Video: 33.5 Million with ABC Squad Walkthrough | SWGOH HAAT | Sir Georgeous is Gorgeous (Lapkritis 2024)
Kai įsilaužėliai užpuola, žmogiškieji ištekliai (HR) yra viena iš pirmųjų vietų, į kurią jie patenka. HR yra populiarus tikslas, nes personalo darbuotojai turi prieigą prie duomenų, kuriuos galima parduoti tamsiajame internete, įskaitant darbuotojų vardus, gimimo datas, adresus, socialinio draudimo numerius ir W2 formas. Norėdami gauti informacijos apie tokio pobūdžio informaciją, įsilaužėliai naudojasi visomis priemonėmis - nuo sukčiavimo apsimetant kompiuteriu iki įmonės vadovų, kurie prašo pateikti vidinius dokumentus - tai yra sukčiavimo apsimetant tam tikru pavidalu „banginių medžioklės“ forma, siekiant išnaudoti pažeidžiamus debesų darbo užmokesčio ir HR technologijų paslaugų pažeidžiamumus.
Siekdamos kovoti, įmonės turi laikytis saugių skaičiavimo protokolų. Tai apima žmogiškųjų išteklių ir kitų darbuotojų mokymą budėti nuo sukčiavimo, duomenų apsaugą užtikrinančią praktiką ir debesų pagrindu sukurtų HR technologijos pardavėjų tikrinimą. Netolimoje ateityje taip pat gali padėti biometriniai duomenys ir dirbtinis intelektas (AI).
Kibernetinės atakos neišnyks; jei ką, jie blogėja. Bet kokio dydžio įmonės yra linkusios į kibernetinius išpuolius. Vis dėlto mažoms įmonėms gali kilti didžiausia rizika, nes jose paprastai dirba mažiau žmonių, kurių vienintelė užduotis yra prižiūrėti kibernetinius nusikaltimus. Didesnės organizacijos gali padengti su užpuolimu susijusias išlaidas, įskaitant sumokėti už poros metų vertės kreditines ataskaitas darbuotojams, kurių tapatybė buvo pavogta. Mažesnėms įmonėms skaitmeninio pjaustymo pasekmės gali būti niokojančios.
Nelengva rasti HR duomenų pažeidimų pavyzdžių. Gegužės mėnesį įsilaužėliai pasinaudojo socialine inžinerija ir bloga saugumo praktika ADP klientams, kad pavogtų jų darbuotojų socialinės apsaugos numerius ir kitus personalo duomenis. „Krebs on Security“ duomenimis, 2014 m. Įsilaužėliai pasinaudojo prisijungimo duomenimis neribotam „Ultimate Software“ darbo užmokesčio ir „HR Management Suite“ klientų skaičiui, kad pavogtų darbuotojų duomenis ir pateiktų apgaulingas mokesčių deklaracijas.
Pastaraisiais mėnesiais daugelio bendrovių personalo skyriai ruošiasi gauti W-2 mokesčių formos banginių medžioklės sukčiavimą. Keliais gerai praneštais atvejais darbo užmokesčio departamentas ir kiti darbuotojai įsilaužėliams pateikė W-2 mokesčių informaciją, gavę apgaulingą laišką, kuris atrodė kaip teisėtas bendrovės vadovo prašymas pateikti dokumentus. Kovo mėnesį „Seagate Technology“ pareiškė, kad per tokią ataką netyčia pasidalino W-2 mokesčių formos informacija „keliems tūkstančiams“ dabartinių ir buvusių darbuotojų. Prieš mėnesį „SnapChat“ teigė, kad darbuotojas savo darbo užmokesčio apskaitos skyriuje dalijasi „daugybės esamų ir buvusių darbuotojų“ darbo užmokesčio duomenimis sukčiui, kuris eina generalinio direktoriaus Evano Spiegelio pareigas. Kaip skelbia „Wall Street Journal“, „Watchers International“, „PerkinElmer Inc.“, „Bill Casper Golf“ ir „Sprouts Farmers Market Inc.“ taip pat buvo panašių aukų aukos.
Traukinio darbuotojai
Pirmoji gynybos linija yra supažindinti darbuotojus su potencialiais pavojais. Apmokykite darbuotojus atpažinti elementus, kurie būtų įtraukti ar neįtraukti į įmonių vadovų el. Laiškus, pavyzdžiui, kaip jie paprastai pasirašo savo vardą. Atkreipkite dėmesį į tai, ko prašoma el. Laiške. Pavyzdžiui, nėra jokios priežasties, kad finansų direktorius reikalautų finansinių duomenų, nes yra tikimybė, kad jie tai jau turi.
Vienas šią savaitę Las Vegase vykusios „Black Hat“ kibernetinio saugumo konferencijos tyrėjas pasiūlė įmonėms pasakyti darbuotojams, kad jie įtaria visus el. Laiškus, net jei jie žino siuntėją ar žinutė atitinka jų lūkesčius. Tas pats tyrėjas pripažino, kad mokymai apie informacijos apie sukčiavimą apsimetant mokymą gali būti atmesti, jei darbuotojai praleidžia tiek laiko tikrindami, kad įsitikintų, jog individualios el. Pašto žinutės yra teisėtos, nes tai sumažina jų produktyvumą.
Sąmoningumo ugdymas gali būti veiksmingas, jei tai parodo darbo kibernetinio saugumo mokymo įmonė „KnowBe4“. Per metus „KnowBe4“ reguliariai išsiuntė simuliuotus sukčiavimo elektroninio pašto laiškus 300 000 darbuotojų 300 klientų įmonėse; jie tai padarė, kad išmokytų juos pastebėti raudonas vėliavas, galinčias signalizuoti apie problemą. Prieš mokymus 16 procentų darbuotojų spustelėjo nuorodas simuliuotuose sukčiavimo el. Laiškuose. Vos po 12 mėnesių šis skaičius sumažėjo iki 1 procento, teigia „KnowBe4“ įkūrėjas ir generalinis direktorius Stu Sjouwermanas.
Saugokite duomenis „Cloud“
Kitas būdas apsisaugoti nuo sukčiavimo apsimetant ar banginių medžioklės atakų yra įmonės informacijos saugojimas užšifruotame debesyje, o ne stalinių ar nešiojamųjų kompiuterių dokumentuose ar aplankuose. Jei dokumentai yra debesyje, net jei darbuotojas patenka į sukčiavimo užklausą, jie tik siuntė nuorodą į failą, kurio įsilaužėlis negalės pasiekti (nes jie neturės papildomos informacijos, kurios jiems reikėjo atidaryti arba iššifruoti). „OneLogin“, San Francisko įmonė, prekiaujanti asmens tapatybės valdymo sistemomis, uždraudė naudoti failus savo biure, rašė „OneLogin“ generalinis direktorius Tomas Pedersenas.
„Taip yra dėl saugumo ir produktyvumo, “ - teigė Davidas Meyeris, „OneLogin“ įkūrėjas ir produktų plėtros viceprezidentas. "Jei darbuotojo nešiojamasis kompiuteris yra pavogtas, nesvarbu, nes jame nieko nėra."
Meyer pataria įmonėms tikrinti HR technologijų platformas, kurias jos naudoja, kad suprastų, kokius saugos protokolus siūlo pardavėjai. ADP nekomentuos pastarojo meto įsilaužimų, kurie paveikė jos klientus. Tačiau ADP atstovas teigė, kad įmonė teikia švietimą, sąmoningumo ugdymą ir informaciją klientams ir vartotojams apie geriausią praktiką, siekiant užkirsti kelią įprastoms kibernetinio saugumo problemoms, tokioms kaip sukčiavimas ir kenkėjiška programinė įranga. Anot atstovo, ADP finansinių nusikaltimų stebėjimo komanda ir klientų palaikymo grupės praneša klientams, kai įmonė nustato sukčiavimą ar bandymą sukčiauti. Pasak „Krebs on Security“, „Ultimate Software“ taip pat įgyvendino panašias atsargumo priemones po išpuolių prieš „UltiPro“ vartotojus 2014 m., Įskaitant kelių veiksnių autentifikavimo inicijavimą savo klientams.
Priklausomai nuo to, kur yra jūsų verslas, galbūt turėsite teisiškai įpareigoti pranešti apie skaitmeninius įsilaužimus tinkamoms valdžios institucijoms. Pavyzdžiui, Kalifornijoje įmonės privalo pranešti, kai pavogta daugiau nei 500 darbuotojų vardų. Palanku pasitarti su teisininku, kad sužinotumėte, kokios jūsų pareigos, pasak Sjouwermano.
"Yra teisinė koncepcija, reikalaujanti, kad jūs imtumėtės pagrįstų priemonių savo aplinkai apsaugoti, o jei to nepadarysite, jūs esate iš esmės atsakingas", - sakė jis.
Naudokite tapatybės valdymo programinę įrangą
Įmonės gali apsaugoti HR sistemas naudodamos tapatybės valdymo programinę įrangą prisijungimams ir slaptažodžiams valdyti. Pagalvokite apie tapatybės valdymo sistemas kaip įmonės slaptažodžių tvarkytojus. Užuot pasikliavę personalo darbuotojais ir darbuotojais, kad atsimintų ir apsaugotų kiekvienos platformos, kurią jie naudoja darbo užmokesčiui, pašalpoms, įdarbinimui, planavimui ir pan., Naudotojų vardus ir slaptažodžius, jie gali naudoti vieną prisijungimą, kad pasiektų viską. Viską sudėjus į vieną prisijungimo vietą, darbuotojams, kurie gali pamiršti slaptažodžius HR sistemose, jie prisijungia tik kelis kartus per metus (lengviau priversti juos kur nors užsirašyti ar laikyti internete, kur juos būtų galima pavogti).
Bendrovės gali naudoti identifikavimo valdymo sistemą, norėdamos nustatyti dviejų faktorių identifikavimą HR sistemos administratoriams, arba naudoti geografinę apsaugą, kad apribotų prisijungimus, kad administratoriai galėtų prisijungti tik iš tam tikros vietos, pavyzdžiui, biuro.
„Visi šie skirtingų žmonių ir skirtingų vaidmenų saugumo rizikos tolerancijos lygiai nėra HR sistemų ypatybės“, - teigė „OneLogin“ Meyeris.
Žmogiškųjų išteklių technologijų pardavėjai ir kibernetinio saugumo firmos dirba prie kitų kibernetinių išpuolių prevencijos metodų. Galų gale, daugiau darbuotojų prisijungs prie žmogiškųjų išteklių ir kitų darbo sistemų naudodami biometrinius duomenis, tokius kaip pirštų atspaudų ar tinklainės nuskaitymas, kurie įsilaužėliams yra sunkiau. Ateityje į kibernetinio saugumo platformas gali būti įtrauktas mašininis mokymasis, leidžiantis programinei įrangai treniruotis aptikti kenkėjišką programinę įrangą ir kitą įtartiną veiklą kompiuteriuose ar tinkluose, teigiama pranešime „Black Hat“ konferencijoje.
Kol šios galimybės nebus plačiau prieinamos, personalo skyriai, norėdami išvengti nemalonumų, turės pasikliauti savo sąmoningumu, darbuotojų mokymu, turimomis saugumo priemonėmis ir HR technologijų pardavėjais, su kuriais dirba.
