Bezpieczeństwo podczas eventów hybrydowych oraz online

Nikt nie ma już chyba wątpliwości, że eventy online lub te łączące spotkanie stacjonarne z wirtualnym pozostaną z nami na dłużej. Doświadczenie pokazuje, że takie wydarzenia mogą być bardzo efektywne. Warto pamiętać jednak o tym, że muszą być także bezpieczne. Jak przygotować i przeprowadzić event online lub hybrydowy, by nie paść ofiarą cyberprzestępcy czyhającego na nasze dane? Pisze Magdalena Grochala, wykładowczyni, trenerka i wspólniczka w agencji Symetria Public Relations.

Każda niepowołana osoba, która próbuje dostać się na nasz event - czy to stacjonarny, czy online - poszukuje zazwyczaj informacji. Mogą to być tajemnice przedsiębiorstwa, strategie rozwoju czy plany biznesowe, które interesują konkurencję. Cyberprzestępca może takie informacje zdobyć nie tylko podczas samego wydarzenia, ale i w czasie przygotowań do niego. Co więcej - jeśli dostanie się do naszych urządzeń elektronicznych i danych, które przetwarzamy, może zyskać także wgląd do wszystkiego, co dzieje się w firmie, do naszej korespondencji, danych finansowych czy w końcu danych kart kredytowych uczestników spotkania.

Jak może zdobyć te informacje? Wystarczy, że zainstaluje na naszych komputerach odpowiednie oprogramowanie. A może je nam przesłać w załączniku do maila, podrzucić w prezentacji lub na pendrivie z materiałami konferencyjnymi. Dlatego tak ważna jest ostrożność na każdym etapie przygotowywania eventu.

W jaki sposób ustrzec się przed niebezpieczeństwem? Pamiętając o kilku wskazówkach, które pomogą uniknąć pułapek zastawionych przez cyberprzestępców w czasie przygotowań do eventu, podczas spotkania oraz po nim.

Przygotowanie eventu, niezależnie od jego charakteru

Stosuj zasadę ograniczonego zaufania

Organizatorzy eventów pracują szybko i pozostają w kontakcie z wieloma osobami reprezentującymi podwykonawców czy firmy partnerskie. A to oznacza pracę pod presją czasu oraz ciągłą wymianę e-maili, często z załącznikami, które zawierają oferty, kosztorysy, zdjęcia, faktury. W takich warunkach łatwo o nieostrożność i otworzenie zainfekowanego załącznika. Warto więc pamiętać o zasadzie ograniczonego zaufania - jeśli nie czekamy na ofertę od osoby, która coś do nas wysyła, nie klikajmy w dokumenty w e-mailu. Sprawdzajmy adresy mailowe, z których przychodzą do nas wiadomości, oraz rozszerzenia załączonych plików. Nie klikajmy w podejrzane linki przesłane do nas w wiadomościach SMS, e-mailowych czy poprzez kanały social media.

Zachowaj ostrożność w e-mailach

Nie tylko e-maile przychodzące stanowią niebezpieczeństwo. Także wysyłając wiadomość, możemy narazić naszą firmę na utratę danych. Czytajmy więc korespondencję, którą przesyłamy dalej. W pośpiechu możemy nie zauważyć, że przekazujemy poza naszą organizację historię wiadomości, w której ktoś zamieścił wrażliwe dane. I nie chodzi tylko o dane finansowe czy strategiczne, ale też np. numery telefonów do ważnych osób w firmie. Takie informacje mogą zostać wykorzystane przez cyberprzestępcę.

Sprawdzaj podwójnie płatności

Przez ręce organizatorów spotkań przechodzi dużo faktur. Płatności dla firm współpracujących zwykle trzeba zrobić szybko, z odpowiednim wyprzedzeniem. I w tym przypadku pośpiech jest złym doradcą. Przed opłaceniem faktury zawsze warto sprawdzić, czy na pewno jest wystawiona przez odpowiedniego kontrahenta, czy zgadza się kwota oraz numer konta. Bądźmy ostrożni zwłaszcza w przypadku dokumentów, na które - jak nam się zdaje - nie czekamy, oraz w sytuacjach, gdy kontrahent przesyła nam dodatkową fakturę lub prosi o wykonanie płatności na inne konto. Rozmowa telefoniczna z przedstawicielem firmy pozwoli nam rozwiać wątpliwości, a czasem - uniknąć straty pieniędzy.

Nie korzystaj z otwartych sieci wi-fi

Praca zdalna, która dla wielu z nas stała się codziennością, daje nam zupełnie nowe możliwości - między innymi wykonywania obowiązków służbowych z dowolnego miejsca. Zdarza się więc, że pracujemy z parku, hotelu, kawiarni czy restauracji. Publiczne wi-fi jest dostępne niemal we wszystkich takich miejscach. Pamiętajmy jednak, że w większości przypadków nie jest w żaden sposób zabezpieczone, a to oznacza, że każdy może podsłuchać ruch w takiej sieci, czyli zdobyć dostęp do danych, które przesyłamy, korzystając z takiego wi-fi. Zatem dane takie jak: loginy i hasła do kont pocztowych, systemów firmowych lub bankowych, jak również dokumenty z poufnymi informacjami mogą zostać wykradzione przez przestępcę. Warto przemyśleć, czy na pewno musimy logować się do różnych systemów oraz wymieniać z innymi wrażliwe dane, siedząc w kawiarni. Jeśli mamy taką potrzebę, skorzystajmy z szyfrowanej komunikacji, np. kanału VPN.

Zabezpiecz stronę wydarzenia i materiały pokonferencyjne

Bardzo często przed wydarzeniem uruchamiamy też stronę eventu. Znajdują się na niej wszelkie informacje dotyczące spotkania, często także rejestracja oraz materiały pokonferencyjne. Takie strony również należy odpowiednio zabezpieczyć, zwłaszcza jeśli zbieramy dzięki nim dane osobowe lub dane płatności (rejestracja uczestników i opłata za udział w konferencji) oraz gdy zamieszczamy na nich materiały z poufnymi, wrażliwymi czy strategicznymi informacjami. W zabezpieczeniu serwisu pomoże dział IT.

Bezpieczeństwo podczas eventu online

Nie ma żadnego powodu, aby event online był mniej zabezpieczony niż spotkanie w świecie rzeczywistym. Wyobraźmy sobie, że zapraszamy gości do siedziby naszej firmy. Zanim wejdą, rejestrujemy ich przybycie, wydajemy identyfikatory, sprawdzamy tożsamość. Gdy są w środku, nie pozwalamy im na swobodne przeglądanie dokumentów firmowych ani dostęp do wszystkich pomieszczeń. W taki sam sposób powinniśmy zachowywać się w przestrzeni wirtualnej.

Jakie zagrożenia czyhają na uczestników i organizatorów spotkań online?

Firma McAfee stworzyła listę dziesięciu zagrożeń, które wiążą się z korzystaniem podczas spotkań online z platform do pracy zespołowej. Lista, o której mowa, dotyczy konkretnie narzędzia Microsoft Teams, ale można ją z powodzeniem dopasować do innych narzędzi dostępnych na rynku. Na potrzeby tego artykułu wybrałam cztery najważniejsze zagrożenia, przed którym powinni chronić się i uczestników spotkań organizatorzy eventów online.

1) Nieproszeni goście - na naszym evencie mogą się pojawić osoby, które nie powinny mieć dostępu do informacji, jakimi będziemy się dzielić z uczestnikami spotkania. Mogą to być przestępcy, którzy skorzystają z wykradzionych danych do logowania. Częściej jednak będą to użytkownicy, którzy połączą się z naszym spotkaniem, bo nie zadbamy odpowiednio o zapraszanie gości. Innymi słowy - np. umożliwimy uczestnikom zapraszanie innych osób lub zamieścimy w sieci bezpośrednie linki do spotkania, zamiast udostępnić je tylko wybranym osobom.

2) Przekazywanie poufnych informacji podczas udostępniania ekranu - zdarza się, że osoba prezentująca i jednocześnie pokazująca uczestnikom swój ekran nie wyłączy innych aplikacji i tym samym wszyscy oglądający będą widzieli pojawiające się na ekranie powiadomienia i fragmenty przychodzących e-maili, wiadomości na Whatsapp czy Facebooku. Nawet jeśli wiadomości te nie będą zawierać danych, które należy chronić, będą rozpraszaczać słuchaczy, a w skrajnych przypadkach (jeśli wiadomości będą w jakiś sposób nieodpowiednie) obniżą zaufanie do prezentującego lub firmy, z którą jest zawodowo związany.

3) Udostępnienie zainfekowanych plików - jeśli pozwalamy uczestnikom spotkania online dzielić się z innymi użytkownikami naszej platformy plikami, które mają na swoich urządzeniach, może zdarzyć się, że udostępnią oni materiały zawierające szkodliwe oprogramowanie. W przypadku eventów w przestrzeni wirtualnej nie mamy żadnej kontroli nad tym, czy uczestnicy korzystają z zabezpieczonych sprzętów, wolnych od wirusów.

4) Wyciek poufnych danych w plikach wymienianych między uczestnikami - oczywiście narzędzia do pracy zespołowej są ogromnym wsparciem dla organizatorów eventów, tym bardziej że mają takie funkcje jak współdzielenie plików, dokumentów, ekranów itd. Ta możliwość to jednak miecz obosieczny. Z jednej strony ułatwia pracę, z drugiej jednak otwiera furtkę do wycieku poufnych danych, np. w dokumentach przesyłanych przez uczestników spotkania.

Jak się uchronić przed zagrożeniami podczas wydarzenia online?

Wybierz sprawdzoną platformę. Na rynku jest coraz więcej platform do organizacji spotkań online. Wybierając je, warto zwrócić uwagę na to, w jaki sposób zabezpieczają one swoich użytkowników. Wciąż często zdarza się, że twórcy takich narzędzi skupiają się przede wszystkim na użyteczności platformy, a nie na jej bezpieczeństwie.

Na potrzeby większych konferencji firmy zaczęły też używać znanych już wcześniej narzędzi, takich jak Zoom czy Microsoft Teams. OKTA podaje, że zainteresowanie aplikacją Zoom wzrosło między końcem lutego a końcem marca 2020 r. o 110%. Natomiast dzienna liczba aktywnych użytkowników Microsoft Teams - według McAfee - wzrosła z 20 mln w listopadzie 2019 r. do 75 mln w kwietniu 2020 r.

Jednak nawet korzystając z narzędzi o ugruntowanej pozycji na rynku, należy pamiętać o bezpieczeństwie. W 2020 r. pojawiło się zjawisko “zoombombingu”, czyli zakłócania eventów online prowadzonych za pomocą aplikacji Zoom. Osoby niepowołane, korzystając najczęściej z wykradzionych danych do logowania, włączały się w spotkanie i wyświetlały jego uczestnikom treści o szkodliwym charakterze (np. pornograficzne lub faszystowskie).

Ustal reguły i współpracuj z działem IT. Kiedy wiesz, z jakimi zagrożeniami musisz się zmierzyć, możesz ustalić reguły, które wdrożysz wraz z działem IT. Sposób zapraszania uczestników, weryfikacja listy gości, możliwość - lub jej zablokowanie - dzielenia się z innymi plikami i dokumentami - wiele z takich elementów da się skonfigurować w narzędziach wideokonferencyjnych.

Specjaliści z działów IT na pewno podpowiedzą też, na co jeszcze zwrócić uwagę, z jakich narzędzi korzystać. Pomogą zabezpieczyć spotkanie, stronę internetową czy listę uczestników. W czasach eventów online i hybrydowych osoby mające wiedzę technologiczną powinny znaleźć się w każdym zespole pracującym nad organizacją wydarzenia.

Bezpieczeństwo podczas eventu offline

Warto przypomnieć też kilka wskazówek bezpieczeństwa, które pozwolą uniknąć przykrych niespodzianek podczas spotkań offline.

Unikaj korzystania z ogólnodostępnych urządzeń. Hotele czy centra konferencyjne często udostępniają swoim gościom ogólnodostępne urządzenia elektroniczne, takie jak tablety, laptopy lub komputery PC. Sprzęty te są jednak zwykle niezabezpieczone przed atakami hakerskimi. Jeśli zatem musisz z nich skorzystać, nie podawaj żadnych poufnych danych. Innymi słowy - na takich urządzeniach możesz sprawdzić pogodę, ale nie pocztę czy stan konta.

Nie pozostawiaj rzeczy bez nadzoru. W ferworze pracy organizacyjnej podczas eventu łatwo jest odejść od stanowiska, którego częścią jest nasz własny komputer. To zgubna praktyka. Pozostawienie komputera czy smartfona bez nadzoru lub bez choćby podstawowych zabezpieczeń, takich jak hasło dostępowe - to prosta droga do utraty ważnych danych lub samych sprzętów i danych na nich zgromadzonych.

Pilnuj listy uczestników. Papierowe wersje list uczestników zawierają bardzo często niezwykle istotne informacje - nie tylko imiona i nazwiska uczestników, ale także ich stanowiska, adresy e-mailowe, numery telefonów czy numery pokojów, które zajmują. Takie dane mogą posłużyć hakerom do przeprowadzenia ataku socjotechnicznego. Dlatego tak ważne jest, aby po evencie nie wyrzucać takich list do koszy na śmieci lub - co gorsza - nie pozostawiać ich w salach konferencyjnych lub pokojach hotelowych.

Ataków hakerskich oraz ludzi, którzy będą chcieli zakłócić przebieg naszego spotkania, nie da się całkiem uniknąć. Można jednak zminimalizować zasięg ich działania. Ostrożność, rozsądek i zastosowanie zasady ograniczonego zaufania pomogą organizatorom eventów przygotować bezpieczne wydarzenia, które staną się źródłem informacji dla uczestników, a nie dla cyberprzestępców.

Zdj. unplash (dan nelson, chris montgomery), pexels (andrewneel)