Video: Hackers & Cyber Attacks: Crash Course Computer Science #32 (Prosinac 2024)
Kada hakeri napadnu, ljudski resursi (HR) su jedno od prvih mjesta na koja se nalaze. HR je popularna meta zbog pristupa osoblja HR-a podacima koji se mogu kupiti na mračnom webu, uključujući imena zaposlenika, datum rođenja, adrese, brojeve socijalnog osiguranja i W2 obrasce. Kako bi dobili svoje informacije o takvim informacijama, hakeri koriste sve, od krađe identiteta do predstavljanja rukovoditelja tvrtki koji traže interne dokumente - oblik krađe identiteta koji nazivaju "kitolov" - za iskorištavanje ranjivosti u platnim spiskovima i HR tehnološkim uslugama.
Da bi uzvratile, tvrtke moraju slijediti protokole sigurnog računanja. To uključuje obuku ljudi iz HR-a i ostalih zaposlenika da budu na straži zbog prevare, usvoje prakse koje štite podatke i provjeravaju HR tehnologiju utemeljenu na oblaku. U ne baš dalekoj budućnosti mogu pomoći i biometrija i umjetna inteligencija.
Cyberatni napadi ne idu; ako ništa drugo, postaju još gori. Tvrtke svih veličina podložne su cyber napadima. Mala bi poduzeća, međutim, mogla biti izložena najvećem riziku, jer uglavnom imaju manje ljudi iz osoblja čiji je jedini zadatak paziti na cyber kriminal. Veće organizacije bi mogle apsorbirati troškove povezane s napadom, uključujući plaćanje kreditnih izvještaja u vrijednosti od nekoliko godina za zaposlenike čiji su identiteti ukradeni. Za manja poduzeća posljedice digitalnog krađe mogu biti pogubne.
Nije teško pronaći primjere kršenja HR podataka. U svibnju su hakeri iskoristili socijalni inženjering i loše sigurnosne prakse kod korisnika ADP-a kako bi ukrali brojeve socijalnog osiguranja i druge podatke o osoblju. U 2014. hakeri su iskoristili vjerodajnice za prijavu na neodređenom broju kupaca UltiPro platnih lista i rukovodstva Ultimate Software-a za krađu podataka o zaposlenima i podnošenja lažnih poreznih prijava, navodi Krebs on Security.
U posljednjih nekoliko mjeseci, odjeli za ljudske resurse u brojnim tvrtkama bili su na primanju prevare za kitolov protiv W-2 poreza. U nekoliko dobro prijavljenih slučajeva odjel za plaće i drugi zaposlenici predali su poreznim informacijama W-2 hakerima nakon što su primili lažno pismo koje je izgledalo kao legitimni zahtjev za dokumentima od rukovodstva tvrtke. U ožujku, Seagate Technology je rekao da je nehotice podijelio informacije o obrascu W-2 za "nekoliko tisuća" sadašnjih i bivših zaposlenika kroz takav napad. Mjesec dana prije toga, SnapChat je rekao da je zaposlenik u odjelu za plaće podijelio podatke s plaće za "jedan broj" sadašnjih i bivših zaposlenika prijevaru koji se predstavlja kao izvršni direktor Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf i Sprouts Farmers Market Inc. također su žrtve sličnih kriza, prema Wall Street Journalu.
Osposobljavanje zaposlenika
Osiguranje zaposlenika potencijalnim opasnostima prva je obrana. Osposobite zaposlenike da prepoznaju elemente koji bi ili ne bi bili uključeni u e-poruke od rukovoditelja tvrtki, kao što je na primjer kako obično potpisuju svoje ime. Obratite pažnju na to što e-pošta traži. Nema razloga da šef financije zatraži financijske podatke, na primjer, jer su šanse da ih već imaju.
Jedan istraživač na konferenciji o cyber-sigurnosti Black Hat ovog tjedna u Las Vegasu predložio je da tvrtke kažu svojim zaposlenicima da sumnjaju u sve poruke e-pošte, čak i ako znaju pošiljatelja ili ako poruka odgovara njihovim očekivanjima. Isti istraživač priznao je da trening o osvješćivanju o krađi identiteta može uzvratiti ako zaposlenici provode toliko vremena provjeravajući da su pojedinačne poruke e-pošte legitimne da smanjuje njihovu produktivnost.
Obuka za podizanje svijesti može biti učinkovita, ako je pokazatelj radne organizacije za obuku o cyber-sigurnosti, KnowBe4. Tijekom godine, kompanija KnowBe4 redovito je slala simulirane e-poruke o phishing napadu do 300 000 zaposlenika u 300 tvrtki klijenata; učinili su to kako bi ih uvježbali kako uočiti crvene zastave koje bi mogle signalizirati problem. Prije treninga, 16 posto zaposlenika kliknulo je na veze u simuliranim phishing e-mailovima. Samo 12 mjeseci kasnije, taj se broj smanjio na jedan posto, prema osnivaču KnowBe4 i izvršnom direktoru Stu Sjouwermanu.
Spremite podatke u oblak
Drugi način za završetak trčanja oko krađe identiteta ili napada kitova jest čuvanje podataka tvrtke u šifriranom obliku u oblaku umjesto u dokumentima ili mapama na radnim površinama ili prijenosnim računalima. Ako se dokumenti nalaze u oblaku, čak i ako zaposlenik padne na zahtjev za krađu identiteta, oni bi samo slali vezu do datoteke kojoj haker neće moći pristupiti (jer ne bi imao dodatne informacije koje su im potrebne da otvorite ili dešifrirajte). OneLogin, tvrtka iz San Francisca koja prodaje sustave upravljanja identitetom, zabranila je korištenje datoteka u svom uredu, o čemu je blogirao podvižni direktor OneLogina Thomas Pedersen.
"Zbog sigurnosnih razloga i produktivnosti", rekao je David Meyer, suosnivač OneLogina i potpredsjednik za razvoj proizvoda. "Ako je zaposlenom laptop ukraden, to nije važno jer ništa nije na njemu."
Meyer savjetuje tvrtkama da pregledaju HR tehnološke platforme koje razmatraju kako bi razumjeli što sigurnosni protokoli dobavljača nude. ADP ne bi komentirao nedavne provale koji su pogodili njegove kupce. Međutim, glasnogovornik ADP-a rekao je da tvrtka pruža edukaciju, obuku o podizanju svijesti i informacije klijentima i potrošačima o najboljim praksama za sprječavanje uobičajenih problema s cyber-sigurnošću, poput krađe identiteta i zlonamjernog softvera. Portparol tim za nadzor financijskih kriminala i grupe za podršku klijentima obavještavaju klijente kada tvrtka otkriva prijevaru ili pokušaj lažnog pristupa, izjavio je glasnogovornik. Ultimate Software je također postavio slične mjere opreza nakon napada na korisnike UltiProa 2014. godine, uključujući postavljanje multifaktorne autentifikacije za svoje kupce, navodi Krebs on Security.
Ovisno o tome gdje se nalazi vaša tvrtka, možda ćete imati zakonsku obvezu prijaviti digitalne provale nadležnim vlastima. Na primjer, u Kaliforniji tvrtke imaju obvezu prijavljivati kada su ukradena više od 500 imena radnika. Dobra je ideja konzultirati se s odvjetnikom kako biste utvrdili koje su vaše dužnosti, prema Sjouwermanu.
"Postoji pravni koncept koji zahtijeva da poduzmete razumne mjere da zaštitite svoju okolinu, a ako to ne učinite, u osnovi ste odgovorni", rekao je.
Koristite softver za upravljanje identitetom
Tvrtke mogu zaštititi HR sustave pomoću softvera za upravljanje identitetom za kontrolu prijave i lozinke. Zamislite sustave upravljanja identitetom kao upravitelje lozinki za tvrtku. Umjesto da se oslanjaju na HR osoblje i zaposlenike da pamte - i štite - korisnička imena i lozinke za svaku platformu koju koriste za plaće, naknade, regrutaciju, zakazivanje itd., Mogu koristiti jednu prijavu za pristup svemu. Stavljanje svega pod jednu prijavu može olakšati zaposlenicima koji mogu zaboraviti lozinke za HR sustave pa se prijavljuju samo nekoliko puta godišnje (čineći ih sklonijima negdje ih zapisati ili pohraniti na mreži gdje ih mogu ukrasti).
Tvrtke mogu koristiti identificirani sustav upravljanja za postavljanje dvofaktorne identifikacije za administratore HR sustava ili pomoću geofitinga ograničiti prijavu tako da se administrativci mogu prijaviti samo s određene lokacije, poput ureda.
"Sve ove razine tolerancije sigurnosnog rizika za različite ljude i različite uloge nisu značajke u HR sustavima", rekao je Meyer iz OneLogina.
Dobavljači ljudskih resursa i tvrtke za cyber-sigurnost rade na drugim tehnikama za sprečavanje cyber-napada. Na kraju će se više zaposlenika prijaviti u HR i druge radne sustave pomoću biometrijskih podataka kao što su otisci prstiju ili mrežnice koji su čvršći za hakere. U budućnosti platforme za cyber-sigurnost mogu uključivati strojno učenje koje omogućava softver osposobljavanju samog sebe za otkrivanje zlonamjernog softvera i drugih sumnjivih aktivnosti na računalima ili mrežama, navodi se u prezentaciji na konferenciji Black Hat.
Sve dok te opcije ne budu šire dostupne, odjeli za ljudske resurse morat će se osloniti na vlastitu svijest, obuku zaposlenika, raspoložive sigurnosne mjere i dobavljače ljudskih resursa s kojima rade kako bi izbjegli nevolje.
