כיצד להגן על ה- Tech שלך מפני התקפות ברשת

כאשר האקרים תוקפים, משאבי אנוש (HR) הם אחד המקומות הראשונים שהם פוגעים בהם. משאבי אנוש הם יעד פופולרי בגלל הגישה של אנשי משאבי אנוש לנתונים הניתנים לסחירות באינטרנט האפל, כולל שמות עובדים, תאריכי לידה, כתובות, מספרי ביטוח לאומי וטפסים W2. כדי לשים יד על סוג זה של מידע, האקרים משתמשים בכל דבר, החל מהתחזות לדומם כמנהלי חברות המבקשים מסמכים פנימיים - סוג של דיוג שקוראים "לווייתנים" - כדי לנצל פגיעויות בשירותי שכר מבוססי ענן ושירותי טכנולוגיה HR.

כדי להילחם, חברות צריכות לבצע פרוטוקולי מחשוב בטוחים. זה כולל הכשרה של אנשי משאבי אנוש ועובדים אחרים להיות בשמירה עליהם על הונאות, אימוץ נהלים המגנים על נתונים ואיתור ספקים של טכנולוגיית HR מבוססת ענן. בעתיד הלא רחוק, ביומטריה ובינה מלאכותית (AI) עשויים גם לעזור.

התקפות סייבר לא נעלמות; אם כבר, הם מחמירים. חברות בכל הגדלים רגישים להתקפות סייבר. עם זאת, עסקים קטנים עשויים להיות בסיכון הגדול ביותר מכיוון שיש להם בדרך כלל פחות אנשים בצוות שכל תפקידם לפקוח על פשעי רשת. ארגונים גדולים יותר יוכלו לספוג את העלויות הכרוכות בפיגוע, כולל תשלום דוחות אשראי בשווי של מספר שנים עבור עובדים שזוהו נגנב. עבור ארגונים קטנים יותר ההשלכות של שידור דיגיטלי עלולות להיות הרסניות.

לא קשה למצוא דוגמאות להפרות של נתוני משאבי אנוש. במאי השתמשו האקרים בהנדסה חברתית ובנוהלי אבטחה לקויים בקרב לקוחות ADP כדי לגנוב את מספרי הביטוח הלאומי של עובדיהם ונתוני כוח אדם אחרים. בשנת 2014, האקרים ניצלו אישורי כניסה במספר בלתי מוגדר של לקוחות של חבילת ניהול השכר UltiPro של Ultimate Software ומנהלי משאבי אנוש בכדי לגנוב נתוני עובדים ולהגיש החזרי מס בהונאה, על פי Krebs on Security.

בחודשים האחרונים יותר מחלקות משאבי אנוש בחברות רבות נמצאות בסוף ההונאות של ציד הלווייתנים מסוג W-2. בכמה מקרים שדווחו היטב, מחלקת שכר ועובדים אחרים העבירו מידע מס ל- W-2 להאקרים לאחר שקיבלו מכתב זיוף שנראה כמו בקשה לגיטימית למסמכים ממנהלת החברה. בחודש מרץ אמרה Seagate Technology כי היא שיתפה במתכוון מידע על טופס מס W-2 עבור "כמה אלפי" עובדים בהווה ובעבר באמצעות מתקפה כזו. חודש לפני כן, סנאפצ'ט אמר שעובד במחלקת השכר שלו שיתף נתוני שכר עבור "מספר" של עובדים בהווה ובעבר לשעבר לרמאי שהתחזה למנכ"ל אוון שפיגל. העיתון וול סטריט ג'ורנל, ווקר סטריט ג'ורנל, כי "Watchers International, PerkinElmer Inc., Bill Casper Golf, and Sprouts Farmers Market Inc., היו קרבנות גם הם.

הרכבת עובדים

הכנת העובדים לסכנות פוטנציאליות היא קו ההגנה הראשון. הכשר עובדים להכיר אלמנטים שאינם נכללים או לא ייכללו בהודעות דוא"ל של מנהלי חברות, כגון כיצד הם בדרך כלל חותמים על שמם. שימו לב למה שהמייל מבקש. אין סיבה שמנהל כספים בכיר יבקש נתונים פיננסיים, למשל, מכיוון שרוב הסיכויים שיש להם את זה.

חוקר אחד בוועידת הסייבר בלאק וגאס בלאס וגאס השבוע הציע לעסקים לומר לעובדיהם לחשוד בכל הדוא"ל, גם אם הם מכירים את השולח או אם ההודעה מתאימה לציפיותיהם. אותו חוקר הודה שהכשרה בנושא מודעות לדיוג יכולה להחמיר את האש אם העובדים משקיעים כל כך הרבה זמן בבדיקה כדי לוודא שהודעות אימייל אינן לגיטימיות שזה מפחית את התפוקה שלהם.

אימון מודעות יכול להיות יעיל, אם חברת ההדרכה בנושא אבטחת הרשת KnowBe4 עשתה היא אינדיקציה כלשהי. במהלך שנה, KnowBe4 שלחה דוא"ל להתקפות דיוג מדומות ל -300, 000 עובדים ב -300 חברות לקוח באופן קבוע; הם עשו זאת כדי להכשיר אותם כיצד לאתר דגלים אדומים שיכולים לאותת על בעיה. לפני ההכשרה, 16 אחוז מהעובדים לחצו על קישורים בהודעות הדיוג המדומות. רק כעבור 12 חודשים, המספר הזה צנח לאחוז אחד, על פי מייסד ומנכ"ל KnowBe4, סטו זיווארמן.

אחסן נתונים בענן

דרך נוספת לבצע פעולות סיום סביב התקפות דיוג או לווייתנים היא על ידי שמירה של מידע על חברות בצורה מוצפנת בענן במקום במסמכים או בתיקיות בשולחן העבודה או במחשבים ניידים. אם מסמכים בענן, גם אם עובד נדרש לבקשת דיוג, הם רק ישלחו קישור לקובץ שהאקר לא יוכל לגשת אליו (מכיוון שלא יהיה להם את המידע הנוסף הדרוש להם כדי פתח או לפענח אותו). OneLogin, חברה בסן פרנסיסקו שמוכרת מערכות לניהול זהויות, אסרה להשתמש בקבצים במשרדה, כך הודה מנכ"ל OneLogin, תומאס פדרסן.

דיוויד מאייר, מייסד OneLogin וסגן נשיא לפיתוח מוצר, מסיבה ביטחונית כמו גם פרודוקטיביות. "אם המחשב הנייד של עובד נגנב, זה לא משנה כי שום דבר לא קורה עליו."

מאייר מייעץ לעסקים להטיל פלטפורמות טכנולוגיות HR שהם שוקלים להשתמש בהן בכדי להבין אילו פרוטוקולי אבטחה שהספקים מציעים. ADP לא הגיבה על הפריצות האחרונות שפגעו בלקוחותיה. עם זאת, דובר ה- ADP אמר כי החברה מספקת חינוך, הדרכת מודעות ומידע ללקוחות ולצרכנים על שיטות עבודה מומלצות כדי למנוע בעיות אבטחת סייבר נפוצות, כמו דיוג ותוכנות זדוניות. צוות המעקב אחר פשעים כספיים של ADP וקבוצות תמיכה בלקוחות מודיעים ללקוחות כאשר החברה מגלה הונאה או אירעה ניסיון הונאה, כך לפי הדובר. תוכנת Ultimate גם הציבה אמצעי זהירות דומים לאחר התקפות על משתמשי UltiPro בשנת 2014, כולל הקמת אימות רב גורמים עבור לקוחותיה, לפי Krebs on Security.

תלוי במקום הימצאות העסק שלך, ייתכן שיש לך חובה חוקית לדווח על פריצות דיגיטליות לרשויות הראויות. בקליפורניה, למשל, על חברות מוטלת חובת דיווח כאשר נגנבו יותר מ- 500 שמות עובדים. כדאי להתייעץ עם עורך דין בכדי לברר מהן תפקידך, על פי שויגרמן.

"יש תפיסה חוקית המחייבת אותך לנקוט באמצעים סבירים לשמירה על הסביבה שלך, ואם לא, אתה בעצם אחראי, " אמר.

השתמש בתוכנת ניהול זהויות

חברות יכולות להגן על מערכות HR על ידי שימוש בתוכנת ניהול זהויות לשליטה בכניסה וסיסמאות. חשוב על מערכות ניהול זהויות כמנהלי סיסמאות עבור הארגון. במקום להסתמך על צוות העובדים והעובדים שיזכרו - ויגןו - על שמות משתמש וסיסמאות עבור כל פלטפורמה בה הם משתמשים עבור שכר, הטבות, גיוס, תזמון וכו ', הם יכולים להשתמש בכניסה יחידה כדי לגשת לכל דבר. הצבת הכל תחת כניסה אחת יכולה להקל על עובדים שעשויים לשכוח סיסמאות למערכות משאבי אנוש שהם נכנסים אליהם רק כמה פעמים בשנה (מה שהופך אותם נוטים יותר לרשום אותם איפשהו או לאחסן אותם באינטרנט במקום בו ניתן יהיה לגנוב אותם).

חברות יכולות להשתמש במערכת ניהול מזהה כדי להגדיר זיהוי דו-גורמי למנהלי מערכות HR או להשתמש בגדרות גיאוגרפיות כדי להגביל כניסות, כך שמנהלים יכולים להיכנס רק ממקום מסוים, כמו המשרד.

"כל רמות הסיבולת הביטחונית הללו עבור אנשים שונים ותפקידים שונים אינן תכונות במערכות משאבי אנוש, " אמר מאייר של OneLogin.

ספקי טכנולוגיות HR וחברות אבטחת סייבר עובדות על טכניקות אחרות למניעת התקפות סייבר. בסופו של דבר, עובדים נוספים יתחברו למערכות משאבי אנוש ומערכות עבודה אחרות על ידי שימוש בביומטריה כמו סריקות טביעות אצבע או רשתית, מה שקשה יותר להאקרים לפצח. בעתיד, פלטפורמות אבטחת סייבר עשויות לכלול למידת מכונה המאפשרת לתוכנה להתאמן על עצמה לאתר תוכנות זדוניות ופעילות חשודה אחרת במחשבים או ברשתות, כך על פי מצגת בכנס Black Hat.

עד שהאפשרויות הללו יהיו זמינות באופן נרחב יותר, מחלקות משאבי אנוש יצטרכו להסתמך על מודעות עצמן, להכשיר עובדים, אמצעי אבטחה זמינים, וספקי הטכנולוגיה של משאבי אנוש איתם הם עובדים כדי להימנע מצרות.