Video: 2.Тренировки Сёриндзи Кемпо.Основа правильной техники. Правильный удар, уклон. Статическая практика. (Listopad 2024)
Když hackeři útočí, jsou lidské zdroje (HR) jedním z prvních míst, na které zasáhly. HR je oblíbeným cílem kvůli přístupu zaměstnanců HR k datům, která jsou dostupná na temném webu, včetně jmen zaměstnanců, dat narození, adres, čísel sociálního zabezpečení a formulářů W2. Aby hackeři získali informace o těchto druzích informací, používají vše od phishingu až po vystupování jako vedoucí pracovníci společnosti, kteří žádají o interní dokumenty - což je forma phishingu, který se nazývá „lov velryb“, aby zneužili zranitelnosti v mzdových a personálních službách v oblasti cloudu.
Aby bylo možné se bránit, musí společnosti dodržovat bezpečné výpočetní protokoly. To zahrnuje školení lidí v oblasti lidských zdrojů a dalších zaměstnanců, aby byli na stráži před podvody, přijímání postupů, které chrání data, a prověřování dodavatelů cloudové HR technologie. V nepříliš vzdálené budoucnosti mohou také pomoci biometrie a umělá inteligence.
Kybernetické útoky neodcházejí; pokud něco, zhoršují se. Společnosti všech velikostí jsou náchylné k kybernetickým útokům. Malé podniky by však mohly být vystaveny největšímu riziku, protože obecně mají méně zaměstnanců, jejichž jediným úkolem je chránit počítačovou kriminalitu. Větší organizace by mohly být schopny absorbovat náklady spojené s útokem, včetně platby za pár let úvěrových zpráv pro zaměstnance, jejichž totožnost byla odcizena. Pro menší podniky by mohly být důsledky digitálního krádeží zničující.
Není těžké najít příklady porušení dat HR. V květnu hackeři používali sociální inženýrství a špatné bezpečnostní postupy u zákazníků ADP, aby ukradli čísla sociálního zabezpečení svých zaměstnanců a další osobní údaje. V roce 2014 hackeři podle Krebs on Security využili přihlašovací údaje u neurčeného počtu zákazníků sady UltPro Software pro správu mezd a personalistiky, aby ukradli data zaměstnanců a podali podvodná daňová přiznání.
V posledních měsících se oddělení lidských zdrojů v mnoha společnostech nacházely na konci velryb podvodů s daňovým formulářem W-2. V několika dobře nahlášených případech poskytly mzdové oddělení a další zaměstnanci hackerům informace o dani z W-2 poté, co obdrželi spoof dopis, který vypadal jako legitimní žádost o dokumenty od vedoucího společnosti. V březnu společnost Seagate Technology uvedla, že neúmyslně sdílela informace o daňovém formuláři W-2 pro „několik tisíc“ současných a bývalých zaměstnanců prostřednictvím takového útoku. Měsíc před tím SnapChat řekl, že zaměstnanec ve svém mzdovém oddělení sdílí mzdová data pro „počet“ současných a bývalých zaměstnanců s scammerem vystupujícím jako generální ředitel Evan Spiegel. Weight Wallers International, PerkinElmer Inc., Bill Casper Golf a Sprouts Farmers Market Inc. se podle Wall Street Journal také stali oběťmi podobných zločinů.
Vyškolit zaměstnance
První linie obrany je informování zaměstnanců o možných nebezpečích. Vyškolte zaměstnance, aby rozpoznali prvky, které by nebo nebyly zahrnuty do e-mailů od vedoucích pracovníků společnosti, jako je například způsob, jakým obvykle podepisují své jméno. Věnujte pozornost tomu, co e-mail požaduje. Neexistuje žádný důvod, proč by finanční ředitel požadoval například finanční údaje, protože je pravděpodobné, že je již mají.
Jeden výzkumník na konferenci o kybernetické bezpečnosti Black Hat v Las Vegas tento týden navrhl, aby podniky řekly svým zaměstnancům, že mají podezření na veškerý e-mail, i když znají odesílatele nebo pokud zpráva odpovídá jejich očekáváním. Stejný výzkumný pracovník připustil školení v oblasti phishingu, pokud se zaměstnanci utrácí tolik času, aby se ujistili, že jednotlivé e-mailové zprávy jsou legitimní, že snižuje jejich produktivitu.
Školení na zvyšování povědomí může být efektivní, pokud jakákoli indikace provedla společnost pro školení v oblasti kybernetické bezpečnosti KnowBe4. V průběhu roku KnowBe4 pravidelně posílala e-maily simulovaného phishingového útoku 300 000 zaměstnancům ve 300 klientských společnostech pravidelně; udělali to, aby je vyškolili, jak zjistit červené vlajky, které by mohly signalizovat problém. Před tréninkem 16 procent zaměstnanců kliklo na odkazy v simulovaných phishingových e-mailech. Jen o 12 měsíců později toto číslo podle zakladatele KnowBe4 a generálního ředitele Stu Sjouwermana kleslo na 1 procento.
Ukládejte data do cloudu
Dalším způsobem, jak provést útoky typu phishing nebo lov velryb, je uchování informací o společnosti v šifrované podobě v cloudu namísto v dokumentech nebo složkách na stolních nebo přenosných počítačích. Pokud jsou dokumenty v cloudu, i když zaměstnanec požádá o phishingovou žádost, pošle pouze odkaz na soubor, ke kterému by hacker neměl přístup (protože by neměl další informace, které potřebuje k otevřít nebo dešifrovat). OneLogin, San Francisco společnost, která prodává systémy pro správu identity, zakázala používání souborů ve své kanceláři, výkonný ředitel OneLogin Thomas Pedersen o blogu.
„Je to z bezpečnostních důvodů i produktivity, “ řekl David Meyer, spoluzakladatel OneLogin a viceprezident pro vývoj produktů. "Pokud je zaměstnanecký notebook odcizen, nezáleží na tom, protože na něm není nic."
Meyer radí podnikům, aby prověřily platformy HR tech, které zvažují, aby pochopily, jaké bezpečnostní protokoly nabízejí prodejci. ADP by nekomentoval nedávné novinky, které zasáhly jeho zákazníky. Mluvčí ADP však uvedl, že společnost poskytuje klientům a spotřebitelům vzdělávání, zvyšování povědomí a informace o osvědčených postupech, jak zabránit běžným problémům s kybernetickou bezpečností, jako je phishing a malware. Monitorovací tým finančních zločinů ADP a skupiny podpory klientů informují klienty, když společnost zjistí podvod nebo došlo k pokusu o podvodný přístup, podle mluvčího. Společnost Ultimate Software také zavedla podobná bezpečnostní opatření po útocích na uživatele UltiPro v roce 2014, včetně zavedení vícefaktorové autentizace pro své zákazníky, podle Krebs on Security.
V závislosti na tom, kde se vaše firma nachází, můžete mít zákonnou povinnost ohlásit digitální rozchody příslušným úřadům. Například v Kalifornii jsou společnosti povinny hlásit, pokud bylo odcizeno více než 500 jmen zaměstnanců. Podle Sjouwermana je dobré se poradit s právníkem a zjistit, jaké jsou vaše povinnosti.
"Existuje právní koncept, který vyžaduje, abyste přijal přiměřená opatření k ochraně vašeho životního prostředí, a pokud ne, jste v zásadě odpovědní, " řekl.
Použijte software pro správu identity
Společnosti mohou chránit HR systémy pomocí softwaru pro správu identity k řízení přihlašovacích údajů a hesel. Představte si systémy správy identit jako správce hesel pro podnik. Namísto toho, aby se pracovníci HR a zaměstnanci spoléhali na - a chránili - uživatelská jména a hesla pro každou platformu, kterou používají pro výplatní listinu, výhody, nábor, plánování atd., Mohou pomocí jediného přihlášení získat přístup ke všem. Umístěním všeho pod jedno přihlášení může být usnadněno zaměstnancům, kteří by mohli zapomenout na hesla k HR systémům, do kterých se přihlašují pouze několikrát ročně (což je více nakloněno, aby je někde zapisovali nebo ukládali online, kde by mohli být ukradeni).
Společnosti mohou použít systém správy identifikace k nastavení dvoufaktorové identifikace pro správce systému HR nebo použít geofencing k omezení přihlášení, aby se administrátoři mohli přihlásit pouze z určitého místa, například z kanceláře.
„Všechny tyto úrovně tolerance bezpečnostního rizika pro různé lidi a různé role nejsou v HR systémech funkcí, “ řekl Meyer OneLogin.
Prodejci HR tech a cybersecurity firmy pracují na dalších technikách prevence kybernetických útoků. Nakonec se více zaměstnanců přihlásí do HR a dalších pracovních systémů pomocí biometrie, jako jsou skenování otisků prstů nebo sítnice, což hackerům ztěžuje praskání. V budoucnu mohou platformy kybernetické bezpečnosti zahrnovat strojové učení, které umožňuje softwaru trénovat sám sebe, aby detekoval škodlivý software a další podezřelou aktivitu v počítačích nebo sítích, podle prezentace na konferenci Black Hat.
Dokud nebudou tyto možnosti dostupnější, budou se oddělení lidských zdrojů muset spolehnout na své vlastní povědomí, školení zaměstnanců, dostupná bezpečnostní opatření a na dodavatele lidských technologií, se kterými spolupracují, aby se vyhnuli problémům.
