;

Hrozby v sociálních sítích

6. 11. 2009
Doba čtení: 9 minut

Sdílet

Jsou tak trochu jako naši životní partneři. Nemůžeme žít bez nich, někdy je ale obtížné, či dokonce nebezpečné žít s nimi.V budoucnu se jim však nevyhneme.

Sociální sítě se v poslední době stávají stále oblíbenějším cílem mnoha útoků od relativně neškodného spamu po velmi nebezpečný phishing. Mnoho zaměstnavatelů navíc čelí situaci, kdy zaměstnanci přistupují na servery, jako je Facebook nebo naše lokální Libimseti.cz, v pracovní době. Mohlo by se zdát, že nejjednodušším řešením je zakázat k nim přístup – jenže podobně jako instant messaging, i sociální sítě se pro mnohé stávají netradičním, leč o to efektivnějším pracovním nástrojem.

Přestože e-mail zůstává hlavním kanálem šíření spamu a phishingových podvrhů, je zneužívání sociálních sítí na vzestupu. Spameři kupříkladu vytvářejí falešné účty v sociálních sítích (v mnoha případech se jim daří překonat i CAPTCHA ochranu), nebo jako v případě nedávných prolomení uživatelských účtů v síti Twitter zneužijí jména celebrit. Mezi prolomenými účty na Twitteru byly například ty náležející Baracku Obamovi či Britney Spears. Nejčastější příčina těchto úspěšných hacků je přitom jednoduchá: slabé heslo.

 

Změňte svá hesla

Nezkušení uživatelé často hesla prozradí díky chytrému triku (například nabídka pilulek „mužnosti“ zdarma, jak se to před časem stalo v Kanadě), průzkumy ukazují, že hackeři jsou velmi dobří i v „hádání“ hesel, zejména pokud se pokoušejí nabourat na účet konkrétní osoby. Heslo by proto mělo obsahovat kombinaci velkých a malých písmen i číslic, která ideálně nedává zjevný smysl – může se to zdát jako základní pravidlo, ignorují je ale i mnozí pokročilí uživatelé.

Sociální sítě nabízejí hackerům odlišný způsob „lovu“ – zejména v případě phishingu a podstrkování malwaru. Zatímco klasický e-mailový spam je založen na principu „push“, kdy se vám spammer nejprve musí vecpat do schránky, sociální sítě umožňují pracovat mnohem elegantněji přístupem „pull“ – stačí se nabourat do účtu celebrity a nabídnout z něj uživatelům zajímavý odkaz (je skoro zázrak, že nedávné průlomy uživatelských účtů na síti Twitter nebyly zneužity tímto způsobem a hackeři místo toho pouze zesměšňovali jejich majitele). Neméně nebezpečné jsou odkazy na nejrůznější widgety a hříčky, které nabízí například Facebook.

 

Pozor na podvodné odkazy

Odkazy na sociálních sítích mohou lákat na hry či widgety (ve skutečnosti se ale do vašeho PC pokusí nainstalovat škodlivý kód – například za účelem phishingu), nebo nabízet odkazy na zajímavý obsah. Nezřídka jsou využívány vějičky typu „Jane o tobě napsala něco důvěrného, klikni, a dozvíš se víc“, nebo pokročilejší triky z oblasti sociálního inženýrství.

Genialita útoků v sociálních sítích tkví v domnělé angažovanosti. Spammerovi totiž stačí umístit do diskuze k vašemu blogerskému příspěvku něco ve smyslu „O tom jsem psal už před časem“ spolu s odkazem. Může se dokonce stát, že ke vložení podobné návnady zneužije účet některého z vašich známých v sociální síti, který se mu podařilo prolomit.

 

Zakázat nebo sledovat?

„Někteří naši mladší zaměstnanci trávili na sociálních sítích 4–5 hodin, tedy více než polovinu pracovní doby,“ říká Mark Lappin, ředitel IT v síti klenotnictví Lee Michaels, „jakmile jsme je zakázali, produktivita práce prudce stoupla.“ Není to nijak neobvyklý postup – podle průzkumů, které provedlo CIO na severoamerickém trhu, je zhruba třetina IT ředitelů toho názoru, že veškeré nepodporované služby tohoto typu je dobré zakázat. Desetina dokonce vnímá sociální sítě jako hlavní hrozbu pro chod jejich podniků.

Mnozí analytici věnující se právě otázce sociálních sítí jsou ale jiného názoru. I když je zákaz vcelku logickým a rychlým řešením, často znamená spíše prohru. Zaměstnanci si totiž najdou vždy cestičky jak zákaz obejít – například přistupovat přes smartphone, což znamená často ještě větší ztrátu času. Někteří znalostní zaměstnanci navíc používají sociální sítě (a nemusí se jednat pouze o „byznysový“ LinkedIn) pro komunikaci se zákazníky, kolegy či dalšími experty ze svého oboru. Jonathan Yarmis z AMR research k tomu dodává: „Je to klasická chyba IT a vedení podniků. Nefungovalo to v 80. letech, protože byly dobré důvody­ proč dát zaměstnancům plně k dispozici PC, nefungovalo to v 90. letech, protože­ se opět ukáza­lo, že je lepší dát zaměstnancům víceméně volný přístup k internetu, a ani tentokrát se nepodaří zastavit příliv sociálních sítí. Management by se namísto zákazu měl zajímat o to, proč jsou tyto nové platformy tak přitažlivé a jak jejich principy využít pro komunikaci uvnitř firmy i navenek vůči zákazníkům.“

 

Facebook jako nástroj

Přitažlivost takového postupu potvrzuje například Graeme Thompson, CIO v BEA Systems. „Podobně jako další komunikační kanály přitahují i sociální sítě velké publikum, které nemůžeme ignorovat – je to cenný zdroj zpětné vazby našich zákazníků.“ Thompson si nedokáže představit, že by jeho společnost sociální sítě zakázala, přestože si uvědomuje riziko poklesu výkonnosti zaměstnanců, případně nevhodných příspěvků, které mohou být chápány jako stanovisko podniku.

V BEA Systems proto na používání sociálních sítí aplikují pravidla správného používání. „Ta například jasně stanoví, že se zaměstnanci nesmějí vyjadřovat jménem společnosti, pokud to není součást jejich pracovní náplně, nebo definují, co je citlivý obsah,“ dodává Thompson.

 

Chytré kompromisy

O tom, že sociální sítě je víceméně nemožné z podniků vymítit, svědčí mimo jiné skutečnost, že i tento článek byl připravován prostřednictvím CIO Facebook Fóra – jenže, co dělat v případě, kdy sociální sítě nechcete zakázat, ale rádi byste nad jejich využíváním měli kontrolu?

Důvtipné řešení zvolili například v britské společnosti De La Rue, která se zabývá tiskem cenin a bankovek. Firma umožňuje svým zaměstnancům přístup na sociální sítě jednu hodinu denně – pro řízení přístupu je využíván internetový filtr Websense. Jinou možností je nechat rozhodnutí o tom, kdo ze zaměstnanců smí nebo nesmí používat sociální sítě, na jejich přímých nadřízených.

 

Generační rozdíly

Pro sociální sítě je typické generační rozdělení. Přestože Facebook tvrdí, že nejrychleji rostoucí skupinou jsou uživatelé nad 25 let, průzkumy ve firmách ukazují, že drtivá většina těch, kdo používají sociální sítě denně, nepřekročila hranici třicet let. Mark Lappin k tomu dodává: „Na LinkedIn mám zhruba stovku profesionálních kontaktů, moje neteře na střední či vysoké škole jich ale na Facebooku mají desetkrát tolik. Pokud se budeme držet striktního­ zákazu, nikdy naše mladší zaměstnance nepochopíme. Jejich přátelé se navíc časem stanou potenciálními zákazníky.“

„Zákaz je nejjednodušší, nejbezpečnější a nejefektivnější řešení“ uzavírá Graeme Thompson. „Není to ale realistické řešení. Sociální sítě jsou tu a zaměstnanci si je s sebou do práce přinesou tak jako tak. Pokud je zakážete, strkáte pouze hlavu do písku a přicházíte o možnost mít vše pod kontrolou.“

 

A bude hůř!

I když jsme nastínili několik oblastí, které představují reálné hrozby ohrožující informace i výkonnost společností, předpoklad pro následující měsíce není z hlediska bezpečnosti optimistický. I přes zavedení restrikcí budete muset nakonec nejspíš kapitulovat. Sociální sítě jsou totiž jedním z hlavních kanálů jak oslovit cíleně masový trh a jde zároveň o nejrychleji rostoucí segment co do počtu uživatelů, představujících pro většinu společností potencionální zákazníky. Řada firem tak již začala v minulém roce cíleně pracovat na ovlivnění chování uživatelů sociálních sítí a experimentovat s jejich manipulací na základě teorií, jako je řízení chování davu nebo teorie vln. A pokud nechcete stagnovat, budete se muset do sociální sítě začlenit i se svou organizací. Nebude-li o vás zmínka v síti, prostě nebudete. Je jedno, zda se angažujete přes „umělé“ identity (pan kopírka, seňor vývojář atd.) reprezentující nějakým způsobem vaší společnost, nebo tím, že ustoupíte a umožníte přístup svým zaměstnancům.

bitcoin_skoleni

Teoreticky totiž postačuje, aby uživatel sociálních sítí měl ve svých sdružených kontaktech okolo 5 000 přátel, a tato pavučina je mu schopna bez jeho angažovanosti „dotlačit“ až pod nos 90 % pro něj relevantních informací – zábavou počínaje a informacemi o postupech v programování konče.

Snahou všech tedy je se mezi tyto vybrané kontakty zařadit. A protože se tyto kontakty z neznámých identit přesunou postupně do role přátel, riziko úniku důvěrných informací poroste exponenciálně. Podobně je tomu i s vytvořením dvou identit, kde je selhání lidského faktoru ještě více umocněno. V časové ose se totiž pracovní kontakty, přátelé a rodina jaksi slijí.