Posting.jpg

Billeder kan være en sikkerhedsrisiko

Billed-geotags, metadata og placeringsoplysninger kan give konkurrenter, cyberkriminelle og endda nationalstatslige hackere mulighed for at få viden, de kan bruge mod organisationer.

Marketingfolk i alle brancher nyder at bevise deres rækkevidde til deres overordnede og give håndgribelige eksempler på deres bredde og bredde af indflydelse via sociale netværk, medier og andre midler til engagement. Billeder af både kunder og medarbejdere, der engagerer sig i hostede sociale arrangementer, messer, konferencer og direkte en-til-en-møder, betragtes ofte som guld. Kombiner dette med den enkelte medarbejders eller kundes fotos, der arbejder sig ind på sociale netværksplatforme, som andre kan se og beundre, og værdien af dette guld stiger, succes kvantificeres af indtryk, synspunkter og individuelle engagementer.

Høstning af fotodata til konkurrencemæssig intelligens, målretning mod angreb

Værdien af dette guld fordobles, når virksomheden ikke kun høster data og kalder det en succes, men deres konkurrenter analyserer også sådanne fotos, der fanger en overflod af nyttige datapunkter, herunder geotaggede data, metadata for billedet og identiteten af de personer, der er fanget i rammen. Også de kalder det en succes. Ja, det digitale engagement, der involverer placeringsdata og eller placeringstip i fotos, er et tveægget sværd.

Det er ikke kun konkurrenter, der høster dataene. Kriminelle elementer og nationalstatslige efterretnings- og sikkerhedselementer gør det også. Francis Bacons ordsprog, “Viden i sig selv er magt”, gælder. Med sted, tid og sted og identitet får konkurrenter, kriminelle og nationalstater deres første godbidder af åbent erhvervet information, hvorfra de kan begynde at bygge deres mosaik.

Advarsler om fysisk og digital målretning i massevis

Udenrigsministeriets oversøiske rådgivende råd (OSAC) fremhævede i en offentligt tilgængelig advarselsmeddelelse den fysiske og digitale målretning, der kan finde sted via placeringsdeling. OSAC’s publikum er overvejende amerikanske virksomheder, der driver forretning i udlandet. De hakker ingen ord, “Placeringsdeling er den nemmeste måde for ondsindede aktører at finde dig i det virkelige liv.”

På samme måde har det amerikanske militær så langt tilbage som i 2012 advaret personale om de sikkerhedsrisici, der er forbundet med at sende oplysninger, der giver placeringen af personale, specifikt kalde applikationer, der får adgang til en persons nøjagtige placering. (Er der apps, der ikke gør dette?) Af denne grund vælger mange rejsende at bruge rejsetelefoner, i det væsentlige en brændertelefon, til brug for at kommunikere med både kontor og familie, men uden risiko for at være direkte forbundet med den enkelte og dermed give stykker i målmosaikken, som kan være i færd med at blive oprettet af en tredjepart.

I årevis har fortalere for privatlivets fred været fortalere for enkeltpersoner til at tæmme deres ønske om at lade verden vide, hvad de laver, og hvor de gør det, katalogiserer dette som TMI (for meget information). Når du identificerer, hvor du er, fremhæver du også, hvor du ikke er. Information overvåges og udnyttes af dem, der investerer et par øjeblikke af deres tid til at overvåge den sociale mediestrøm for en målrettet person eller enhed. Erhvervsrejseprogrammer bør imødekomme behovet for diskretion i deres årlige og førrejse briefinger for ledere.

Canadas Royal Canadian Mounted Police (RCMP) har også udsendt advarsler til enkeltpersoner om deres ønske om at dele og mærke sig selv og andre. Deres anbefaling er at slå geotag-funktionen fra på dine enheder for at reducere sandsynligheden for at blive målrettet.

Men når man er på ferie, er trangen til at dele overvældende og har uheldige resultater, ikke altid for den enkelte deling, men for de mennesker, steder og ting, der er placeret inden for billedets ramme. Et par eksempler:

  • Ukraine: Det er velkendt, at Ukraine trækker alle stop for at eje cyberinformationsområdet, som omfatter høst af data fra billeder, der er indsendt af dem i Rusland på forskellige onlinefora. Senest har en russisk turist taget en selfie af sig selv og et russisk S400 missilsystem. Ukraines forsvarsministerium offentliggjorde en hånende video af russiske turister på Krim, der antydede, at det ikke var et sted at besøge.
  • Ukraine igen: I lighed med høsten af åbent tilgængelige oplysninger har de initiativrige ukrainere taget til catfishing russere online. En gruppe kaldet “HackControl”, alias “Hackyourmom”, har en kadre af personale, der administrerer flere personaer på sociale netværk som Facebook og Ruslands Vkontakte (VK), som de bruger til at få russiske soldater, der er indsat i Ukraine, til at dele fotos af sig selv, ofte fotos, der indeholder nyttige geotags, metadata og andre oplysninger til brug for den ukrainske defensive indsats. Mykhailo Fedorov, Ukraines minister for digital information, blev citeret i Washington Post: “Vi får tusindvis af rapporter om dagen. De er meget, meget nyttige.”
  • Afrika: På naturreservater har rangere placeret skilte på strategiske steder, der beder turister om at gøre deres del for at redde deres dyr. “Vær forsigtig, når du deler billeder på sociale medier. De kan føre krybskytter til vores næsehorn. Slå geotag-funktionen fra, og oplys ikke, hvor billedet er taget.”

Hvad CISO’er skal gøre ved fotodeling?

Den nederste linje for alle CISO’er er at uddanne gennem bevidsthedstræning, hvordan tilsyneladende uskyldig adfærd utilsigtet kan placere enkeltpersoner og virksomheden i fare, simpelthen ved at ønske at være social eller demonstrere deres enheds marketing rækkevidde. OSAC’s råd er aldrig at tjekke ind, undgå at annoncere, hvor du skal hen, kun sende, hvor du har været, og undgå at afsløre virksomheder eller steder, du besøger ofte.

Kilde: CSO

Foto: Pexels

Scroll til toppen