Videó: Jokke & Valentinerne - Narkoman med tekst (November 2024)
Ha a hackerek támadnak, az emberi erőforrások (HR) az első helyek, ahol megtámadják. A HR népszerű célpont, mivel a HR munkatársai hozzáférnek a sötét interneten forgalmazható adatokhoz, ideértve az alkalmazottak nevét, születési dátumát, címét, társadalombiztosítási számát és a W2 űrlapot. Az ilyen jellegű információk megszerzéséhez a hackerek mindent felhasználnak az adathalászattól a belső vezetõket bekérõ vállalati vezetõként történõ pózolásig - az adathalászat egyik formája „bálnavadászat” - a felhõalapú bérszámfejtés és a HR tech szolgáltatások sérülékenységeinek kiaknázására.
A küzdelem érdekében a vállalatoknak biztonságos számítási protokollokat kell követniük. Ez magában foglalja a HR embereinek és más alkalmazottaknak a csalások őrzésében való részvételét, az adatok védelmét szolgáló gyakorlatok elfogadását és a felhőalapú HR technológia forgalmazóinak ellenőrzését. A nem túl távoli jövőben a biometria és a mesterséges intelligencia (AI) szintén segíthet.
A kibertámadások nem mennek el; ha bármi, akkor még rosszabbá válnak. Bármely méretű vállalat hajlamos a cyberacksre. Ugyanakkor a kisvállalkozásokat veszélyeztetheti, mivel általában kevesebb ember dolgozik az alkalmazottakon, akiknek egyetlen feladata az, hogy figyelemmel kísérjék a számítógépes bűnözést. A nagyobb szervezetek képesek lesznek fedezni a támadással kapcsolatos költségeket, ideértve néhány évre szóló hitelbeszámolók fizetését azoknak a munkavállalóknak, akiknek a személyazonosságát ellopták. A kisebb vállalkozások számára a digitális lehajlás következményei pusztítóak lehetnek.
Nem nehéz találni példákat a HR-adatok megsértésére. Májusban a hackerek a szociális mérnökök és a rossz biztonsági gyakorlatok révén alkalmazták az ADP ügyfeleit, hogy ellopják munkavállalóik társadalombiztosítási számát és egyéb személyi adatait. 2014-ben a hackerek a bejelentkezési hitelesítő adatokat az Ultimate Software UltiPro bérszámfejtési és HR menedzsment csomagjának meghatározatlan számú ügyfelénél használták fel, hogy lopjanak az alkalmazottak adatait és csalárd adóbevallást nyújtsanak be, állítja Krebs a Biztonságról.
Az utóbbi hónapokban számos vállalat HR részlegei folyamatban vannak a W-2 adó formájú bálnavadászat-csalások fogadásának végén. Számos, jól bejelentett esetben a bérszámfejtési osztály és más alkalmazottak adtak W-2 adóinformációkat a hackereknek, miután megkaptak egy hamis levelet, amely úgy tűnt, mintha egy cégvezetőtől jogszerű dokumentumkérés lenne. Márciusban a Seagate Technology kijelentette, hogy véletlenül megosztotta a W-2 adórendszerrel kapcsolatos információit "több ezer" jelenlegi és volt alkalmazott számára egy ilyen támadás révén. Egy hónappal korábban a SnapChat azt mondta, hogy a bérszámfejtési osztály egyik alkalmazottja megosztotta a sok jelenlegi és volt alkalmazott bérszámfejtési adatait egy csalóval, aki Evan Spiegel vezérigazgató volt. A Wall Street Journal szerint a Weight Watchers International, a PerkinElmer Inc., a Bill Casper Golf és a Sprouts Farmers Market Inc. szintén hasonló ruses áldozatai voltak.
Vonat alkalmazottak
Az első védelmi vonal a munkavállalók tudatosítása a lehetséges veszélyekről. Képzze meg az alkalmazottakat, hogy ismerjék fel azokat az elemeket, amelyeket a vállalati vezetők e-maileiben tartalmaznának vagy nem tartalmaznának, például hogy hogyan írják alá általában a nevüket. Vigyázzon arra, amit az e-mail kér. Nincs ok arra, hogy a pénzügyi igazgató pénzügyi adatokat kérjen, például azért, mert esélyük van rá, hogy már rendelkeznek ilyen adatokkal.
A Las Vegas-i, a Black Hat kiberbiztonsági konferencia egyik kutatója ezen a héten azt javasolta, hogy a vállalkozások mondjanak alkalmazottaiknak, hogy gyanakodjanak minden e-mailt illetően, még akkor is, ha ismerik a feladót, vagy ha az üzenet megfelel az elvárásaiknak. Ugyanez a kutató elismerte, hogy az adathalász-tudatosság-továbbképzés visszafordulhat, ha az alkalmazottak annyi időt töltenek az ellenőrzésen, hogy megbizonyosodjanak arról, hogy az egyes e-mail üzenetek jogszerűek-e, és ez csökkenti termelékenységüket.
A figyelemfelkeltő képzés eredményes lehet, ha bármilyen indikációt jelent a KnowBe4 munkabiztonsági oktatással foglalkozó cég. Egy év folyamán a KnowBe4 rendszeresen küldött szimulált adathalász támadási e-maileket 300 ügyféllel rendelkező 300 000 alkalmazottnak; ezt tették, hogy kiképezzék őket, hogyan lehet észrevenni a vörös zászlókat, amelyek problémát jelezhetnek. A képzés előtt az alkalmazottak 16 százaléka kattintott a linkekre a szimulált adathalászati e-mailekben. A KnowBe4 alapítója és vezérigazgatója, Stu Sjouwerman szerint mindössze 12 hónappal később ez a szám 1 százalékra esett.
Tárolja az adatokat a felhőben
Az adathalász- vagy bálnavadász-támadások körüli végső futtatás másik módja az, ha a vállalati információkat titkosított formában tartják a felhőben, nem pedig az asztali vagy laptopok dokumentumaiban vagy mappáiban. Ha a dokumentumok a felhőben vannak, akkor is, ha egy alkalmazott adathalászati kérelmet kér, akkor csak egy linket küldenek egy fájlra, amelyre a hackerek nem férhetnek hozzá (mert nem rendelkeznek a szükséges információkkal nyissa meg vagy dekódolja). A OneLogin, a személyi igazolási rendszereket forgalmazó san francisco cég betiltotta a fájlok használatát az irodájában - jelentette be a OneLogin vezérigazgatója, Thomas Pedersen.
"Biztonsági okokból és a termelékenység érdekében" - mondta David Meyer, az OneLogin társtestvére és a termékfejlesztés alelnöke. "Ha egy alkalmazott laptopját ellopták, akkor nem számít, mert rajta nincs semmi."
Meyer azt tanácsolja a vállalkozásoknak, hogy vizsgálják meg a HR technológiai platformokat, amelyeket fontolóra vesznek, hogy megértsék, mely biztonsági protokollokat kínálnak a gyártók. Az ADP nem kommentálta az ügyfeleket sújtó közelmúltbeli behatolásokat. Az ADP szóvivője azonban azt mondta, hogy a vállalat oktatást, figyelemfelkeltő képzést és információt nyújt az ügyfeleknek és a fogyasztóknak a bevált gyakorlatokkal kapcsolatban, hogy megakadályozzák a közös kiberbiztonsági kérdéseket, például az adathalászatot és a rosszindulatú programokat. A szóvivő szerint az ADP pénzügyi bűncselekményeket figyelő csoportja és az ügyfélszolgálati csoportok értesítik az ügyfeleket, ha a vállalat csalást észlel vagy csalási kísérlet történt. Az Ultimate Software hasonló óvintézkedéseket tett az UltiPro felhasználókkal szembeni támadások után is 2014-ben, ideértve több tényezővel történő hitelesítést az ügyfelek számára, állítja Krebs a Biztonságról.
A vállalkozás helyétől függően előfordulhat, hogy jogi kötelezettsége van a digitális behatolások bejelentésére a megfelelő hatóságoknak. Például Kaliforniában a vállalatok kötelesek jelentést tenni, ha több mint 500 alkalmazott nevét ellopták. Sjouwerman szerint jó ötlet egy ügyvéddel konzultálni, hogy megtudja, mi az Ön feladata.
"Van egy jogi koncepció, amely megköveteli, hogy ésszerű intézkedéseket hozzon a környezet védelme érdekében, és ha nem, akkor alapvetően felelős vagy" - mondta.
Használjon Identity Management szoftvert
A vállalatok megóvhatják a HR rendszereket identitáskezelő szoftver segítségével a bejelentkezések és a jelszavak ellenőrzésére. Gondoljon az identitáskezelő rendszerekre, mint a vállalati jelszókezelőkre. Ahelyett, hogy a HR munkatársaira és az alkalmazottakra emlékeznének - és megóvnák - a felhasználóneveket és jelszavakat minden egyes platformon, amelyet bérszámfejtéshez, juttatásokhoz, toborzáshoz, ütemezéshez stb. Használnak, egyetlen bejelentkezést használhatnak mindent elérni. Mindent egy bejelentkezés alá helyezve megkönnyítheti azokat a munkavállalókat, akik elfelejthetik a HR rendszerekhez tartozó jelszavakat, csak évente néhányszor jelentkeznek be (így hajlandók lejegyezni őket valahol, vagy tárolni online, ahol ellophatják őket).
A vállalatok azonosítókezelő rendszert használhatnak két tényezőjű azonosítás beállítására a HR rendszergazdák számára, vagy geofencing segítségével korlátozhatják a bejelentkezéseket, így az adminisztrátorok csak egy meghatározott helyről, például az irodából tudnak bejelentkezni.
"A biztonsági kockázatok toleranciaszintjeinek eltérése az emberek és a különféle szerepek szempontjából nem jellemzi a HR rendszereket" - mondta OneLogin Meyer.
A HR tech gyártók és a kiberbiztonsági cégek más technikákon dolgoznak a kibertámadások megelőzése érdekében. Végül, több alkalmazott fog bejelentkezni a HR-be és más munkarendszerekbe biometrikus adatok, például ujjlenyomat vagy retina beolvasás használatával, amelyek a hackerek számára nehezebbek feltörni. A jövőben a kiberbiztonsági platformok magukban foglalhatják a gépi tanulást is, amely lehetővé teszi a szoftverek számára, hogy felismerjék a rosszindulatú szoftvereket és egyéb gyanús tevékenységeket a számítógépeken vagy a hálózatokon - mondja a Black Hat konferencián tartott előadás.
Amíg ezek a lehetőségek szélesebb körben nem állnak rendelkezésre, a HR osztályoknak a problémák elkerülése érdekében támaszkodniuk kell a saját tudatosságukra, az alkalmazottak képzésére, a rendelkezésre álló biztonsági intézkedésekre és a HR tech gyártókra, amelyekkel együtt dolgoznak.
