Psikolojik bir bakış açısından, hepimiz dikkat çekiyoruz ve ihtiyaç duyan yakıtı seviyoruz ve yorumlıyoruz, bizi sosyal medyada daha da fazla paylaşmaya teşvik ediyor. Kurumsal dünyada, bu risk katlanarak büyür, çünkü bu sadece söz konusu kişisel bilgilerimiz değil, aynı zamanda tüm şirketin güvenliğidir.
Sosyal medya aşırı paylaşım, şirketler için siber güvenlik riski yaratır
Paylaştığımız her veri parçası bir bulmaca parçası gibidir. LinkedIn, iş başlıklarını ortaya koyuyor, Facebook ve Instagram hayatımızdan günlük detaylar sağlıyor ve X gerçek zamanlı bilgiler sunuyor. Birlikte, bu parçalar siber suçlular için bir yol haritası oluşturabilir ve yüksek hedefli kimlik avı saldırıları yaratmaya yardımcı olabilir.
Yapay zekanın sofistike olması bu süreci iyileştirir. Ivanti’ye göre, Genai bu saldırıların etkinliğini daha da artırırken maliyetlerini de azaltır. AI, sosyal medya etkinliğindeki kalıpları analiz ederek son derece kişiselleştirilmiş, ikna edici kimlik avı e -postaları oluşturabilir.
Sosyal medyadaki aşırı paylaşım bilgileri, siber suçluların ayrıntılı profiller toplamaları için fırsatlar yaratır. Bu, favori hobileri paylaşmaktan tatil planlarına, aile detaylarına ve hatta işle ilgili başarılara kadar değişebilir.
Bu ayrıntılar, saldırganların çalışanları taklit etmesine veya bu bilgileri kullanan e -postaları oluşturmasına izin verebilir ve alıcıyı kötü amaçlı bağlantıları veya kötü niyetli ekleri açmaya ikna eder.
Siber suçlular sosyal medyayı çalışanlarla ilişki kurmak ve onları kurumsal güvenliği tehlikeye atan eylemleri yerine getirmek için kullanabilirler. Sosyal medyadan elde edilen bilgileri ikna etmek için kullanarak meslektaşları, iş ortaklarını ve hatta yöneticileri taklit edebilirler.
Gen’in yakın tarihli bir raporu, sosyal medya platformlarının siber suçlular için ana hedefler haline geldiğini ve Facebook’un belirlenen tehditlerin% 56’sını oluşturduğunu gösteriyor. YouTube%24, X%10, Reddit ve Instagram’ın her biri%3’ü temsil ediyor.
Birçok çalışan aynı şifreleri kişisel sosyal medya hesapları için iş hesapları ile kullanır ve kurumsal verileri riske atar. Uygun olsa da, bu uygulama, kişisel bir hesaptan ödün verilirse, saldırganların işle ilgili sistemlere de erişebileceği anlamına gelir.
2023 yılında, İran tehdit oyuncusu TA455, Havacılık ve Uzay endüstrisi çalışanlarını LinkedIn’deki iş işe alımcılarını taklit ederek, onları devam eden arka kapı erişimini sağlamak için Salyangoz kötü amaçlı yazılımlarını dağıtan kötü amaçlı web sitelerine yönlendirdi.
CISOS, çalışan davranışlarını sosyal medyada ele almalıdır
CISOS artık çalışan davranışını güvenlik duvarının ötesinde açıklamalıdır. Saldırı yüzeyi artık kurumsal uç noktalarda bitmiyor; LinkedIn profillerine, Instagram tatil mesajlarına ve gündelik tweet’lere kadar uzanır.
Şirketler, çalışanların sosyal medyada, özellikle işleri ve işyerinde hangi yayınlamalarına izin verildiğine dair politikalar oluşturmalıdır. Bu politikalar, aşağıdakiler gibi hassas bilgileri paylaşmaya yönelik kısıtlamaları içermelidir:
İşyeri Projeleri: Çalışanlar, devam eden projeler, yaklaşan ürün lansmanları veya bir siber saldırı için kaldırılabilecek dahili operasyonlar hakkında yayınlamaktan kaçınmalıdır.
İşle ilgili ilişkiler: Çalışanları meslektaşları, amirleri veya iş ortakları hakkında ayrıntılar paylaşmamaya teşvik etmek, sosyal mühendislik saldırılarından kaçınmaya yardımcı olabilir.
İş başlıkları ve sorumlulukları: Çalışanların, saldırganlar tarafından hedeflenen kimlik avı e -postaları hazırlamak veya taklit etmek için kullanılabilecek iş rolleri, sorumlulukları ve iş yerleri hakkında hassas ayrıntılar yayınlamaktan kaçınmaları gerektiğini belirtin.
Sosyal medya yayınlarıyla ilgili sorun, gizlilik ve şirket güvenliği arasında ince bir çizgi olması. Cisos, çalışanların kendi zamanlarında yaptıklarını polisleştirmeden şirketi güvende tutarak ince bir çizgide yürümelidir.
Bu nedenle gizlilik farkındalık eğitimi siber güvenlik politikalarıyla entegre edilmelidir. Kontrolle ilgili değil, netlikle ilgili. Cisos sadece kurallar uygulayamaz; Kişisel özgürlük ve kurumsal güvenlik arasında bir denge kurarak, çevrimiçi olarak paylaştıkları hakkında bilinçli kararlar vermeleri için çalışanları güçlendirmeleri gerekir.