Видео: 5 НОВЫХ ЛАЙФХАКОВ С КОНСТРУКТОРОМ LEGO 4K (Ноябрь 2024)
Когда хакеры атакуют, человеческие ресурсы (HR) являются одним из первых мест, которые они поражают. HR является популярной целью из-за доступа персонала HR к данным, которые можно продавать в темной сети, включая имена сотрудников, даты рождения, адреса, номера социального страхования и формы W2. Чтобы получить такую информацию, хакеры используют все: от фишинга до того, чтобы выдавать себя за руководителей компаний, запрашивающих внутренние документы - форму фишинга, называемого «китобойным промыслом», - до использования уязвимостей в облачных платежных ведомостях и службах HR.
Чтобы дать отпор, компании должны следовать безопасным вычислительным протоколам. Это включает в себя обучение сотрудников отдела кадров и других сотрудников, которые должны быть настороже в отношении мошенничества, внедрение методов защиты данных и проверку поставщиков облачных технологий управления персоналом. В недалеком будущем биометрия и искусственный интеллект (ИИ) также могут помочь.
Кибератаки не уходят; во всяком случае, они становятся хуже. Компании всех размеров подвержены кибератакам. Однако малые предприятия могут подвергаться наибольшему риску, поскольку в их штате обычно меньше людей, единственная задача которых - следить за киберпреступностью. Более крупные организации могут быть в состоянии покрыть расходы, связанные с атакой, включая оплату кредитных отчетов за несколько лет для сотрудников, чьи личные данные были украдены. Для небольших предприятий последствия цифрового воровства могут быть разрушительными.
Нетрудно найти примеры нарушений данных HR. В мае хакеры использовали методы социальной инженерии и низкую безопасность у клиентов ADP для кражи номеров социального страхования своих сотрудников и других данных о персонале. В 2014 году хакеры использовали учетные данные для входа в систему у неопределенного числа клиентов UltiPro из пакета Ultimate Software для расчета заработной платы и управления персоналом, чтобы украсть данные о сотрудниках и подать мошеннические налоговые декларации, сообщает Krebs on Security.
В последние месяцы отделы кадров во многих компаниях получали W-2 налоговую форму от китобойных мошенников. В нескольких хорошо известных случаях отдел заработной платы и другие сотрудники передавали хакерам информацию о налогах W-2 после получения поддельного письма, которое выглядело как законный запрос документов от руководителя компании. В марте Seagate Technology заявила, что непреднамеренно поделилась информацией о налоговой форме W-2 для «нескольких тысяч» нынешних и бывших сотрудников в результате такой атаки. За месяц до этого Snapchat сказал, что сотрудник в его отделе заработной платы поделился данными о заработной плате для «ряда» нынешних и бывших сотрудников мошеннику, выступающему в роли генерального директора Эвана Шпигеля. По данным Wall Street Journal, жертвами подобных уловок также стали международные наблюдатели за весом, PerkinElmer Inc., Bill Casper Golf и Sprouts Farmers Market Inc.
Сотрудники поезда
Информирование сотрудников о потенциальных опасностях - это первая линия защиты. Обучите сотрудников распознавать элементы, которые будут или не будут включены в электронные письма руководителей компаний, например, как они обычно подписывают свое имя. Обратите внимание на то, что просит электронная почта. Например, у финансового директора нет причин запрашивать финансовые данные, потому что, скорее всего, они уже есть.
Один исследователь на конференции по кибербезопасности Black Hat в Лас-Вегасе на этой неделе предположил, что компании говорят своим сотрудникам с подозрением относиться ко всей электронной почте, даже если они знают отправителя или сообщение соответствует их ожиданиям. Тот же исследователь признал, что обучение осведомленности о фишинге может иметь неприятные последствия, если сотрудники тратят столько времени на проверку, чтобы убедиться, что отдельные сообщения электронной почты являются законными, что снижает их производительность.
Обучение осведомленности может быть эффективным, если работа по обучению в области кибербезопасности, которую проделала компания KnowBe4, является показателем. В течение года KnowBe4 регулярно рассылала имитируемые фишинговые электронные письма 300 000 сотрудников в 300 клиентских компаниях; они сделали это, чтобы научить их определять красные флажки, которые могут сигнализировать о проблеме. Перед обучением 16 процентов сотрудников нажимали на ссылки в смоделированных фишинговых письмах. Всего 12 месяцев спустя, по словам основателя и генерального директора KnowBe4 Стю Сьювермана, это число упало до 1 процента.
Хранить данные в облаке
Еще один способ окончательно обойти фишинговые или китобойные атаки - хранить информацию о компании в зашифрованном виде в облаке, а не в документах или папках на настольных компьютерах или ноутбуках. Если документы находятся в облаке, даже если сотрудник попадет под фишинговый запрос, он будет отправлять только ссылку на файл, к которому хакер не сможет получить доступ (поскольку у него не будет дополнительной информации, необходимой ему для открыть или расшифровать его). OneLogin, компания из Сан-Франциско, которая продает системы управления идентификацией, запретила использование файлов в своем офисе, о чем подвигнул генеральный директор OneLogin Томас Педерсен.
«Это связано с соображениями безопасности и производительности», - сказал Дэвид Мейер, один из основателей OneLogin и вице-президент по разработке продуктов. «Если ноутбук сотрудника украден, это не имеет значения, потому что на нем ничего нет».
Мейер советует предприятиям проверять технологические платформы HR, которые они рассматривают, чтобы понять, какие протоколы безопасности предлагают поставщики. ADP не стал бы комментировать недавние взломы, поразившие своих клиентов. Тем не менее, представитель ADP сказал, что компания предоставляет клиентам и потребителям информацию, тренинги для повышения осведомленности и информацию о передовых методах предотвращения распространенных проблем кибербезопасности, таких как фишинг и вредоносные программы. По словам представителя компании, группа мониторинга финансовых преступлений ADP и группы поддержки клиентов уведомляют клиентов, когда компания обнаруживает мошенничество или попытки мошеннического доступа. Ultimate Software также внедрила аналогичные меры предосторожности после атак на пользователей UltiPro в 2014 году, в том числе установление многофакторной аутентификации для своих клиентов, по словам Кребса по безопасности.
В зависимости от того, где находится ваш бизнес, у вас может быть юридическое обязательство сообщать о цифровых взломах в соответствующие органы. Например, в Калифорнии компании обязаны сообщать, когда были украдены имена более 500 сотрудников. По словам Сьювермана, неплохо проконсультироваться с юристом, чтобы выяснить, в чем заключаются ваши обязанности.
«Существует юридическая концепция, которая требует от вас принимать разумные меры для защиты окружающей среды, а если вы этого не сделаете, вы несете основную ответственность», - сказал он.
Используйте программное обеспечение для управления идентификацией
Компании могут защищать системы управления персоналом, используя программное обеспечение для управления идентификацией для контроля входа в систему и паролей. Думайте о системах управления идентификацией как о менеджерах паролей для предприятия. Вместо того чтобы полагаться на персонал и сотрудников отдела кадров для запоминания и защиты имен пользователей и паролей для каждой платформы, которую они используют для расчета заработной платы, льгот, набора персонала, планирования и т. Д., Они могут использовать единый вход для доступа ко всему. Помещение всего под одним входом может упростить сотрудникам, которые могут забыть пароли к системам управления персоналом, к которым они заходят только несколько раз в год (делая их более склонными записывать их где-либо или хранить в Интернете, где их можно украсть).
Компании могут использовать систему управления идентификацией, чтобы установить двухфакторную идентификацию для администраторов системы управления персоналом, или использовать геозону, чтобы ограничить входы в систему, чтобы администраторы могли выполнять вход только из определенного местоположения, например из офиса.
«Все эти уровни допуска рисков безопасности для разных людей и разных ролей не являются функциями в системах управления персоналом», - сказал Мейер из OneLogin.
Поставщики технологий HR и фирмы по кибербезопасности работают над другими методами предотвращения кибератак. В конечном итоге все больше сотрудников будут входить в систему HR и другие рабочие системы, используя биометрические данные, такие как сканирование отпечатков пальцев или сетчатки глаза, которые хакерам будет сложнее взломать. В будущем платформы кибербезопасности могут включать в себя машинное обучение, которое позволяет программному обеспечению обучаться обнаруживать вредоносное программное обеспечение и другие подозрительные действия на компьютерах или в сетях, говорится в презентации на конференции Black Hat.
До тех пор, пока эти варианты не станут более доступными, отделам кадров придется полагаться на собственную осведомленность, обучение сотрудников, доступные меры безопасности и поставщиков HR-технологий, с которыми они работают, чтобы избежать проблем.
