Video: How Dangerous Are Cyberattacks w/Jacquelyn Schneider | Perspectives on Policy (Oktober 2024)
Når hackere angriper, er menneskelige ressurser (HR) et av de første stedene de treffer. HR er et populært mål på grunn av HR-personalets tilgang til data som kan omsettes på det mørke nettet, inkludert ansattes navn, fødselsdatoer, adresser, personnummer og W2-skjemaer. For å få tak i den slags informasjon bruker hackere alt fra phishing til å posere som bedriftsledere som ber om interne dokumenter - en form for phishing som noen kaller "hvalfangst" - for å utnytte sårbarheter i skybaserte lønns- og HR-teknologitjenester.
For å slå tilbake, må selskaper følge sikre databehandlingsprotokoller. Dette inkluderer å trene HR-personer og andre ansatte til å være på vakt for svindel, ta i bruk praksis som beskytter data og vetting leverandører av skybasert HR-teknologi. I ikke altfor fjern fremtid kan biometri og kunstig intelligens (AI) også hjelpe.
Cyberattacks forsvinner ikke; hvis noe, blir de verre. Selskaper i alle størrelser er mottakelige for nettangrep. Små bedrifter kan imidlertid ha størst risiko fordi de generelt sett har færre ansatte som har som eneste oppgave å holde øye med nettkriminalitet. Større organisasjoner kan være i stand til å absorbere kostnadene forbundet med et angrep, inkludert å betale for et par års kredittrapporter for ansatte hvis identitet er stjålet. For mindre foretak kan konsekvensene av digital pilfering være ødeleggende.
Det er ikke vanskelig å finne eksempler på brudd på HR-data. I mai brukte hackere sosialteknikk og dårlig sikkerhetspraksis hos ADP-kunder for å stjele de ansattes personnummer og andre personaldata. I 2014 utnyttet hackere innloggingsinformasjon på et ubestemt antall kunder til Ultimate Softwares UltiPro lønns- og HR-administrasjonssuite for å stjele ansattdata og arkivere falske selvangivelser, ifølge Krebs on Security.
I løpet av de siste månedene har HR-avdelinger i en rekke selskaper vært i den endelige avslutningen av hvalfangstsvindel fra W-2. I flere godt rapporterte tilfeller ga lønnsavdelingen og andre ansatte W-2 skatteinformasjon til hackere etter å ha mottatt et falskt brev som så ut som en legitim forespørsel om dokumenter fra en virksomhetsleder. I mars sa Seagate Technology at den utilsiktet delte W-2-skatteskjemainformasjon for "flere tusen" nåværende og tidligere ansatte gjennom et slikt angrep. En måned før det sa SnapChat at en ansatt i sin lønnsavdeling delte lønnsdata for "et antall" nåværende og tidligere ansatte til en svindler som stilte seg som administrerende direktør Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf og Sprouts Farmers Market Inc. har også vært offer for lignende ruser, ifølge Wall Street Journal.
Tren ansatte
Å gjøre ansatte oppmerksom på potensielle farer er den første forsvarslinjen. Tren ansatte til å gjenkjenne elementer som ville eller ikke vil bli inkludert i e-post fra bedriftsledere, for eksempel hvordan de vanligvis signerer navnet sitt. Vær oppmerksom på hva e-posten ber om. Det er ingen grunn for en finansdirektør til å be om økonomiske data, for eksempel fordi sjansen er stor for at de allerede har det.
En forsker på cybersecurity-konferansen Black Hat i Las Vegas denne uken foreslo at bedrifter skulle fortelle sine ansatte å være mistenksomme overfor all e-post, selv om de kjenner avsenderen eller om meldingen passer til deres forventninger. Den samme forskeren innrømmet phishing-bevissthetstrening kan slå tilbake hvis ansatte bruker så mye tid på å sjekke for å sikre at individuelle e-postmeldinger er legitime at det reduserer produktiviteten.
Bevissthetstrening kan være effektiv, hvis arbeidet cybersecurity opplæring selskapet KnowBe4 har gjort er noen indikasjon. I løpet av et år sendte KnowBe4 simulerte phishing-angrep-e-poster til 300 000 ansatte ved 300 klientselskaper regelmessig; de gjorde dette for å trene dem på hvordan du kunne oppdage røde flagg som kan signalisere et problem. Før opplæringen klikket 16 prosent av de ansatte på lenker i de simulerte phishing-e-postene. Bare 12 måneder senere falt dette tallet til 1 prosent, ifølge KnowBe4-grunnlegger og administrerende direktør Stu Sjouwerman.
Lagre data i skyen
En annen måte å gjøre en sluttkjøring rundt angrep på nettfisking eller hvalfangst, er å holde firmainformasjon i kryptert form i skyen i stedet for i dokumenter eller mapper på stasjonære maskiner eller bærbare datamaskiner. Hvis dokumenter er i skyen, selv om en ansatt faller for en phishing-forespørsel, vil de bare sende en lenke til en fil en hacker ikke kunne få tilgang til (fordi de ikke ville ha den tilleggsinformasjonen de trengte for åpne eller dekryptere det). OneLogin, et selskap i San Francisco som selger identitetshåndteringssystemer, har forbudt å bruke filer på kontoret, har konsernsjef Thomas Pedersen blogget om.
"Det er av sikkerhetsmessige årsaker så vel som produktivitet, " sa David Meyer, OneLogins medstifter og visepresident for produktutvikling. "Hvis en ansattes bærbare datamaskin blir stjålet, spiller det ingen rolle fordi det ikke er noe på den."
Meyer råder virksomheter til å veterinere seg på HR-teknologiplattformer de vurderer å bruke for å forstå hvilke sikkerhetsprotokoller leverandørene tilbyr. ADP ville ikke kommentere de siste innbruddene som rammet kundene. Imidlertid sa en talsmann for ADP at selskapet tilbyr utdanning, opplæring av bevissthet og informasjon til kunder og forbrukere om beste fremgangsmåter for å forhindre vanlige problemer med nett-sikkerhet, for eksempel phishing og malware. Et ADP-team for overvåking av økonomiske forbrytelser og kundestøttegrupper varsler klienter når selskapet oppdager svindel eller forsøk på uredelig tilgang har skjedd, ifølge talsmannen. Ultimate Software satte også lignende forholdsregler etter angrep på UltiPro-brukere i 2014, inkludert å etablere flerfaktor-godkjenning for sine kunder, ifølge Krebs on Security.
Avhengig av hvor virksomheten din ligger, kan det hende du har en juridisk forpliktelse til å rapportere digitale innbrudd til de rette myndigheter. I California har for eksempel selskaper en rapporteringsplikt når mer enn 500 ansattes navn er blitt stjålet. Det er lurt å konsultere en advokat for å finne ut hva dine plikter er, ifølge Sjouwerman.
"Det er et juridisk konsept som krever at du tar rimelige tiltak for å beskytte miljøet ditt, og hvis du ikke gjør det, er du i hovedsak ansvarlig, " sa han.
Bruk programvare for identitetsstyring
Bedrifter kan beskytte HR-systemer ved å bruke programvare for identitetsadministrasjon for å kontrollere pålogginger og passord. Tenk på identitetsstyringssystemer som passordledere for bedriften. I stedet for å stole på at HR-ansatte og ansatte husker - og beskytter - brukernavn og passord for hver plattform de bruker for lønn, fordeler, rekruttering, planlegging osv., Kan de bruke en enkelt pålogging for å få tilgang til alt. Hvis du legger alt under en pålogging, kan det være enklere for ansatte som kanskje glemmer passord til HR-systemer de bare logger på noen få ganger i året (noe som gjør dem mer tilbøyelige til å skrive dem ned et sted eller lagre dem på nettet der de kan bli stjålet).
Bedrifter kan bruke et identifisert styringssystem for å sette opp tofaktorsidentifikasjon for HR-systemadministratorer eller bruke geofencing for å begrense innlogging, slik at administratorer bare kan logge på fra et bestemt sted, for eksempel på kontoret.
"Alle disse sikkerhetsrisikotoleransene for forskjellige mennesker og forskjellige roller er ikke funksjoner i HR-systemer, " sa Meyer fra OneLogin.
HR-teknologileverandører og cybersecurity-firmaer jobber med andre teknikker for å forhindre cyberattacks. Etter hvert vil flere ansatte logge seg på HR og andre arbeidssystemer ved å bruke biometri som fingeravtrykk eller netthinneskanninger, noe som er tøffere for hackere å sprekke. I fremtiden kan nettbaserte sikkerhetsplattformer inkludere maskinlæring som lar programvare trene seg opp til å oppdage skadelig programvare og annen mistenkelig aktivitet på datamaskiner eller nettverk, ifølge en presentasjon på Black Hat-konferansen.
Inntil disse alternativene er mer tilgjengelige, vil HR-avdelingene måtte stole på sin egen bevissthet, trene ansatte, tilgjengelige sikkerhetstiltak og HR-teknologileverandørene de jobber med for å unngå problemer.
