Video: Dragnet: Helen Corday / Red Light Bandit / City Hall Bombing (November 2024)
Keď hackeri útočia, ľudské zdroje (HR) sú jedným z prvých miest, na ktoré zasiahli. Ľudské zdroje sú populárnym cieľom, pretože zamestnanci HR majú prístup k údajom, ktoré sú obchodovateľné na temnom webe, vrátane mien zamestnancov, dátumov narodenia, adries, čísel sociálneho zabezpečenia a formulárov W2. Aby sa hackeri dostali do rúk tohto druhu informácií, používajú všetko od phishingu po vystupovanie ako vedúci spoločnosti, ktorí požadujú interné dokumenty - druh phishingu, ktorý nazývajú „lov veľrýb“, aby využívali zraniteľné miesta v mzdových a personálnych službách v oblasti cloudu.
Aby sme sa bránili, spoločnosti musia dodržiavať bezpečné výpočtové protokoly. Zahŕňa to školenie ľudí v oblasti ľudských zdrojov a ďalších zamestnancov, aby boli na pozore pred podvodmi, prijímanie postupov na ochranu údajov a preverovanie dodávateľov technológií HR v cloude. V nie príliš vzdialenej budúcnosti môžu pomôcť biometria a umelá inteligencia (AI).
Kybernetické útoky neodchádzajú; ak niečo, zhoršujú sa. Spoločnosti všetkých veľkostí sú náchylné k kybernetickým útokom. Malé podniky však môžu byť vystavené najväčšiemu riziku, pretože vo všeobecnosti majú menej zamestnancov, ktorých jedinou úlohou je dávať pozor na počítačovú kriminalitu. Väčšie organizácie by mohli byť schopné absorbovať náklady spojené s útokom vrátane zaplatenia kreditov za niekoľko rokov za zamestnancov, ktorých totožnosť bola ukradnutá. Pre menšie podniky by mohli byť následky digitálneho krádeží zničujúce.
Nie je ťažké nájsť príklady porušenia ľudských zdrojov. V máji hackeri použili sociálne inžinierstvo a zlé bezpečnostné postupy u zákazníkov ADP, aby ukradli čísla sociálneho zabezpečenia svojich zamestnancov a ďalšie osobné údaje. V roku 2014 hackeri podľa Krebs on Security využili prihlasovacie údaje na neurčenom počte zákazníkov mzdovej a personálnej sady UltiPro Software Ultimate Software, aby ukradli údaje o zamestnancoch a podali podvodné daňové priznania.
V posledných mesiacoch boli oddelenia ľudských zdrojov v mnohých spoločnostiach na veľtrhu podvodov s lovom veľrýb W-2. V niekoľkých dobre nahlásených prípadoch mzdové oddelenie a ďalší zamestnanci poskytli hackerom informácie o daniach W-2 po prijatí spoof listu, ktorý vyzeral ako legitímna žiadosť o dokumenty od výkonného pracovníka spoločnosti. V marci spoločnosť Seagate Technology uviedla, že neúmyselne zdieľala informácie o daňovom formulári W-2 pre „niekoľko tisíc“ súčasných a bývalých zamestnancov prostredníctvom takéhoto útoku. Mesiac pred tým SnapChat uviedol, že zamestnanec vo svojom oddelení miezd zdieľal údaje o mzdách za „počet“ súčasných a bývalých zamestnancov s scammerom, ktorý vystupuje ako generálny riaditeľ Evan Spiegel. Weight Wallers International, PerkinElmer Inc., Bill Casper Golf a Sprouts Farmers Market Inc. boli podľa Wall Street Journal tiež obeťami podobných zločinov.
Vyškoliť zamestnancov
Prvou obrannou líniou je informovať zamestnancov o možných nebezpečenstvách. Vyškolte zamestnancov, aby rozpoznali prvky, ktoré by alebo neboli zahrnuté v e-mailoch od vedúcich pracovníkov spoločnosti, napríklad ako zvyčajne podpisujú svoje meno. Venujte pozornosť tomu, čo požaduje e-mail. Nie je dôvod, aby finančný riaditeľ požiadal napríklad o finančné údaje, pretože je pravdepodobné, že ich už majú.
Jeden vedecký pracovník na konferencii o kybernetickom zabezpečení Black Hat v Las Vegas tento týždeň navrhol, aby podniky povedali svojim zamestnancom podozrenie zo všetkej e-mailovej správy, a to aj v prípade, že odosielateľa poznajú alebo ak správa vyhovuje ich očakávaniam. Ten istý výskumný pracovník pripustil školenie zamerané na zvyšovanie povedomia o phishingu, ak zamestnanci trávia toľko času kontrolou, aby sa ubezpečili, že jednotlivé e-mailové správy sú legitímne a znižujú ich produktivitu.
Školenie na zvyšovanie povedomia môže byť efektívne, ak nejaká indikácia prebehla školiaca spoločnosť KnowBe4 v oblasti odbornej prípravy v oblasti kybernetickej bezpečnosti. V priebehu roka spoločnosť KnowBe4 pravidelne poslala simulované e-mailové útoky typu phishing 300 000 zamestnancom v 300 klientskych spoločnostiach; Urobili tak, aby ich vyškolili, ako spoznať červené vlajky, ktoré by mohli signalizovať problém. Pred školením 16% zamestnancov kliklo na odkazy v simulovaných phishingových e-mailoch. Iba o 12 mesiacov neskôr toto číslo podľa zakladateľa KnowBe4 a generálneho riaditeľa Stu Sjouwermana kleslo na 1 percento.
Ukladajte údaje v cloude
Ďalším spôsobom, ako ukončiť útoky typu phishing alebo lov veľrýb, je uchovávanie informácií o spoločnosti v šifrovanej podobe v cloude namiesto v dokumentoch alebo priečinkoch na plochách alebo prenosných počítačoch. Ak sú dokumenty v cloude, aj keď zamestnanec požiada o phishing, pošle iba odkaz na súbor, ku ktorému by hacker nemal prístup (pretože by nemal ďalšie informácie, ktoré potrebuje na to, aby otvoriť alebo dešifrovať). OneLogin, spoločnosť zo San Francisca, ktorá predáva systémy na správu identity, zakázala používanie súborov vo svojej kancelárii, o ktorej blogoval výkonný riaditeľ OneLogin Thomas Pedersen.
„Je to z bezpečnostných dôvodov, ako aj z hľadiska produktivity, “ povedal David Meyer, spoluzakladateľ spoločnosti OneLogin a viceprezident pre vývoj produktov. „Ak je zamestnanecký laptop ukradnutý, nezáleží na tom, pretože na ňom nie je nič.“
Meyer odporúča firmám, aby preverili platformy ľudských technológií, ktoré zvažujú, aby pochopili, aké bezpečnostné protokoly dodávatelia ponúkajú. ADP sa nevyjadril k nedávnym prienikom, ktoré zasiahli jeho zákazníkov. Hovorca ADP však uviedol, že spoločnosť poskytuje klientom a spotrebiteľom vzdelávanie, zvyšovanie povedomia a informácie o osvedčených postupoch na predchádzanie bežným problémom s kybernetickou bezpečnosťou, ako sú phishing a malware. Monitorovací tím finančnej kriminality ADP a podporné skupiny klientov informujú klientov, keď spoločnosť zistí podvod alebo došlo k pokusu o podvodný prístup, podľa hovorcu. Spoločnosť Ultimate Software tiež zaviedla podobné bezpečnostné opatrenia po útokoch na používateľov UltiPro v roku 2014, vrátane zavedenia viacfaktorovej autentifikácie pre svojich zákazníkov, podľa spoločnosti Krebs on Security.
V závislosti od toho, kde sa nachádza vaša firma, môžete mať zákonnú povinnosť hlásiť digitálne vlámanosti príslušným orgánom. Napríklad v Kalifornii sú spoločnosti povinné podávať hlásenia o odcudzeních viac ako 500 mien zamestnancov. Podľa Sjouwermana je dobré poradiť sa s právnikom a zistiť, aké sú vaše povinnosti.
„Existuje právny koncept, ktorý vyžaduje, aby ste prijali primerané opatrenia na ochranu svojho životného prostredia, a ak tak neurobíte, ste v zásade zodpovední, “ uviedol.
Použite softvér na správu identity
Spoločnosti môžu chrániť systémy ľudských zdrojov pomocou softvéru na správu identity na riadenie prihlásení a hesiel. Systémy správy identity považujte za správcov hesiel pre podnik. Namiesto spoliehania sa na zamestnancov HR a zamestnancov, aby si zapamätali - a chránili - užívateľské mená a heslá pre každú platformu, ktorú používajú na mzdy, výhody, nábor, plánovanie, atď., Môžu na prístup ku všetkému použiť jediné prihlásenie. Vloženie všetkého do jedného prihlásenia môže uľahčiť zamestnancom, ktorí by mohli zabudnúť heslá do systémov ľudských zdrojov, do ktorých sa prihlasujú iba niekoľkokrát do roka (čím majú väčšiu tendenciu ich niekde zapisovať alebo ukladať online, kde by ich mohli ukradnúť).
Spoločnosti môžu pomocou systému riadenia identifikácie nastaviť dvojfaktorovú identifikáciu pre správcov HR systémov alebo použiť geofencing na obmedzenie prihlásenia, aby sa správcovia mohli prihlásiť iba z určitého miesta, napríklad z kancelárie.
„Všetky tieto úrovne tolerancie bezpečnostných rizík pre rôznych ľudí a rôzne úlohy nie sú v systémoch ľudských zdrojov funkciami, “ povedal Meyer z OneLogin.
Predajcovia HR tech a cybersecurity firmy pracujú na iných technikách prevencie počítačových útokov. Nakoniec sa viac zamestnancov prihlási do ľudských zdrojov a ďalších pracovných systémov pomocou biometrických údajov, ako sú skenovanie odtlačkov prstov alebo sietnice, čo hackerom sťažuje praskanie. V budúcnosti môžu platformy kybernetickej bezpečnosti zahŕňať strojové učenie, ktoré umožní softvéru trénovať sám seba na detekciu škodlivého softvéru a inej podozrivej činnosti v počítačoch alebo sieťach, podľa prezentácie na konferencii Black Hat.
Pokiaľ nebudú tieto možnosti dostupné širšie, budú sa oddelenia ľudských zdrojov musieť spoliehať na svoje vlastné povedomie, školenie zamestnancov, dostupné bezpečnostné opatrenia a predajcov techník ľudských zdrojov, s ktorými spolupracujú, aby sa predišlo problémom.