Video: Elite: Vaarallinen avata Elvira Martuuk / insinööri Reboot and Restart (Marraskuu 2024)
Kun hakkerit hyökkäävät, henkilöstöresurssit (HR) on yksi ensimmäisistä paikoista, joihin he osuvat. HR on suosittu kohde, koska HR-henkilöstöllä on pääsy pimeässä verkossa markkinoitaviin tietoihin, mukaan lukien työntekijöiden nimet, syntymäajat, osoitteet, sosiaaliturvatunnukset ja W2-lomakkeet. Saadakseen kätensä tällaiseen tietoon, hakkerit käyttävät kaikkea tietojen kalastelusta ja ponnisteluista yrityksen päällikkönä, jotka pyytävät sisäisiä asiakirjoja - tietyn tyyppistä tietojenkalastelua, jota kutsutaan valaanpyynniksi - pilvipohjaisten palkkalaskelmien ja HR-teknologiapalveluiden haavoittuvuuksien hyödyntämiseksi.
Taistellakseen yritysten on noudatettava turvallisia laskentakäytäntöjä. Tähän sisältyy HR-henkilöiden ja muiden työntekijöiden kouluttaminen huijausten varalle, tietoja suojaavien käytäntöjen käyttöönotto ja pilvipohjaisen HR-tekniikan myyjien tarkistaminen. Ei liian kaukana tulevaisuudessa myös biometriset tiedot ja tekoäly (AI) voivat auttaa.
Kyberhyökkäykset eivät katoa; jos jotain, he pahenevat. Kaikenkokoiset yritykset ovat alttiita kyberhyökkäyksille. Pienet yritykset saattavat kuitenkin olla suurimmassa vaarassa, koska heillä on yleensä vähemmän henkilöstöä, joiden ainoa tehtävä on seurata tietoverkkorikollisuutta. Suuremmat organisaatiot saattavat kyetä kattamaan hyökkäykseen liittyvät kustannukset, mukaan lukien maksamaan parin vuoden arvoiset luottotiedot työntekijöille, joiden henkilöllisyys on varastettu. Pienemmille yrityksille digitaalisen turvottamisen seuraukset voivat olla tuhoisia.
Ei ole vaikea löytää esimerkkejä HR-tietojen rikkomuksista. Hakkerit käyttivät toukokuussa sosiaalisen tekniikan ja huonojen tietoturvakäytäntöjen ansiosta ADP-asiakkaiden työntekijöiden sosiaaliturvatunnuksia ja muuta henkilötietoa. Vuonna 2014 hakkerit hyödyntivät sisäänkirjautumistietoja määrittelemättömällä määrällä Ultimate Software: n UltiPro-palkka- ja henkilöstöhallintasovelluksen asiakkaita varastaakseen työntekijöitä koskevia tietoja ja toimittaakseen vilpillisiä veroilmoituksia, Krebs on Securityn mukaan.
Viime kuukausina useiden yritysten HR-osastot ovat olleet vastaanottamassa W-2-veromuotoisia valaanpyyntihuijauksia. Useissa hyvin ilmoitetuissa tapauksissa palkkaosasto ja muut työntekijät antoivat W-2: n verotietoja hakkereille saatuaan huijauskirjeen, joka näytti lailliselta asiakirjapyynnöltä yrityksen johdolta. Maaliskuussa Seagate Technology ilmoitti jakavansa vahingossa W-2-verolomakkeen tietoja "useille tuhansille" nykyisille ja entisille työntekijöille tällaisen hyökkäyksen kautta. Kuukautta ennen sitä SnapChat sanoi, että työntekijä sen palkkahallinnon osastolla jakoi "useiden" nykyisten ja entisten työntekijöiden palkkatiedot huijareille, jotka olivat toimitusjohtaja Evan Spiegel. Wall Street Journal -lehden mukaan myös Weight Watchers International, PerkinElmer Inc., Bill Casper Golf ja Sprouts Farmers Market Inc. ovat joutuneet samankaltaisten rusejen uhreiksi.
Juna työntekijöitä
Ensimmäinen puolustuslinja on työntekijöille tiedottaminen mahdollisista vaaroista. Kouluta työntekijöitä tunnistamaan elementtejä, jotka sisällytettäisiin tai joita ei sisällytetä yrityksen johtajien sähköposteihin, kuten kuinka he yleensä allekirjoittavat nimensä. Kiinnitä huomiota siihen, mitä sähköposti pyytää. CFO: lla ei ole mitään syytä kysyä esimerkiksi taloudellisia tietoja, koska heillä on siihen jo mahdollisuuksia.
Yksi Las Vegasissa tällä viikolla järjestetyn Black Hat -verkkoturvallisuuskonferenssin tutkija ehdotti, että yritykset sanovat työntekijöilleen olevan epäilyttäviä kaikista sähköposteista, vaikka he tuntevat lähettäjän tai jos viesti vastaa heidän odotuksiaan. Sama tutkija myönsi, että tietojenkalastelua koskeva koulutus voi hylätä, jos työntekijät viettävät niin paljon aikaa tarkistaakseen, että yksittäiset sähköpostiviestit ovat laillisia, että se heikentää heidän tuottavuuttaan.
Tietoisuuskoulutus voi olla tehokasta, jos tietoturvakoulutusyritys KnowBe4 on tehnyt siitä minkäänlaista. KnowBe4 lähetti vuoden aikana simuloidut tietojenkalasteluhyökkäykset 300 000 työntekijälle 300 asiakasyrityksessä säännöllisesti; he tekivät tämän kouluttaakseen heitä havaitsemaan punaiset liput, jotka voisivat merkitä ongelmasta. Ennen koulutusta 16 prosenttia työntekijöistä napsautti linkkejä simuloiduissa tietojenkalastelusähköposteissa. Vain 12 kuukautta myöhemmin määrä laski prosenttiin, KnowBe4: n perustajan ja toimitusjohtajan Stu Sjouwermanin mukaan.
Tallenna tiedot pilveen
Toinen tapa tehdä loppukäytä tietokalastelu- tai valaanpyyntihyökkäyksiä on pitämällä yritystiedot salatussa muodossa pilvessä työasemien tai kannettavien tietokoneiden asiakirjojen tai kansioiden sijaan. Jos asiakirjat ovat pilvessä, vaikka työntekijä saisi tietojenkalastelupyynnön, he lähettäisivät vain linkin tiedostoon, jota hakkeri ei pääse käsiksi (koska heillä ei olisi tarvittavia lisätietoja avaa tai purkaa se). OneLogin, San Francisco -yritys, joka myy henkilöllisyyden hallintajärjestelmiä, on kieltänyt tiedostojen käytön toimistossaan. Yksi OneLoginin toimitusjohtaja Thomas Pedersen on bloginnut.
"Se on turvallisuussyistä sekä tuottavuudesta", sanoi David Meyer, OneLoginin perustajajohtaja ja tuotekehitysjohtaja. "Jos työntekijän kannettava tietokone varastetaan, sillä ei ole väliä, koska siinä ei ole mitään."
Meyer neuvoi yrityksiä tarkistamaan käyttämiään HR-tekniikkaalustoja ymmärtääkseen, mitä tietoturvakäytäntöjä myyjät tarjoavat. ADP ei kommentoi asiakkaidensa viimeaikaisia murtautumisia. ADP: n edustaja kuitenkin sanoi, että yritys tarjoaa asiakkaille ja kuluttajille koulutusta, tiedotuskoulutusta ja tietoa parhaista käytännöistä estämään yleiset verkkoturvallisuuskysymykset, kuten tietojenkalastelu ja haittaohjelmat. ADP: n taloudellisten rikosten seurantaryhmä ja asiakastukiryhmät ilmoittavat asiakkaalle, kun yritys havaitsee petoksen tai vilpillisen pääsyn yritystä tiedottajan mukaan. Ultimate Software asetti myös vastaavat varotoimenpiteet UltiPro-käyttäjiä vastaan vuonna 2014 tehtyjen hyökkäysten jälkeen, mukaan lukien monitekijän todennuksen asiakkailleen, Krebs on Securityn mukaan.
Yrityksesi sijaintipaikasta riippuen sinulla saattaa olla laillinen velvollisuus ilmoittaa digitaalisista murto-oikeuksista asianmukaisille viranomaisille. Esimerkiksi Kaliforniassa yrityksillä on velvollisuus ilmoittaa, kun yli 500 työntekijän nimeä on varastettu. Sjouwermanin mukaan on hyvä idea kysyä lakimieheltä selville, mitkä ovat velvollisuutesi.
"On olemassa oikeudellinen käsite, joka vaatii sinua toteuttamaan kohtuulliset toimenpiteet ympäristön suojelemiseksi. Jos et, niin olet itse vastuussa", hän sanoi.
Käytä identiteetinhallintaohjelmistoa
Yritykset voivat suojata HR-järjestelmiä käyttämällä identiteetinhallintaohjelmistoja kirjautumisten ja salasanojen hallintaan. Ajattele henkilöllisyyden hallintajärjestelmiä yrityksen salasanojen hallitsijoina. Sen sijaan, että luottaisi HR-henkilöstöön ja työntekijöihin, jotta he muistaisivat ja suojaisivat käyttäjänimiä ja salasanoja jokaisessa käyttöjärjestelmässä, jota he käyttävät palkanlaskentaan, etuuksiin, rekrytointiin, aikatauluihin jne., He voivat käyttää yhtä kirjautumista päästäkseen kaikkeen. Kaiken sijoittaminen yhdelle sisäänkirjautumiselle voi helpottaa työntekijöitä, jotka saattavat unohtaa salasanat HR-järjestelmiin, joihin he vain kirjautuvat sisään muutaman kerran vuodessa (mikä lisää heidän taipumusta kirjoittaa ne jonnekin muistiin tai tallentaa ne verkkoon, missä ne voidaan varastaa).
Yritykset voivat käyttää tunnistushallintajärjestelmää perustaakseen kaksikerroisen tunnistuksen HR-järjestelmänvalvojille tai käyttää geofensointia rajoittaaksesi kirjautumisia, jotta järjestelmänvalvojat voivat kirjautua sisään vain tietystä paikasta, kuten toimistosta.
"Kaikki nämä turvallisuusriskien sietokyky eri ihmisille ja erilaisille rooleille eivät ole ominaisuuksia HR-järjestelmissä", OneLogin's Meyer sanoi.
HR-tekniikan toimittajat ja kyberturvallisuusyritykset työskentelevät muilla tekniikoilla kyberrikoksen estämiseksi. Lopulta useammat työntekijät kirjautuvat henkilöstöhallintoon ja muihin työjärjestelmiin käyttämällä biometrisiä tietoja, kuten sormenjälki- tai verkkokalvotutkimuksia, jotka hakkerit ovat vaikeampia murtautua. Jatkossa kyberturvallisuusalustoihin voi kuulua koneoppiminen, jonka avulla ohjelmistot voivat kouluttaa tunnistamaan haittaohjelmat ja muut epäilyttävät toimet tietokoneissa tai verkoissa, Black Hat -konferenssin esityksen mukaan.
Siihen saakka, kunnes nämä vaihtoehdot ovat laajemmin saatavilla, HR-osastojen on ongelmien välttämiseksi luottaa omaan tietoisuuteensa, työntekijöidensä kouluttamiseen, käytettävissä oleviin turvatoimenpiteisiin ja HR-tekniikan toimittajiin, joiden kanssa he työskentelevät.