی از راههایی که مجرمان بیشترین سوء استفاده را از آن میکنند، خطاهای ساده انسانی است. خطاهایی از قبیل ناآگاهی، قصور و یا انجام عادات نادرست که از شایعترین علل نقض امنیتی است. کارکنان نیاز دارند که به دانش امنیت اطلاعات با استفاده از دلیل، شهود و درک بهمنظور انجام رفتار درست توانمند شوند.
آن ها باید بدانند :
- من باید به چه اطلاعاتی از شرکت دسترسی داشته باشم؟
- عواقب نفوذ به اطلاعات برای شرکت و من چه خواهد بود؟
- چه خطرات و تهدیداتی وجود دارد؟
- چه کنترلهایی باید زمانی که در محل شرکت هستیم انجام دهیم؟
در انتها مجددا یادآوری میشود مهمترین فاکتور در حفظ و ارتقای امنیت اطلاعات سازمانها بویژه در حوزه فناوری اطلاعات، توانمندسازی و بروزرسانی اطلاعات و آگاهی پرسنل سازمان در این حوزه میباشد.