Відео: Dame Tu cosita ñ (Вересень 2024)
Коли хакери атакують, людські ресурси (HR) - одне з перших місць, куди вони потрапляють. HR є популярною ціллю через доступ співробітників кадрів до даних, які продаються в темній мережі, включаючи імена працівників, дати народження, адреси, номери соціального страхування та форми W2. Щоб отримати інформацію про таку інформацію, хакери використовують все, від фішингу, до того, щоб представити керівників компаній з проханням про внутрішні документи - форму фішингу, яка називається «китобійним спортом», - для використання вразливих місць у хмарній оплаті праці та технічних службах HR.
Для того, щоб дати відсіч, компанії повинні дотримуватися протоколів безпечного обчислення. Це включає навчання персоналу з персоналу та інших службовців, щоб вони охороняли афери, застосовували практику захисту даних та перевіряли постачальників хмарних технологій HR. У не надто віддаленому майбутньому можуть допомогти також біометрика та штучний інтелект (ШІ).
Кібератаки не згасають; якщо що-небудь, вони стають гіршими. Компанії всіх розмірів сприйнятливі до кібератак. Малий бізнес, однак, може наражатись на найбільший ризик, оскільки, як правило, у них є менше людей, співробітники яких є єдиним завданням - слідкувати за кіберзлочинністю. Більші організації можуть змогти покрити витрати, пов’язані з нападом, включаючи оплату за кілька років вартості кредитних звітів для працівників, чиї особи були викрадені. Для малих підприємств наслідки цифрового крадіжки можуть бути руйнівними.
Не важко знайти приклади порушень кадрових даних. У травні хакери застосували соціальну інженерію та погану практику безпеки у клієнтів ADP, щоб викрасти номери соціальних служб та інші дані про персонал. У 2014 році хакери використовували облікові дані для реєстрації у невизначеній кількості клієнтів пакету нарахувань заробітної плати та управління персоналом Ultimate Software Ultimate Software для крадіжки даних про співробітників та подання шахрайських податкових декларацій, повідомляє Krebs on Security.
В останні місяці відділи кадрів у численних компаніях закінчували одержання податкової афери з китобійних промислів W-2. У кількох добре зареєстрованих випадках відділи нарахування заробітної плати та інші працівники передали хакерам податкову інформацію про W-2 після отримання підробленого листа, який виглядав як законний запит на документи від керівника компанії. У березні компанія Seagate Technology заявила, що ненароком поділилася інформацією про податкову форму W-2 для "кількох тисяч" нинішніх та колишніх службовців внаслідок такої атаки. За місяць до цього SnapChat повідомив, що працівник відділу оплати праці поділився даними із заробітною платою для "кількості" нинішніх та колишніх співробітників, а також шахрая, який виступає генеральним директором Еваном Шпігелем. Ваги Watchers International, PerkinElmer Inc., Білл Каспер Гольф та Sprouts Farmers Market Inc. також стали жертвами подібних погіршень, повідомляє Wall Street Journal.
Тренуйте працівників
Повідомлення працівників про потенційні небезпеки - це перша лінія захисту. Навчіть працівників розпізнавати елементи, які б або не включалися до електронних листів від керівників компаній, наприклад, як вони зазвичай підписують своє ім’я. Зверніть увагу на те, що просить електронний лист. Наприклад, у фінансового директора немає підстав запитувати фінансові дані, наприклад, оскільки, швидше за все, вони вже є.
Один дослідник на конференції з кібербезпеки Black Hat у Лас-Вегасі цього тижня запропонував, щоб підприємства заявляли своїм працівникам підозріло ставитися до всіх електронних листів, навіть якщо вони знають відправника або якщо повідомлення відповідає їх очікуванням. Цей самий дослідник визнав, що тренінг з інформацією про фішинг може призвести до відмови, якщо працівники проводять стільки часу на перевірку, щоб переконатися, що окремі повідомлення електронної пошти є законними, що це знижує їх продуктивність.
Навчання поінформованості може бути ефективним, якщо будь-яка ознака зробила компанія з навчання кібербезпеки KnowBe4. Протягом року KnowBe4 регулярно надсилав імітовані електронні листи з фішинг-атаками 300 000 співробітників у 300 компаніях-клієнтах; вони зробили це, щоб навчити їх, як помітити червоні прапори, які можуть сигналізувати про проблему. Перед початком тренінгу 16 відсотків працівників натискали на посилання в імітованих фішинг-листах. За словами засновника KnowBe4 і виконавчого директора Стю Сюувермана, лише через 12 місяців ця кількість знизилася до 1 відсотка.
Зберігати дані у хмарі
Ще один спосіб зробити фінішну чи китобійну атаку - зберігати інформацію про компанію в зашифрованому вигляді в хмарі замість документів або папок на настільних комп'ютерах або ноутбуках. Якщо документи знаходяться в хмарі, навіть якщо працівник потрапляє на фішинг-запит, вони надсилають лише посилання на файл, до якого хакер не зможе отримати доступ (тому що у них не буде додаткової інформації, необхідної для відкрити або розшифрувати). OneLogin, компанія в Сан-Франциско, яка продає системи управління ідентифікацією, заборонила використовувати файли у своєму офісі, про що веде блог генеральний директор OneLogin Томас Педерсен.
"Це з міркувань безпеки, а також продуктивності", - заявив Девід Мейєр, співзасновник OneLogin і віце-президент з розробки продуктів. "Якщо вкрадений ноутбук працівника, це не має значення, тому що на ньому нічого немає".
Мейєр радить компаніям перевіряти HR-технічні платформи, які вони розглядають, щоб зрозуміти, які протоколи безпеки постачальники пропонують. ADP не коментує останні вторгнення, які торкнулися своїх клієнтів. Однак прес-секретар АДП заявив, що компанія забезпечує освіту, навчання та інформування клієнтів та споживачів про найкращі практики щодо запобігання поширеним проблемам кібербезпеки, наприклад, фішингу та зловмисного програмного забезпечення. За словами прес-секретаря, група з моніторингу фінансових злочинів ADP та групи підтримки клієнтів сповіщають клієнтів, коли компанія виявляє шахрайство або намагання отримати шахрайський доступ. Компанія Ultimate Software також застосовує подібні заходи безпеки після атак на користувачів UltiPro в 2014 році, включаючи встановлення багатофакторної аутентифікації для своїх клієнтів, повідомляє Krebs on Security.
Залежно від того, де знаходиться ваш бізнес, ви можете мати юридичне зобов’язання повідомляти про цифрові вкраплення відповідним органам. Наприклад, у Каліфорнії компанії зобов’язані звітувати про викрадення понад 500 імен працівників. За словами Sjouwerman, радимо проконсультуватися з юристом, щоб з’ясувати, які ваші обов'язки.
"Існує юридична концепція, яка вимагає від вас вживати розумних заходів для захисту свого довкілля, а якщо цього не зробите, ви по суті несете відповідальність", - сказав він.
Використовуйте програмне забезпечення для управління особистістю
Компанії можуть захищати системи управління персоналом, використовуючи програмне забезпечення для управління ідентифікацією для контролю входу та паролів. Подумайте про системи управління ідентифікацією як про менеджери паролів для підприємства. Замість того, щоб покладатися на персоналу та службовців персоналу, щоб пам’ятати та захищати імена користувачів та паролі для кожної платформи, яку вони використовують для нарахування заробітної плати, виплат, набору, планування тощо, вони можуть використовувати єдиний вхід для доступу до всього. Якщо все ввійти під один вхід, можна полегшити працівникам, які можуть забути паролі до HR-систем, вони входять лише кілька разів на рік (роблячи їх більш схильними записати їх кудись або зберігати в Інтернеті, де вони можуть бути викрадені).
Компанії можуть використовувати ідентифікаційну систему управління, щоб встановити двофакторну ідентифікацію для адміністраторів HR-систем або використовувати географічне обмеження для обмеження входу, щоб адміністратори могли входити лише з певного місця, наприклад, з офісу.
"Усі ці рівні толерантності до ризику безпеки для різних людей і різні ролі не є особливостями в системах управління персоналом", - сказав Мейєр OneLogin.
Продавці кадрів і фірми з кібербезпеки працюють над іншими методами запобігання кібератакам. Врешті-решт, більше співробітників увійдуть в HR та інші робочі системи, використовуючи біометричні дані, такі як сканування відбитків пальців або сітківки, які жорсткіші для зламань. Надалі платформи кібербезпеки можуть включати машинне навчання, яке дозволяє програмному навчанню самостійно виявляти зловмисне програмне забезпечення та іншу підозрілу активність на комп’ютерах або мережах, згідно з презентацією на конференції Black Hat.
До тих пір, поки ці варіанти не будуть доступні ширше, відділам кадрів доведеться покладатися на власну обізнаність, навчання працівників, наявні заходи безпеки та постачальників кадрів, з якими вони працюють, щоб уникнути неприємностей.
