Video: Awesome New Technologies for HR: ADP Next Gen HCM at HR Tech 2019 (November 2024)
Kadar hekerji napadajo, so človeški viri (HR) eno prvih mest, ki jih zadenejo. HR je priljubljena tarča zaradi dostopa kadrovskih oseb do podatkov, ki so tržni na temnem spletu, vključno z imeni zaposlenih, rojstnimi datumi, naslovi, številkami socialne varnosti in obrazci W2. Hekerji za dostop do tovrstnih informacij uporabljajo vse, od lažnega predstavljanja do predstavljanja direktorjev podjetij, ki zaprosijo za notranje dokumente - obliko lažnega klica "kitolov" - za izkoriščanje ranljivosti na plačilnih listih in HR tehničnih storitvah.
Za boj proti podjetjem morajo podjetja upoštevati protokole za varno računanje. To vključuje usposabljanje kadrovskih oseb in drugih zaposlenih, da so na njihovi straži pred prevarami, sprejemajo prakse, ki ščitijo podatke, in preverjajo prodajalce HR-tehnologije na oblaku. V ne preveč oddaljeni prihodnosti lahko pomagajo tudi biometrija in umetna inteligenca (AI).
Kibetanske napade ne minejo; če kaj, se poslabšajo. Podjetja vseh velikosti so dovzetna za kibernetske napade. Majhna podjetja bi sicer lahko bila v največji nevarnosti, ker imajo na splošno manj ljudi zaposlenih, katerih edina naloga je paziti na kibernetsko kriminaliteto. Večje organizacije bi lahko prevzele stroške, povezane z napadom, vključno s plačilom nekaj let vrednih kreditnih poročil za zaposlene, katerih identitete so bile ukradene. Za manjša podjetja bi bile posledice digitalnega kraje lahko uničujoče.
Primerov kršitev HR podatkov ni težko najti. Hekerji so maja uporabili socialni inženiring in slabe varnostne prakse pri kupcih ADP, da so ukradli številke socialnega zavarovanja in druge podatke o osebju. V letu 2014 so hekerji izkoristili poverilnice za prijavo pri nedoločenem številu kupcev UltiPro plačilnih listov in kadrovskih postavk Ultimate Software, da bi ukradli podatke o zaposlenih in vložili lažne davčne napovedi, piše Krebs on Security.
V zadnjih mesecih so oddelki za človeške pravice v številnih podjetjih že prejemali davčne prevare za kitolov W-2. V več primerih, o katerih so poročali, so oddelki za izplačilo plač in drugi zaposleni hekerjem posredovali davčne podatke o W-2, potem ko so prejeli pismo o ponarejanju, ki je bilo videti kot legitimna zahteva za dokumente od direktorja podjetja. Marca je Seagate Technology dejal, da je nenamerno delil podatke o davčnem obrazcu W-2 za "nekaj tisoč" sedanjih in bivših zaposlenih s takim napadom. Mesec pred tem je SnapChat dejal, da je zaposleni v oddelku za plače delil podatke o plačah za "število" sedanjih in nekdanjih zaposlenih prevarantu, ki se predstavlja kot izvršni direktor Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf in Sprouts Farmers Market Inc. so bili tudi žrtve podobnih napak, poroča Wall Street Journal.
Usposabljanje zaposlenih
Prva obramba je ozaveščanje zaposlenih o potencialnih nevarnostih. Usposobite zaposlene, da prepoznajo elemente, ki bi ali ne bi bili vključeni v e-poštna sporočila direktorjev podjetij, na primer, kako običajno podpišejo svoje ime. Bodite pozorni na to, kaj zahteva e-poštno sporočilo. Ni razloga, da bi finančni direktor zahteval finančne podatke, na primer, ker obstaja možnost, da jih že imajo.
En raziskovalec na konferenci o kibernetski varnosti Black Hat v Las Vegasu je ta teden predlagal, da podjetja svojim zaposlenim sporočijo, da so sumljivi do vseh e-poštnih sporočil, tudi če poznajo pošiljatelja ali če sporočilo ustreza njihovim pričakovanjem. Isti raziskovalec je priznal, da lahko usposabljanje o zavezi o lažnem predstavljanju zavira, če zaposleni porabijo toliko časa za preverjanje, da so posamezna e-poštna sporočila zakonita, da se zmanjša njihova produktivnost.
Trening ozaveščenosti je lahko učinkovit, če je katera koli navedba podjetja za usposabljanje o kibernetski varnosti. Tekom leta je KnowBe4 redno pošiljala simulirana e-poštna sporočila z lažnim napadom 300.000 zaposlenim v 300 podjetjih strank; to so storili, da so jih usposobili, kako opaziti rdeče zastave, ki bi lahko pomenile težavo. Pred usposabljanjem je 16 odstotkov zaposlenih kliknilo na povezave v simulirani phishing e-pošti. Po podatkih ustanovitelja KnowBe4 in izvršnega direktorja Stu Sjouwermana se je le 12 mesecev pozneje ta številka zmanjšala na en odstotek.
Shranjevanje podatkov v oblaku
Drug način, kako končati napad z lažnim napadom ali kitolovom, je shranjevanje informacij o podjetju v šifrirani obliki v oblaku namesto v dokumentih ali mapah na namizjih ali prenosnih računalnikih. Če so dokumenti v oblaku, tudi če zaposleni pade na zahtevo za lažno predstavljanje, pošlje povezavo le do datoteke, do katere heker ne bi mogel dostopati (ker ne bi imel dodatnih informacij, ki bi jih potrebovali odprite ali dešifrirajte). OneLogin, podjetje iz San Francisca, ki prodaja sisteme za upravljanje identitete, je prepovedalo uporabo datotek v svoji pisarni, o čemer je pisal podvižni direktor OneLogina Thomas Pedersen.
"Tako iz varnostnih razlogov kot tudi produktivnosti, " je dejal David Meyer, soustanovitelj OneLogina in podpredsednik za razvoj izdelkov. "Če je zaposleni prenosnik ukraden, ni pomembno, ker na njem ni ničesar."
Meyer podjetjem svetuje, naj pregledajo HR tehnološke platforme, ki jih nameravajo uporabiti, da bi razumeli, kakšni varnostni protokoli ponujajo prodajalce. ADP ne bo komentiral nedavnih vdorov, ki so zadeli njegove stranke. Vendar je tiskovni predstavnik ADP povedal, da podjetje strankam in potrošnikom ponuja izobraževanje, izobraževanje ozaveščanja in informacije o najboljših praksah za preprečevanje običajnih vprašanj kibernetske varnosti, kot sta lažno predstavljanje in zlonamerna programska oprema. Tiskovna skupina za spremljanje finančnih kriminala ADP in skupine za podporo strankam sporočajo strankam, ko podjetje zazna goljufijo ali se je poskusil goljufiv dostop, je povedal tiskovni predstavnik. Podjetje Ultimate Software je podobne varnostne ukrepe postavilo tudi po napadih na uporabnike UltiPro v letu 2014, vključno z uvedbo večfaktorne overitve za svoje stranke, poroča Krebs on Security.
Glede na to, kje je vaše podjetje, boste morda imeli pravno obveznost, da digitalne vlome prijavite ustreznim organom. V Kaliforniji so na primer podjetja dolžna poročati, ko so ukradli več kot 500 imen zaposlenih. Po mnenju Sjouwermana je dobro, da se posvetujete z odvetnikom in ugotovite, kakšne so vaše dolžnosti.
"Obstaja pravni koncept, ki zahteva, da sprejmete razumne ukrepe za varovanje okolja, in če tega ne storite, ste v bistvu odgovorni, " je dejal.
Uporabljajte programsko opremo za upravljanje identitete
Podjetja lahko zaščitijo sisteme HR s pomočjo programske opreme za upravljanje identitete za nadzor prijav in gesel. Zamislite si sisteme za upravljanje identitete kot upravljalce gesel za podjetje. Namesto da bi se zanašali na osebje in zaposlene v HR-ju, da si bodo zapomnili - in zaščitili - uporabniška imena in gesla za vsako platformo, ki jo uporabljajo za izplačilo plač, ugodnosti, zaposlovanje, načrtovanje itd., Lahko uporabijo eno samo prijavo za dostop do vsega. Če vse postavite pod eno prijavo, lahko zaposleni, ki lahko pozabijo gesla za HR sisteme, olajšajo le nekajkrat na leto (zaradi česar so bolj nagnjeni, da jih nekje zapišejo ali shranijo na spletu, kjer bi jih lahko ukradli).
Podjetja lahko uporabijo sistem vodenja za nastavitev dvofaktorske identifikacije za HR skrbnike ali uporabljajo geofiting za omejevanje prijav, tako da se lahko skrbniki prijavijo le z določene lokacije, na primer iz pisarne.
"Vse te stopnje tolerance do varnostnega tveganja za različne ljudi in različne vloge niso značilnosti v HR-sistemih, " je dejal Meyer iz OneLogina.
Prodajalci kadrovskih tehnologij in podjetja za kibernetsko varnost delajo na drugih tehnikah za preprečevanje kibernetskih napadov. Sčasoma se bo več zaposlenih prijavilo v HR in druge delovne sisteme z uporabo biometričnih podatkov, kot sta prstni odtis ali očesni očesni mrežnici, ki so hekerji strožji za polom. V prihodnosti lahko platforme kibernetske varnosti vključujejo strojno učenje, ki omogoča, da se programska oprema usposobi za odkrivanje zlonamerne programske opreme in drugih sumljivih dejavnosti v računalnikih ali omrežjih, je razvidno iz predstavitve na konferenci Black Hat.
Dokler te možnosti ne bodo na voljo, se bodo morali oddelki za človeške kadre zanašati na lastno ozaveščenost, usposabljanje zaposlenih, razpoložljive varnostne ukrepe in ponudnike kadrovskih tehnologij, s katerimi sodelujejo, da se izognejo težavam.
