Video: Ross's Game Dungeon: Deus Ex - Human Revolution (Noiembrie 2024)
Când hackerii atacă, resursele umane (HR) sunt unul dintre primele locuri în care lovesc. HR-ul este o țintă populară datorită accesului personalului de resurse umane la datele care pot fi comercializate pe web-ul închis, inclusiv numele angajaților, datele de naștere, adresele, numerele de securitate socială și formularele W2. Pentru a pune mâna pe acest tip de informații, hackerii folosesc totul, de la phishing până la poziția ca executivi ai companiei care solicită documente interne - o formă de phishing care apelează la o „vânătoare” - pentru a exploata vulnerabilitățile din serviciile de salarizare bazate pe cloud și serviciile de tehnologie HR.
Pentru a lupta înapoi, companiile trebuie să urmeze protocoale de calcul sigure. Aceasta include instruirea oamenilor de resurse umane și a altor angajați pentru a fi în gardă pentru escrocherii, adoptarea de practici care protejează datele și verificarea furnizorilor de tehnologie HR bazată pe cloud. În viitorul nu prea îndepărtat, biometria și inteligența artificială (AI) pot fi de asemenea de ajutor.
Ciberatacii nu vor pleca; dacă este ceva, se înrăutățesc. Companiile de toate mărimile sunt sensibile la atacuri cibernetice. Cu toate acestea, întreprinderile mici ar putea avea cel mai mare risc, deoarece au, în general, mai puține persoane cu personalul a cărui sarcină este să fie atent la infracțiuni informatice. Organizațiile mai mari ar putea să poată absorbi costurile asociate unui atac, inclusiv să plătească pentru rapoarte de credit în valoare de câțiva ani pentru angajații ale căror identități au fost furate. Pentru întreprinderile mai mici, consecințele pilozității digitale ar putea fi devastatoare.
Nu este greu să găsești exemple de încălcări ale datelor HR. În luna mai, hackerii au folosit ingineria socială și practicile de securitate slabă la clienții ADP pentru a fura numărul angajaților lor de securitate socială și alte date despre personal. În 2014, hackerii au exploatat datele de autentificare la un număr nedeterminat de clienți ai pachetului de plată și al managementului HR UltiPro de la Ultimate Software, pentru a fura datele angajaților și pentru a depune declarații fiscale frauduloase, potrivit Krebs on Security.
În ultimele luni, departamentele de resurse umane de la numeroase companii au fost la sfârșitul primirii înșelătoriei în caz de balenă de tip W-2. În mai multe cazuri bine raportate, departamentul de salarizare și alți angajați au oferit hackerilor informații fiscale W-2 după ce au primit o scrisoare de tip spoof care părea o cerere legitimă pentru documente de la un executiv al companiei. În martie, Seagate Technology a declarat că a împărtășit din greșeală informațiile privind formularul W-2 pentru „câteva mii” de angajați actuali și foști, printr-un astfel de atac. Cu o lună înainte de aceasta, SnapChat a declarat că un angajat din departamentul său de salarizare a împărțit datele privind salarizarea pentru „un număr” de angajați actuali și foști la un escrocher care îl are ca director general pe Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf și Sprouts Farmers Market Inc. au fost, de asemenea, victime ale unor ruse similare, potrivit Wall Street Journal.
Angajați de tren
Sensibilizarea angajaților despre pericolele potențiale este prima linie de apărare. Instruiți angajații pentru a recunoaște elemente care ar fi sau nu ar fi incluse în e-mailurile de la directorii companiei, cum ar fi modul în care își semnează de obicei numele. Acordați atenție la cererea e-mailului. Nu există niciun motiv pentru un CFO să ceară date financiare, de exemplu, pentru că șansele sunt, deja le au.
Un cercetător în cadrul conferinței de cibersecuritate Black Hat de la Las Vegas, săptămâna aceasta, a sugerat ca întreprinderile să le spună angajaților lor suspiciuni cu privire la orice e-mail, chiar dacă știu expeditorul sau dacă mesajul se potrivește așteptărilor lor. Același cercetător a recunoscut o pregătire de sensibilizare în domeniul phishingului, dacă angajații petrec atât de mult timp verificând pentru a se asigura că mesajele de e-mail individuale sunt legitime încât le scade productivitatea.
Pregătirea de conștientizare poate fi eficientă, în cazul în care compania de instruire în domeniul securității cibersecurității KnowBe4 a făcut este o indicație. De-a lungul unui an, KnowBe4 a trimis e-mailuri simulate de atac de phishing către 300.000 de angajați la 300 de companii-client în mod regulat; au făcut acest lucru pentru a-i instrui cu privire la modul de a detecta steagurile roșii care ar putea semnala o problemă. Înainte de instruire, 16 la sută dintre angajați au dat clic pe linkurile din e-mailurile de tip phishing simulate. Doar 12 luni mai târziu, acest număr a scăzut la 1 la sută, potrivit lui Stu Sjouwerman, fondatorul și CEO-ul KnowBe4.
Stocați date în cloud
Un alt mod de a efectua un test final în jurul atacurilor de phishing sau de vânătoare este prin păstrarea informațiilor companiei într-o formă criptată în cloud, în loc de documente sau foldere de pe desktop-uri sau laptop-uri. În cazul în care documentele sunt în cloud, chiar dacă un angajat este în căutarea unei solicitări de phishing, ar trimite doar o legătură către un fișier la care un hacker nu ar putea avea acces (pentru că nu ar avea informațiile suplimentare necesare pentru deschide sau decripta). OneLogin, o companie din San Francisco care vinde sisteme de gestionare a identității, a interzis să folosească fișiere în biroul său, a arătat blogul director general OneLogin, Thomas Pedersen.
"Este din motive de securitate, precum și productivitate", a spus David Meyer, cofondatorul OneLogin și vicepreședintele dezvoltării produselor. „Dacă laptopul unui angajat este furat, nu contează pentru că nu există nimic”.
Meyer sfătuiește întreprinderile să utilizeze platforme de tehnologie de resurse umane pe care le iau în considerare pentru a înțelege ce protocoale de securitate oferă furnizorii. ADP nu ar comenta comentariile recente care i-au lovit pe clienți. Cu toate acestea, un purtător de cuvânt al ADP a spus că compania oferă educație, instruire în sensibilizare și informații pentru clienți și consumatori cu privire la cele mai bune practici pentru a preveni probleme comune de securitate cibernetică, precum phishing și malware. Potrivit purtătorului de cuvânt, o echipă de monitorizare a infracțiunilor financiare ADP și grupuri de asistență pentru clienți notifică clienții atunci când compania detectează o fraudă sau o tentativă de acces fraudulos. Ultimate Software a pus, de asemenea, măsuri de precauție similare după atacurile asupra utilizatorilor UltiPro din 2014, inclusiv instituirea autentificării cu mai mulți factori pentru clienții săi, potrivit Krebs on Security.
În funcție de locul în care se află afacerea dvs., este posibil să aveți obligația legală de a raporta înregistrările digitale autorităților competente. În California, de exemplu, companiile au obligația de a raporta atunci când au fost furate peste 500 de nume de angajați. Este o idee bună să consultați un avocat pentru a afla care sunt îndatoririle dvs., potrivit Sjouwerman.
„Există un concept legal care vă impune să luați măsuri rezonabile pentru a vă proteja mediul, iar dacă nu, sunteți răspunzător în mod esențial”, a spus el.
Folosiți software de gestionare a identității
Companiile pot proteja sistemele de resurse umane utilizând software de gestionare a identității pentru a controla log-in-urile și parolele. Gândiți-vă la sistemele de gestionare a identității ca manageri de parole pentru întreprindere. În loc să se bazeze pe personalul și angajații HR pentru a-și aminti - și proteja - numele de utilizator și parolele pentru fiecare platformă pe care o folosesc pentru salarizare, beneficii, recrutare, programare etc., pot utiliza un singur log-in pentru a accesa totul. Plasând totul sub un log-in poate face mai ușor pentru angajații care ar putea uita parolele la sistemele de resurse umane pe care se conectează doar de câteva ori pe an (făcându-i mai înclinați să le scrie undeva sau să le stocheze online unde ar putea fi furate).
Companiile pot utiliza un sistem de administrare a identificării pentru a configura identificarea cu doi factori pentru administratorii de sisteme de resurse umane sau pot utiliza geofencing pentru a restricționa log-in-urile, astfel încât administratorii să se poată conecta doar dintr-o anumită locație, cum ar fi biroul.
"Toate aceste niveluri de toleranță la risc pentru securitate pentru persoane diferite și roluri diferite nu sunt caracteristici în sistemele de resurse umane", a spus OneLogin.
Vânzătorii de tehnologie de resurse umane și firmele de securitate cibernetică lucrează la alte tehnici de prevenire a ciberatacurilor. În cele din urmă, mai mulți angajați se vor conecta la resurse umane și la alte sisteme de lucru prin utilizarea biometricelor, cum ar fi scanările de amprentă sau retină, care sunt mai dure pentru ca hackerii să se prindă. În viitor, platformele de securitate cibernetică pot include învățarea mașinii care permite software-ului să se antreneze pentru a detecta software-ul rău intenționat și alte activități suspecte pe computere sau rețele, potrivit unei prezentări la conferința Black Hat.
Până când aceste opțiuni vor fi disponibile pe scară mai largă, departamentele de resurse umane vor trebui să se bazeze pe propriile lor conștientizări, formarea angajaților, măsurile de securitate disponibile și furnizorii de tehnologie HR cu care lucrează pentru a evita probleme.
