Category Archives: GDPR

#AzureAD Baseline Protection and Policy in Public Preview

It is crucial to protect your admin accounts, especially when we talk about Azure services. There is a new feature in Public Preview to implement it today, that will effectively protect your Azure AD privileged accounts. During the last year, identity attacks have increased by 300%. To protect your environment from the ever-increasing attacks, Azure Active Directory (Azure AD) introduces a new feature called baseline protection. Baseline protection is a set of predefined conditional access policies that can be found in the Azure AD Portal.

You can navigate to the Azure Portal, then go to Azure AD and then to Conditional Access. You can now see that there is a new policy called “Baseline Policy”:

image

The default setting is to enable that policy in the future and enable MFA for the critical admins groups in Azure AD, unless you want to change the default setting and enable it immediately. You also have the option to exclude some groups or users, although this is not recommended.

While managing custom conditional access policies requires an Azure AD Premium license, baseline policies are available in all editions of Azure AD.

The directory roles that are included in the baseline policy are the most privileged Azure AD roles.

If you have privileged accounts that are used in your scripts, you should replace them with Managed Service Identity (MSI) or service principals with certificates. As a temporary workaround, you can exclude specific user accounts from the baseline policy.

Recommendation: Exclude one “emergency-access administrative account” to ensure you are not locked out of the tenant.

And remember, we offer a list of Azure online courses, so you can get the proper training and gest certified on Microsoft Azure. You can see the courses offered here.

Thanks for your time!

#AzureAD Password Protection and Smart Lockout are now in Public Preview

One more cool feature related to Azure Active Directory, especially for those of you that care about security. Remember that the GDPR mandates for a strict security baseline, in order to protect personal data.

So this new feature that was announced in Public Preview, forces or audits the passwords that the Azure AD users use; if a user tries to use an easy password, the admin has the option to just audit this attempt, or block it completely. We also have the option to specify a black list of banned passwords.

In order to configure it, you need to log on to your Azure AD Portal and then navigate to Security –> Authentication Methods:

azureadpass

Let’s talk a bit about the different options that we see here.

  1. Set your custom smart lockout threshold (number of failures until the first lockout) and duration (how long the lockout period lasts)

  2. Enter the banned password strings for your organization in the textbox provided (one string per line) and turn on enforcement of your custom list

  3. Extend banned password protection to Windows Server Active Directory by enabling password protection in Active Directory. Start with the audit mode, which gives you the opportunity to evaluate the current state in your organization. Once an action plan is finalized, flip the mode to Enforced to start protecting users by preventing any weak passwords being used.

How does the banned password list work
The banned password list matches passwords in the list by converting the string to lowercase and comparing to the known banned passwords within an edit distance of 1 with fuzzy matching.

Example: The word password is blocked for an organization

  • A user tries to set their password to «P@ssword» that is converted to «password» and because it is a variant of password is blocked.

  • An administrator attempts to set a users password to «Password123!» that converted to «password123!» and because it is a variant of password is blocked.

Each time a user resets or changes their Azure AD password it flows through this process to confirm that it is not on the banned password list. This check is included in hybrid scenarios using self-service password reset, password hash sync, and pass-through authentication.

What do users see
When a user attempts to reset a password to something that would be banned, they see the following error message:

“Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. Please try again with a different password.”

It’s not only for the cloud
That’s nice, because you can even use it to prevent weak passwords being used in the organization using Windows Server Active Directory. And yes, we talk about your on-premises environment!

In a single forest deployment, the preview of Azure AD password protection is deployed with the proxy service on up to two servers, and the DC agent service can be incrementally deployed to all domain controllers in the Active Directory forest.

azure-ad-password-protection

Before doing anything, I strongly suggest that you take a look at the official documentation here: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-ban-bad-on-premises

What kind of Azure AD licenses you need for this? 
The benefits of the global banned password list apply to all users of Azure Active Directory (Azure AD). The custom banned password list requires Azure AD Basic licenses.
Azure AD password protection for Windows Server Active Directory requires Azure AD Premium licenses.

GDPR: Πώς θα ζητήσετε τα προσωπικά σας δεδομένα από 100+ εταιρίες

Σήμερα σας έχω ακόμα κάτι αρκετά ενδιαφέρον για το GDPR 🙂
Ανακάλυψα ένα site όπου σας δίνει την δυνατότητα να ζητήσετε πληροφορίες για την επεξεργασία των προσωπικών σας δεδομένων από 100 και παραπάνω γνωστές εταιρίες, όπως ακριβώς προβλέπει ο κανονισμός.

Θα εκπλαγείτε όταν διαπιστώσετε με πόσο εύκολο τρόπο μπορεί να γίνει το αίτημα προς αυτές τις εταιρίες (και κατά συνέπεια με παρόμοιο τρόπο και προς την δική σας εταιρία).

Στο site με την ονομασία https://mydatarequest.com/ έχετε την δυνατότητα να επιλέξετε από ποια εταιρία θέλετε να ζητήσετε πληροφορίες για τα προσωπικά σας δεδομένα:

Untitled

Ακριβώς επειδή το κάθε site έχει την δική του διαδικασία, η σελίδα σας καθοδηγεί ακριβώς σχετικά με το πως θα κάνετε το αίτημα.

Σας ευχαριστώ για τον χρόνο σας και σας θυμίζω ότι μπορείτε να ενημερωθείτε σωστά για το GDPR μέσα από το online σεμινάριο GDPR Foundation, με παρακολούθηση ακόμα και από το σπίτι σας, ώστε να ενημερωθείτε σωστά για να μην βρεθείτε προ εκπλήξεων.

Καλή συνέχεια σε ότι κάνετε.

GDPR: Ήμουνα και εγώ εκεί!

Όλοι έχουμε καταλάβει ότι ο νέος κανονισμός της ΕΕ για την προστασία των προσωπικών δεδομένων μας δημιουργήθηκε για να περιοριστεί η ανεξέλεγκτη διάδοση της προσωπικής πληροφορίας χωρίς την συγκατάθεσή μας.

Ταυτόχρονα όμως δημιουργεί και πολλαπλά ζητήματα τα οποία σήμερα καλούμαστε να αντιμετωπίσουμε. Για παράδειγμα, τι γίνεται με τα πλάνα που παρουσιάζονται από τους τηλεοπτικούς σταθμούς, στα οποία φαινόμαστε όλοι μας και κανένας δεν μας έχει ζητήσει την συγκατάθεσή μας; Θα μπορούσα να θεωρήσω ότι έχω ζημιωθεί όταν φαίνομαι σε κάποιο ρεπορτάζ για την κίνηση στα μαγαζιά του κέντρου της πόλης;

Δείτε λοιπόν στον σύνδεσμο παρακάτω πόσο εύκολα μπορεί να σας εντοπίσει κάποιος από μια φαινομενικά απλή φωτογραφία. Πρόκειται για φωτογραφίες που έχουν ανάλυση τουλάχιστον 2110 megapixels. Επιλέξτε κάποια από τις φωτογραφίες, αφήστε την φωτογραφία να φορτωθεί και μετά δοκιμάστε να κάνετε zoom όσο πιο κοντά μπορείτε. Μήπως ήσασταν και εσείς εκεί;

Δείτε τις φωτογραφίες εδώ.

Σας ευχαριστώ για τον χρόνο σας.

Δεν υπάρχει Επίσημη Πιστοποίηση για DPOs στην Ελλάδα: Ανακοίνωση της Αρχής Προστασίας Δεδομένων


Όλοι όσοι αρχίζουν να ασχολούνται με το GDPR, σύντομα μαθαίνουν ότι ο ρόλος-κλειδί για τον κανονισμό είναι αυτός του DPO.

Επειδή λανθασμένα έχει περάσει στην αντίληψη μας ότι η πιστοποίηση του DPO είναι κάτι μαγικό που ξαφνικά θα μας κάνει ειδικούς στην εφαρμογή του Κανονισμού, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έβγαλε ανακοίνωση, η οποία με λίγα λόγια λέει τα εξής:

1. Η πιστοποίηση του DPO είναι εθελοντική και προαιρετική. Κάποιος αν νομίζει ότι έχει τα απαραίτητα προσόντα (τα οποία παρεμπιπτόντως περιγράφονται σε σχετικό άρθρο του Κανονισμού, περισσότερα για αυτό παρακάτω), μπορεί να αναλάβει τον ρόλο του DPO. Δεν υπάρχει εκείνη η μαγική συνταγή που θα μας κάνει experts και έτοιμους να αναλάβουμε τον ρόλο του DPO. Εννοείται φυσικά ότι όλοι όσοι ασχολούνται με την μηχανογράφηση ΔΕΝ μπορούν να γίνουν DPOs, διότι υπάρχει σύγκρουση συμφερόντων στην εταιρία (το οποίο επίσης περιγράφεται σαφώς στον κανονισμό).

2. Δεν υπάρχει κάποια αναγνωρισμένη αρχή ή φορέας στην Ελλάδα που δίνει DPO πιστοποιήσεις. Ότι τυχόν σεμινάρια βλέπετε, είναι απλά σεμινάρια που σας επιμορφώνουν, ενδεχομένως συνοδεύονται από εξετάσεις, ΑΛΛΑ τίποτα δεν είναι επίσημο.

Τι προσόντα πρέπει να έχει ο DPO;

Αντιγράφω το ακριβές κείμενο από το σχετικό άρθρο του Κανονισμού που μπορείτε να βρείτε και μόνοι σας εδώ:

Άρθρο 37:  5.   Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων.

 

Την επίσημη ανακοίνωση της Αρχής μπορείτε να βρείτε σε PDF αρχείο εδώ.

[GDPR] Ένα e-mail που δεν θα θέλατε να πάρετε από κάποιον πελάτη σας….

Κατά την διάρκεια των εκπαιδεύσεων που έχουμε κάνει για το GDPR όλους αυτούς τους μήνες, ακούμε πολύ συχνά το ερώτημα από τους συμμετέχοντες: “Θα ασχοληθεί ποτέ κάποιος με την συμμόρφωση της εταιρίας μας με το GDPR;”

Είναι σαφές ότι σήμερα που γράφεται αυτό το blog post (4/4/18) είμαστε σε φάση προσαρμογής, που σημαίνει ότι ο κανονισμός δεν βρίσκεται σε πλήρη ισχύ. Απάντηση λοιπόν προς το παρόν δεν μπορούμε να δώσουμε. Όμως θα πρέπει να σκεφτούμε ότι θα πρέπει να κάνουμε κάποιες ενέργειες για να προσεγγίσουμε όσο πιο πολύ μπορούμε τις βασικές αρχές προστασίας δεδομένων προσωπικού χαρακτήρα.

Κανένας δεν μπορεί να αποκλείσει το ενδεχόμενο να έχουμε κάποιον πελάτη μας, ο οποίος θα θελήσει να εξασκήσει τα δικαιώματά του, έτσι όπως παρουσιάζονται στον κανονισμό για το GDPR. Για αυτό τον λόγο, σας έχω ετοιμάσει ένα δείγμα e-mail που μπορεί να πάρετε στο μέλλον από κάποιον πελάτη σας και να είστε υποχρεωμένοι να απαντήσετε μέσα σε 30 μέρες.

Δείτε λοιπόν το παρακάτω (εφιαλτικό) κείμενο του e-mail:

“Dear Sir/Madam:

I am writing to you in your capacity as data protection officer for your company. I am a customer of yours, and in light of recent events, I am making this request for access to personal data pursuant to Article 15 of the General Data Protection Regulation. I am concerned that your company’s information practices may be putting my personal information at undue risk of exposure or in fact has breached its obligation to safeguard my personal information pursuant to <latest nasty cybersecurity event or thing in the news>.

I am including a copy of documentation necessary to verify my identity. If you require further information, please contact me at my address above.

I would like you to be aware at the outset, that I anticipate reply to my request within one month as required under Article 12, failing which I will be forwarding my inquiry with a letter of complaint to the <appropriate data protection authority>.

Please advise as to the following:
1. Please confirm to me whether or not my personal data is being processed. If it is, please provide me with the categories of personal data you have about me in your files and databases.
a. In particular, please tell me what you know about me in your information systems, whether or not contained in databases, and including e-mail, documents on your networks, or voice or other media that you may store.
b. Additionally, please advise me in which countries my personal data is stored, or accessible from. In case you make use of cloud services to store or process my data, please include the countries in which the servers are located where my data are or were (in the past 12 months) stored.
c. Please provide me with a copy of, or access to, my personal data that you have or are processing.

 

2. Please provide me with a detailed accounting of the specific uses that you have made, are making, or will be making of my personal data.

3. Please provide a list of all third parties with whom you have (or may have) shared my personal data.
a. If you cannot identify with certainty the specific third parties to whom you have disclosed my personal data, please provide a list of third parties to whom you may have disclosed my personal data.
b. Please also identify which jurisdictions that you have identified in 1(b) above that these third parties with whom you have or may have shared my personal data, from which these third parties have stored or can access my personal data. Please also provide insight in the legal grounds for transferring my personal data to these jurisdictions. Where you have done so, or are doing so, on the basis of appropriate safeguards, please provide a copy.
c. Additionally, I would like to know what safeguards have been put in place in relation to these third parties that you have identified in relation to the transfer of my personal data.

 

4. Please advise how long you store my personal data, and if retention is based upon the category of personal data, please identify how long each category is retained.

5. If you are additionally collecting personal data about me from any source other than me, please provide me with all information about their source, as referred to in Article 14 of the GDPR.

 

6. If you are making automated decisions about me, including profiling, whether or not on the basis of Article 22 of the GDPR, please provide me with information concerning the basis for the logic in making such automated decisions, and the significance and consequences of such processing.

7. I would like to know whether or not my personal data has been disclosed inadvertently by your company in the past, or as a result of a security or privacy breach.
a. If so, please advise as to the following details of each and any such breach:
i. a general description of what occurred;
ii. the date and time of the breach (or the best possible estimate);
iii. the date and time the breach was discovered;
iv. the source of the breach (either your own organization, or a third party to whom you have transferred my personal data);
v. details of my personal data that was disclosed;
vi. your company’s assessment of the risk of harm to myself, as a result of the breach;
vii. a description of the measures taken or that will be taken to prevent further unauthorized access to my personal data;
viii. contact information so that I can obtain more information and assistance in relation to such a breach, and
ix. information and advice on what I can do to protect myself against any harms, including identity theft and fraud.

b. If you are not able to state with any certainty whether such an exposure has taken place, through the use of appropriate technologies, please advise what mitigating steps you have taken, such as
i. Encryption of my personal data;
ii. Data minimization strategies; or,
iii. Anonymization or pseudonymization;
iv. Any other means

 

8. I would like to know your information policies and standards that you follow in relation to the safeguarding of my personal data, such as whether you adhere to ISO27001 for information security, and more particularly, your practices in relation to the following:
a. Please inform me whether you have backed up my personal data to tape, disk or other media, and where it is stored and how it is secured, including what steps you have taken to protect my personal data from loss or theft, and whether this includes encryption.
b. Please also advise whether you have in place any technology which allows you with reasonable certainty to know whether or not my personal data has been disclosed, including but not limited to the following:
i. Intrusion detection systems;
ii. Firewall technologies;
iii. Access and identity management technologies;
iv. Database audit and/or security tools; or,
v. Behavioural analysis tools, log analysis tools, or audit tools;

9. In regards to employees and contractors, please advise as to the following:
a. What technologies or business procedures do you have to ensure that individuals within your organization will be monitored to ensure that they do not deliberately or inadvertently disclose personal data outside your company, through e-mail, web-mail or instant messaging, or otherwise.
b. Have you had had any circumstances in which employees or contractors have been dismissed, and/or been charged under criminal laws for accessing my personal data inappropriately, or if you are unable to determine this, of any customers, in the past twelve months.
c. Please advise as to what training and awareness measures you have taken in order to ensure that employees and contractors are accessing and processing my personal data in conformity with the General Data Protection Regulation.

Yours Sincerely,

Your customer”

 

ΤΙ ΜΠΟΡΟΥΜΕ ΝΑ ΚΑΝΟΥΜΕ:

Ενημερωνόμαστε και ανάλογα με το μέγεθος της εταιρίας μας προσπαθούμε να δημιουργήσουμε διαδικασίες ώστε να μπορέσουμε να ανταποκριθούμε σε ότι μας ζητάει το υποκείμενο των δεδομένων, δηλαδή ο πελάτης μας.

Εμείς από την πλευρά μας μπορούμε να σας παρέχουμε την σωστή ενημέρωση με το GDPR Foundation Online Course, το GDPR Foundation Masterclass σε αίθουσα, ρίξτε μια ματιά στα σχετικά με το GDPR στο site μας και αποφασίστε ανάλογα. Σε προηγούμενα e-mails που σας έχουμε στείλει, έχουμε συμπεριλάβει και εκπτωτικούς κωδικούς που μπορείτε να χρησιμοποιήσετε για να έχετε σημαντικές εκπτώσεις, οπότε αξιοποιήστε τους.

 

Σας ευχαριστώ για τον χρόνο σας.

“What If” tool in Public Preview for #AzureAD Conditional Access Policies

In case you don’t remember what is all about Azure AD Conditional Access, I suggest that you click here to take a look at the previous articles in my blog that deal with this.

Let’s talk about a new feature that was announced to be in Public Preview, the so called “What If” tool for Conditional Access. This tool will let you understand the impact of a Conditional Access Policy on a user sign-in, under conditions that you specify. Do you remember the on-premises Group Policy Modeling console? Well, it should give you similar results, meaning you can see how the policies will be applied to a user, rather than waiting for the user to tell you (and complain in some cases…).

So let’s see how it works:

Go to the Azure Portal, and select Azure AD Conditional Access, then click on What If:

1

 

Select the user you want to test and optionally select app, IP address, device platforms, client app, sign-in risk, and then click on the blue What If button:

2

 

And these are the results that you get:

3

 

Which policies WIIL NOT apply? This is helpful when you want to know the reason when a policy is not applied:

4

 

Want to learn more about the What If tool? Click here to go to the related Microsoft Docs article.

 

Enjoy!

GDPR Foundation Masterclass σε Αθήνα και Θεσσαλονίκη τον Ιανουάριο του 2018

gdprlogo

Ο νέος Ευρωπαϊκός κανονισμός για την Προστασία Γενικών Δεδομένων (GDPR) ψηφίστηκε στις 27 Απριλίου 2016 και τίθεται σε ισχύ τον Μάιο του 2018. Ο Κανονισμός αντικαθιστά την Οδηγία 95/46/EC που ίσχυε μέχρι σήμερα και έχει ως σκοπό την εναρμόνιση του νομικού πλαισίου για την προστασία της ιδιωτικότητας των δεδομένων σε ολόκληρη την Ευρώπη. Όλες οι εταιρείες θα πρέπει να συμμορφωθούν με αυτόν μέχρι τις 25 Μαϊου 2018.

Τι είναι το GDPR Foundation Masterclass;

Πρόκειται για ένα νέο σεμινάριο που δημιουργήσαμε, με σκοπό να εξοικειωθείτε με τις νέες απαιτήσεις του GDPR. Θα ενημερωθείτε για όλες τις αλλαγές που πρέπει να εφαρμόσετε στην εταιρία σας, καθώς και για την μεθοδολογία που πρέπει να ακολουθηθεί σε όλα τα επίπεδα της πληροφορίας, ώστε να είστε πλήρως συμβατοί με την νέα νομοθεσία, αποφεύγοντας το υπέρογκο πρόστιμο σε περίπτωση ελέγχου.

Πρόκειται για το μοναδικό σεμινάριο στην ελληνική αγορά, το οποίο ασχολείται και με το τεχνικό μέρος της συμμόρφωσης με το GDPR και απευθύνεται σε μηχανογράφους, αλλά και γενικότερα σε στελέχη που θα εμπλακούν στην υλοποίηση της συμμόρφωσης με το GDPR.

Ημερομηνίες διεξαγωγής:

Θεσσαλονίκη 17/1/18 – 19/1/18, 9:00-17:00

Αθήνα 24/1/18 – 26/1/18, 9:00-17:00

Τιμή συμμετοχής ανά άτομο: 850 ευρώ

 

Δείτε πληροφορίες εδώ: https://systemplus.gr/training/get-gdpr-ready-with-our-gdpr-masterclass/

Phishing & Hacking Staff Awareness Course: Προστατευθείτε από το κυβερνοέγκλημα

Για να κλείσουμε τη χρονιά με κάτι ενδιαφέρον: Εκπαιδευθείτε από το σπίτι και παρακολουθήστε το webinar με τίτλο “Phishing & Hacking Staff Awareness Course ”. Το σεμινάριο απευθύνεται σε απλούς χρήστες υπολογιστή που δουλεύουν σε οικιακό ή εταιρικό περιβάλλον και θέλουν να προστατεύσουν τα προσωπικά ή εταιρικά δεδομένα τους .

Αυτό το webinar βοηθά τους εργαζόμενους να εντοπίζουν και να κατανοούν τις διάφορες τεχνικές απάτης στο διαδίκτυο, εξηγεί τι θα συμβεί αν πέσουν θύματα και τους δείχνει πώς μπορούν να μετριάσουν την απειλή μιας επίθεσης.

Οι επιθέσεις ηλεκτρονικού “ψαρέματος” και ransomware γίνονται όλο και πιο δημοφιλείς και εξελιγμένες και ο αριθμός τους αυξάνεται ραγδαία.

Ένας από τους λόγους πίσω από αυτή την απίστευτη αύξηση είναι η έλλειψη βασικών γνώσεων σχετικά με αυτές τις απειλές: πάνω από τα τρία τέταρτα (76%) των εργαζομένων δεν γνωρίζουν τι είναι το ransomware και το 36% δεν μπορεί να καθορίσει με βεβαιότητα μια επίθεση phishing, σύμφωνα με μια έρευνα του ISACA.

Ανεξάρτητα από το πόσες τεχνολογικές άμυνες υπάρχουν για να αποφευχθεί το phishing και το hacking στoυς υπολογιστές των χρηστών, καμία μέθοδος φιλτραρίσματος δεν είναι 100% επιτυχής, επομένως είναι συχνά στο χέρι του χρήστη να αποφασίσει αν θα ανοίξει ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος ή θα κάνει κλικ σε έναν κακόβουλο σύνδεσμο . Η εκπαίδευση για την ευαισθητοποίηση με αυτό το σεμινάριο μπορεί να κάνει τη διαφορά.

Η διάρκεια του webinar είναι περίπου 2 ώρες και καλύπτει τα παρακάτω θέματα:

  • Τι είναι το κυβερνοέγκλημα.
  • Ποιό είναι το καλύτερο ΔΩΡΕΑΝ εργαλείο hacking που υπάρχει σήμερα.
  • Πως θα καταλάβουμε και θα αντιμετώπίσουμε ένα phishing email.
  • Τι είναι η Κλοπή Ταυτότητας στο internet και πως μπορούμε να δημιουργήσουμε μια πλαστή παρουσία στο internet.
  • Πώς θα αποφύγουμε να εγκαταστήσουμε malware στον υπολογιστή μας
  • Και πολλά ακόμα

Αυτό το webinar θα βοηθήσει εσάς και την ομάδα σας να κατανοήσουν πώς λειτουργούν οι επιθέσεις phishing, τις τακτικές που χρησιμοποιούν οι εγκληματίες στον κυβερνοχώρο και πώς να εντοπίζουν και να αποφεύγουν μια εκστρατεία phishing και hacking.

Το webinar πωλείται σε χαμηλή τιμή, μόνο 40 ευρώ, με απεριόριστη πρόσβαση και high definition ποιότητα. Μπορείτε να το προμηθευτείτε από εδώ.

Ευτυχισμένο το 2018 (αν και πιστεύω ότι θα τα ξαναπούμε σύντομα σε κάποιο άλλο blog post)!

Last Christmas I gave you my bank and credit card details….

 

Το ξέρετε σίγουρα το συγκεκριμένο τραγούδι. Σε αυτό το hit του 1984 οι στίχοι μιλούν για κάποιον που εμπιστεύεται τα συναισθήματα του σε λάθος πρόσωπο και τελικά το μετανιώνει. Κάτι που κινδυνεύουμε να πάθουμε με το phishing και scamming. Και σίγουρα τα Χριστούγεννα είναι μια καλή ευκαιρία για να μας εξαπατήσουν.

Τα Χριστούγεννα είναι η εποχή του χρόνου που έχουμε την καλύτερη διάθεσή μας, θέλουμε να κάνουμε δώρα, να προσφέρουμε, να χαρίσουμε. Δυστυχώς όμως δεν μπορούμε να είμαστε σίγουροι ότι η καλοσύνη μας θα ανταμειφτεί.

Αν λοιπόν πάρετε ένα email από κάποιο φιλανθρωπικό ίδρυμα, ελέγξτε αν όντως πρόκειται για αληθινό φιλανθρωπικό ίδρυμα πριν δώσετε τα λεφτά σας. Υπάρχουν σοβαρές πιθανότητες να μην είναι, και αυτό ισχύει για όλες τις εποχές του χρόνου. Ενδεχομένως να πάρετε emails από εταιρίες που σας υπόσχονται ηλεκτρονικές αγορές σε τιμές απίστευτες για να είναι αληθινές – μάλλον δεν είναι αληθινές.

Είναι συνηθισμένο να πάρετε ένα email σχετικά με κάποια παραγγελία που έχει πρόβλημα, ζητώντας σας να πατήσετε πάνω σε κάποιο link για να επιβεβαιώσετε τα στοιχεία σας. Στη συνέχεια θα σας ζητηθεί ο αριθμός της πιστωτικής σας κάρτας, καθώς και άλλα στοιχεία. Σε καμία περίπτωση δεν πρέπει να τα δώσετε. Άλλη παραλλαγή είναι να σας ζητηθεί να ανοίξετε ένα συνημμένο αρχείο, το οποίο είναι κάποιος ιός, με σκοπό να προκαλέσει ζημιά στον υπολογιστή σας, ή να σας υποκλέψει προσωπικά στοιχεία και κωδικούς πρόσβασης.


ΠΟΙΑ ΕΙΝΑΙ Η ΛΥΣΗ;

Το προσωπικό στην εταιρία σας πρέπει να εκπαιδευθεί σωστά, ώστε να μπορεί να διακρίνει τέτοιου είδους ηλεκτρονικές απάτες. Στο οικιακό περιβάλλον μια τέτοια απάτη μπορεί απλά να βλάψει τον οικιακό υπολογιστή και να υποκλέψει τα στοιχεία μιας πιστωτικής κάρτας, αλλά σε εργασιακό περιβάλλον μπορεί να βάλει σε κίνδυνο ακόμα και ολόκληρο το δίκτυο της εταιρίας. Ειδικά σήμερα με το GDPR, πρέπει να είμαστε πολύ προσεκτικοί στην διαχείριση προσωπικών δεδομένων μέσα σε εταιρικά περιβάλλοντα.

Σε επόμενο blog post και email θα σας δώσω μια λύση για αυτό και πως μπορεί να προστατευθεί η εταιρία σας.

Σας ευχαριστώ για τον χρόνο σας.

Χρήστος Σπανουγάκης MCT, MVP

systemplus.gr | mcse.gr

Αρέσει σε %d bloggers: