Serbest çalışanlarla iş yaparken güvende kalmanın yolları

Serbest çalışanlarla ilgili olası siber tehditlere karşı makul korunma yöntemleri.

Serbest çalışanlarla iş yapmak, birçok yönetici için uzun zamandır bir rutin haline geldi. Genellikle ilave bir çalışanı daha işe almaya gücü yetmeyen küçük işletmeler bir yana, büyük kuruluşlarda bile tüm görevleri ekip içinde çözmek mümkün değil. Ancak dijital iş akışına bir yabancıyı bağlamak, özellikle bir aracı kurum olmadan doğrudan bir kişiyle çalıştığınızda ek siber riskler doğurabilir.

Gelen e-postadaki tehlikeler

Doğru serbest çalışanı ararken potansiyel tehditleri de düşünmeye başlamalısınız. Birine iş vermeden önce büyük olasılıkla bu kişinin portfolyosunu görmek isteyeceksiniz. Bir serbest çalışan size bunun için bir belge, bir dizi çalışmasını içeren bir arşiv veya üçüncü taraf bir siteye bağlantı gönderebilir; siz de muhtemelen bağlantıya tıklamak ya da dosyayı açmak zorunda hissedebilirsiniz. Oysa o dosyada veya sitede aklınıza gelebilecek başka her şey olabilir.

Araştırmacılar, tarayıcılarda ve ofis paketlerinde sürekli güvenlik açıkları keşfediyor. Saldırganların bir metin belgesine kötü amaçlı komut dosyaları ekleyerek veya bir kötüye kullanım paketini web sitesi koduna gömerek kurumsal bilgisayarların kontrolünü ele geçirmeyi başardığı olaylarla birden fazla kez karşılaştık. Ancak bazen bu tür hileler bile gerekmeyebiliyor. Bazı çalışanlar, uzantıya bakmadan gelen dosyaya tıklamaya ve bir yürütülebilir dosyayı başlatmaya dünden hazır.

Üstelik, bir saldırganın (kendi çalışmalarından oluşmasa da) normal bir portfolyo gösterip, daha sonrasında işi teslim ederken kötü amaçlı bir dosya gönderebileceğini de unutmayın. Dahası, başka birisi serbest çalışanın bilgisayarının veya posta kutusunun kontrolünü ele geçirebilir ve bunları şirketinize saldırmak için kullanabilir. Sonuçta hiç kimse bu kişinin cihazının veya hesabının nasıl korunduğunu bilmiyor ve BT güvenliğinizin orada olup bitenler üzerinde hiçbir kontrolü yok. Yıllardır birlikte çalıştığınız bir serbest çalışandan gelmiş olsalar bile, alınan dosyaları kontrol etmeden güvenilir kabul etmemelisiniz.

Karşı önlemler

Şirket altyapısı dışında oluşturulan belgelerle çalışmanız gerekiyorsa dijital hijyeni sağlamak son derece önemlidir. Tüm çalışanlar ilgili siber tehditlerin farkında olmalıdır, bu nedenle güvenlik farkındalığı düzeylerini yükseltmeyi değerlendirin. Ek olarak, bazı pratik tavsiyelerde bulunabiliriz:

  • Belge alışverişi için katı kurallar belirleyin, serbest çalışanları bilgilendirin ve bu kurallara uymayan dosyaları açmayın. Kendiliğinden açılan arşiv mi? Hayır, teşekkürler. Parolası aynı e-posta içinde belirtilen parolalı bir arşiv mi? Bunu yalnızca kötü amaçlı yazılımlardan korumaya yönelik e-posta filtrelerini atlamak için kullanıyor olabilirler.
  • Harici kaynaklardan gelen dosyalarla çalışmak için ağın geri kalanından izole edilmiş ayrı bir bilgisayar veya sanal makine ayırın ya da en azından dosyaları önce bunlarda kontrol edin. Bu şekilde, bir bulaşma durumunda olası hasarı önemli ölçüde azaltabilirsiniz.
  • Güvenlik açıklarından yararlanılmasını veya kötü amaçlı bir internet sitesine yönlendiren bağlantılara tıklamayı engellemek için bu bilgisayarı veya sanal makineye güvenlik çözümü kurduğunuzdan emin olun.

Erişim hakları

İhtiyaç duyduğunuz şirket dışı uzmanı bulduğunuzu varsayalım. Bir proje üzerinde işbirliği yapmak için, serbest çalışanların genellikle şirketin dijital sistemlerine (dosya paylaşım platformları, proje yönetim sistemleri, konferans hizmetleri, şirket içi mesajlaşma uygulamaları, bulut hizmetleri vb.) erişmesi gerekir. Burada iki hatadan kaçınmalısınız: Serbest çalışana gerekenin üstünde haklar vermeyin ve çalışma tamamlandıktan sonra erişimi iptal etmeyi unutmayın.

Hakların verilmesi sırasında en az ayrıcalık ilkesine bağlı kalmak en iyisidir. Serbest çalışan, yalnızca mevcut proje için gerekli olan kaynaklara erişebilmelidir. Dosya deposuna sınırsız erişim ve hatta sohbet geçmişleri birer tehdit oluşturabilir. Yardımcı hizmetlerde saklanan bilgileri bile hafife almayın. Basında çıkan haberlere göre, 2020’de Twitter’ın hacklenmesi, saldırganların kuruluşun dahili sohbetine erişmesiyle başladı. Sohbete erişim sağladıktan sonra, sosyal mühendislik yöntemlerini kullanarak şirket çalışanlarından birini, kendilerine onlarca hesaba erişim vermeye ikna etmeyi başardılar.

Proje bitiminden sonra hakların iptal edilmesi de bir formaliteden ibaret değil. Çalışmayı tamamlayan serbest çalışanın illa proje yönetim sisteminizi hacklemeye başlayacağını söylemiyoruz. Kurumsal verilere erişimi olan ek bir hesabın varlığı genel olarak iyi bir şey değil. Serbest çalışan kişi zayıf bir parola belirlerse veya parolayı diğer hesaplarında da kullanırsa ne olacak? Bir sızıntı durumunda, kurumsal ağınızda ek bir güvenlik açığı noktası olacak.

Karşı önlemler

Yapılacak en önemli şey, iş ilişkisi sona erdikten sonra serbest çalışanın hesabını silmek veya devre dışı bırakmaktır. En azından ilişkili postayı ve parolayı mutlaka değiştirin; bu, hesapla ilişkili tüm verileri silen sistemlerde gerekli olabilir. Ek olarak şunları öneriyoruz:

  • Kimin hangi hizmetlere erişimi olduğuna dair merkezi bir kayıt tutun. Bu hem proje sona erdikten sonra tüm hakları iptal etmenize yardımcı olur hem de bir olayı araştırırken faydalı olabilir.
  • Yüklenicilerin şirket kaynaklarına bağlanmak için kullandıkları cihazlarda iyi dijital hijyen sağlamasını ve (en azından ücretsiz bir) güvenlik çözümü kullanmasını zorunlu tutun.
  • Mümkün olduğunca tüm bulut sistemlerinde iki faktörlü kimlik doğrulamayı zorunlu hale getirin.
  • Mümkünse serbest çalışanların ve yüklenicilerin projeleri ve dosyaları için ayrı bir altyapı oluşturun.
  • Bulut deposuna veya kurumsal sunucuya yüklenen tüm dosyaları kötü amaçlı yazılımlara karşı tarayın.
İpuçları