Видео: Want to Hack? Learn The Cyber Kill Chain (Ноември 2024)
Когато хакерите атакуват, човешките ресурси (HR) са едно от първите места, на които те удрят. HR е популярна цел поради достъпа на HR служителите до данни, които се търгуват в тъмната мрежа, включително имената на служителите, датите на раждане, адресите, номерата на социалното осигуряване и W2 формулярите. За да получат информация за този вид информация, хакерите използват всичко - от фишинг до представяне като ръководители на компании, които искат вътрешни документи - форма на фишинг на някакъв призив „китоловство“ - за да използват уязвимостите в облачните бази на заплати и HR технологичните услуги.
За да се борят, компаниите трябва да следват протоколи за сигурни изчисления. Това включва обучение на човешки служители и други служители, които да бъдат нащрек за измами, възприемане на практики, които защитават данните и проверка на доставчиците на HR-базирана HR технология. В не твърде далечното бъдеще биометрията и изкуственият интелект също могат да помогнат.
Кибератаките не отшумяват; ако нещо, те се влошават. Компании от всякакъв размер са податливи на кибератаки. Малките предприятия обаче могат да бъдат изложени на най-голям риск, тъй като обикновено имат по-малко хора от персонала, чиято единствена задача е да следи за киберпрестъпността. По-големите организации биха могли да поемат разходите, свързани с нападение, включително да плащат кредитни отчети за няколко години на служители, чиито самоличности са били откраднати. За по-малките предприятия последствията от цифровото крадене могат да бъдат пагубни.
Не е трудно да намерите примери за нарушаване на човешките ресурси. През май хакерите използваха социалното инженерство и лошите практики за сигурност при клиентите на ADP, за да откраднат номерата на социалните осигуровки и други данни за персонала. През 2014 г. хакерите експлоатираха идентификационни данни за вход при неопределен брой клиенти на пакета за заплащане и управление на човешки ресурси UltiPro на Ultimate Software, за да откраднат данни за служителите и да подадат фалшиви данъчни декларации, според Krebs on Security.
През по-последните месеци отделите за човешки ресурси в много компании са в края на W-2 данъчни измами с китолов. В няколко добре отчетени случаи отдел за заплати и други служители дадоха данъчна информация на W-2 на хакери, след като получиха писмо за измама, което изглеждаше като законно искане за документи от изпълнителен директор на компанията. През март Seagate Technology заяви, че по невнимание е споделила информация за данъчната форма на W-2 за „няколко хиляди“ настоящи и бивши служители чрез подобна атака. Месец преди това, SnapChat заяви, че служител в отдела за заплати е споделил данни за заплати за "брой" от настоящи и бивши служители на измамник, представящ се за изпълнителен директор Евън Шпигел. Weight Watchers International, PerkinElmer Inc., Бил Каспър Голф и Sprouts Farmers Market Inc. също са станали жертва на подобни рискове, според Wall Street Journal.
Обучение на служителите
Първата линия на отбраната е осведомяването на служителите за потенциалните опасности. Обучете служителите да разпознават елементи, които биха били или не биха били включени в имейлите на ръководителите на компании, например как обикновено подписват името си. Обърнете внимание на това, което иска имейл. Няма причина финансов директор да иска финансови данни, например, защото има вероятност, те вече го имат.
Един изследовател на конференцията за киберсигурност Black Hat в Лас Вегас тази седмица предложи бизнесът да каже на своите служители да бъдат подозрителни към всички имейли, дори ако знаят подателя или ако съобщението отговаря на техните очаквания. Същият този изследовател призна, че обучението за осведомяване с фишинг може да предизвика предизвикателство, ако служителите прекарват толкова много време, за да се уверят, че отделните имейл съобщения са законни, че това намалява тяхната производителност.
Обучението за повишаване на осведомеността може да бъде ефективно, ако фирмата за обучение за киберсигурност KnowBe4 е направила някаква индикация. В течение на година KnowBe4 изпраща редовно симулирани имейли за фишинг атаки до 300 000 служители в 300 компании клиенти; направиха това, за да ги обучат как да забележат червени знамена, които могат да сигнализират за проблем. Преди обучението 16 процента от служителите щракнаха върху връзки в симулираните фишинг имейли. Само 12 месеца по-късно, този брой спадна до 1 процент, според основателя на KnowBe4 и изпълнителен директор Стю Сюуерман.
Съхранявайте данни в облака
Друг начин да направите краен изход около фишинг или китолов атаки е като съхранявате информацията на компанията в криптиран вид в облака, вместо в документи или папки на настолни компютри или лаптопи. Ако документите са в облака, дори ако служител попада на фишинг заявка, те ще изпращат само линк към файл, до който хакерът няма да може да получи достъп (защото няма да разполага с допълнителната информация, която им е необходима за отворете или го декриптирате). OneLogin, компания от Сан Франциско, която продава системи за управление на идентичността, забрани използването на файлове в офиса си, подвиг изпълнителен директор на OneLogin Томас Педерсен.
"Това е от съображения за сигурност, както и от производителността", заяви Дейвид Майер, съосновател на OneLogin и вицепрезидент по продуктова разработка. "Ако лаптопът на служител бъде откраднат, няма значение, защото нищо не е по него."
Майер съветва предприятията да проверяват HR технологични платформи, които обмислят да използват, за да разберат какви протоколи за сигурност предлагат доставчиците. ADP няма да коментира скорошни пробиви, които удряха клиентите му. Въпреки това, говорител на ADP каза, че компанията осигурява образование, обучение за повишаване на осведомеността и информация за клиенти и потребители относно най-добрите практики за предотвратяване на често срещани проблеми с киберсигурността, като фишинг и злонамерен софтуер. Екипът за мониторинг на финансови престъпления за АДС има и групи за поддръжка на клиенти уведомяват клиентите, когато компанията открие измама или се е опитал да има достъп до измама, според говорителя. Освен това, Ultimate Software постави подобни предпазни мерки след атаки срещу потребителите на UltiPro през 2014 г., включително установяване на многофакторна автентификация за своите клиенти, според Krebs on Security.
В зависимост от това къде се намира вашият бизнес, може да имате правно задължение да докладвате цифрови пробиви пред съответните органи. В Калифорния например фирмите имат задължение да докладват, когато са били откраднати повече от 500 имена на служители. Добре е да се консултирате с адвокат, за да разберете какви са вашите задължения, според Sjouwerman.
"Има правна концепция, която изисква от вас да предприемете разумни мерки за опазване на околната среда, а ако не го направите, вие по същество носите отговорност", каза той.
Използвайте софтуер за управление на идентичността
Компаниите могат да защитят HR системите, като използват софтуер за управление на идентичността за контрол на влизания и пароли. Помислете за системите за управление на идентичността като мениджъри на пароли за предприятието. Вместо да разчитат на HR служителите и служителите да запомнят и защитават потребителски имена и пароли за всяка платформа, която използват за заплати, обезщетения, набиране, планиране и т.н., те могат да използват един вход за достъп до всичко. Поставянето на всичко под едно влизане може да улесни служителите, които могат да забравят паролите за HR системи, те влизат само няколко пъти в годината (което ги прави по-склонни да ги записват някъде или да ги съхраняват онлайн, където могат да бъдат откраднати).
Компаниите могат да използват система за управление на идентифицирането, за да зададат двуфакторна идентификация за администраторите на HR системи или да използват географски ограничения за ограничаване на влизанията, така че администраторите да могат да влизат само от определено място, като например офиса.
"Всички тези нива на толерантност към риск за сигурността за различни хора и различни роли не са характеристики в HR-системите", казва Майер на OneLogin.
Продавачите на HR технологии и фирмите за киберсигурност работят върху други техники за предотвратяване на кибератаки. В крайна сметка повече служители ще влязат в HR и други работни системи, като използват биометрични показатели като сканиране на пръстови отпечатъци или ретина, които са по-трудни за хакери. В бъдеще платформите за киберсигурност могат да включват машинно обучение, което позволява на софтуера да се обучава да открива злонамерен софтуер и друга подозрителна активност на компютри или мрежи, според презентация на конференцията на Black Hat.
Докато тези опции не са по-широко достъпни, HR отделите ще трябва да разчитат на собствената си информираност, обучение на служителите, наличните мерки за сигурност и доставчиците на HR технологии, с които работят, за да избегнат проблеми.