Video: What would a cyber attack look like in the real world? (Kasım 2024)
Bilgisayar korsanları saldırdığında, insan kaynakları (İK) ilk vurdukları yerlerden biridir. İK, çalışanların isimleri, doğum tarihleri, adresleri, Sosyal Güvenlik numaraları ve W2 formları dahil olmak üzere, karanlık ağda pazarlanabilir verilere erişimi nedeniyle İK, popüler bir hedeftir. Bu tür bilgileri ele geçirmek için bilgisayar korsanları, kimlik avı yapmaktan, şirket yöneticileri olarak iç belgelerini isteyen bir çeşit kimlik avı ("balina avı" olarak adlandırılan bir kimlik avı türü) olan bulut tabanlı maaş bordrosu ve İK teknik hizmetlerindeki zayıflıkları kullanmak için her şeyi kullanırlar.
Mücadele etmek için şirketler güvenli bilgi işlem protokollerini takip etmelidir. Bu, İK insanlarının ve diğer çalışanların dolandırıcılıktan korunmalarını, verileri koruyan uygulamaları benimsemelerini ve bulut tabanlı İK teknolojisi satıcılarını incelemelerini içerir. Çok uzak olmayan bir gelecekte, biyometri ve yapay zeka (AI) da yardımcı olabilir.
Cyberattacks uzağa gitmiyor; eğer bir şey olursa, daha kötüye gidiyorlar. Her ölçekteki şirketler siber saldırılara karşı hassastır. Yine de küçük işletmeler en büyük risk altında olabilir, çünkü genellikle tek görevi siber suçlara göz kulak olmak isteyen personel konusunda daha az insan vardır. Daha büyük kuruluşlar, kimlikleri çalınan çalışanlar için birkaç yıllık kredi raporlarının ödenmesi de dahil olmak üzere, bir saldırı ile ilgili maliyetleri karşılayabilir. Küçük işletmeler için, dijital pilfer işleminin sonuçları yıkıcı olabilir.
İK veri ihlali örnekleri bulmak zor değil. Mayıs ayında, bilgisayar korsanları, çalışanlarının Sosyal Güvenlik numaralarını ve diğer personel verilerini çalmak için ADP müşterilerindeki sosyal mühendislik ve kötü güvenlik uygulamalarını kullandılar. Hacker'lar, 2014 yılında, çalışanların verilerini çalmak ve sahte vergi iadelerini dosyalamak için, Ultimate Software'in UltiPro bordrosu ve İK yönetim paketinin az sayıda müşterisinde oturum açma kimlik bilgilerinden yararlandı.
Daha son aylarda, birçok şirketteki İK departmanları W-2 vergi formu balina avcılığı dolandırıcılıklarının sona ermesini bekliyor. Bazı iyi bildirilen durumlarda, bordro departmanı ve diğer çalışanlar, bir şirket yöneticisinden gelen belgeler için meşru bir talep gibi görünen bir sahte mektup aldıktan sonra bilgisayar korsanlarına W-2 vergi bilgisi verdi. Mart ayında, Seagate Technology, istemeden böyle bir saldırı ile "birkaç bin" mevcut ve eski çalışan için W-2 vergi formu bilgilerini yanlışlıkla paylaştığını söyledi. Bundan bir ay önce, SnapChat bordro departmanındaki bir çalışanın mevcut ve eski çalışanların bir kısmı için bordro verilerini paylaştığını söyledi. Wall Street Journal'a göre, Uluslararası Weight Watchers International, PerkinElmer Inc., Bill Casper Golf ve Sprouts Farmers Market Inc.
Çalışanları eğitmek
Çalışanları potansiyel tehlikelerden haberdar etmek ilk savunma hattıdır. Çalışanları, genellikle adlarını nasıl imzaladıkları gibi şirket yöneticilerinin e-postalarına eklenecek veya eklenmeyecek unsurları tanımaları için eğitin. E-postanın ne istediğine dikkat edin. Bir CFO'nun finansal veri istemesi için bir sebep yoktur, örneğin, olasılıklar zaten var, çünkü.
Bu hafta Las Vegas'ta düzenlenen Black Hat siber güvenlik konferansındaki araştırmacılardan biri, gönderenleri bilseler veya mesaj beklentilerine uysalar bile işletmelerin çalışanlarına tüm e-postalardan şüphelendiğini söylemesini önerdi. Aynı araştırmacı, çalışanların bireysel e-posta mesajlarının verimliliğini azalttığını meşrulaştırdığından emin olmak için çok fazla zaman harcarlarsa, phishing farkındalığı eğitiminin geri tepebileceğini kabul etti.
Bilinçlendirme eğitimi etkili olabilir, eğer iş siber güvenlik eğitimi şirketi KnowBe4'ün yaptığı herhangi bir gösterge ise. Bir yıl boyunca KnowBe4, düzenli olarak 300 müşteri şirketindeki 300.000 çalışana simüle edilmiş phishing saldırısı e-postası gönderdi; bunu, bir soruna işaret edebilecek kırmızı bayrakların nasıl tespit edileceği konusunda eğitmek için yaptılar. Eğitimden önce çalışanların yüzde 16'sı taklit kimlik avı e-postalarındaki bağlantıları tıkladı. KnowBe4 kurucusu ve CEO'su Stu Sjouwerman'a göre, sadece 12 ay sonra bu rakam yüzde 1'e düştü.
Bulutta Veri Depolayın
Kimlik avı ya da balina saldırılarıyla ilgili bir sonuca ulaşmanın başka bir yolu da şirket bilgilerini masaüstü veya dizüstü bilgisayarlardaki belgeler veya klasörler yerine bulutta şifrelenmiş biçimde tutmaktır. Dokümanlar bulutun içindeyse, bir çalışan kimlik avı isteğine düşse bile, yalnızca bir bilgisayar korsanının erişemeyeceği bir dosyaya bağlantı gönderir (çünkü ihtiyaç duydukları ek bilgilere sahip olmadıkları için) açın veya şifresini çözün). OneLogin, kimlik yönetimi sistemleri satan bir San Francisco firması olan OneLogin CEO'su Thomas Pedersen’in bloglarında yayınladığı bir bilgi kaynağı olan ofisinde dosya kullanımını yasakladı.
OneLogin'in kurucu üyesi ve Ürün Geliştirme Başkan Yardımcısı David Meyer, “Güvenlik nedeniyle üretkenliğin yanı sıra, ” dedi. “Bir çalışanın laptopu çalınırsa, önemli değil çünkü üzerinde hiçbir şey yok.”
Meyer, işletmelere, satıcıların hangi güvenlik protokollerini kullandıklarını anlamak için kullanmayı düşündükleri İK teknoloji platformlarını veterinerlik etmelerini önerir. ADP, müşterilerini etkileyen son gelişmeler hakkında yorumda bulunmaz. Ancak bir ADP sözcüsü, şirketin kimlik avı ve kötü amaçlı yazılım gibi ortak siber güvenlik sorunlarını önlemek için müşterilere ve tüketicilere en iyi uygulamalar hakkında eğitim, farkındalık eğitimi ve bilgi sağladığını söyledi. Sözcüye göre, bir ADP mali suçları izleme ekibi ve müşteri destek grupları, şirket sahtekarlık tespit ettiğinde veya sahtekarlık erişiminde teşebbüs edildiğinde müşterileri bilgilendirir. Ultimate Software ayrıca, UltiPro kullanıcılarına yönelik saldırıların ardından 2014 yılında, müşterileri için çok faktörlü kimlik doğrulama oluşturmak da dahil olmak üzere benzer önlemleri uygulamaya koydu.
İşletmenizin bulunduğu yere bağlı olarak, dijital girişimleri uygun yetkililere bildirmek için yasal bir zorunluluğunuz olabilir. Örneğin, Kaliforniya'da, şirketlerin 500'den fazla çalışanın isminin çalındığını bildirme yükümlülüğü var. Sjouwerman'a göre görevlerinizin ne olduğunu öğrenmek için bir avukata danışmak iyi bir fikirdir.
“Çevrenizi korumak için makul önlemleri almanızı gerektiren yasal bir kavram var ve eğer istemezseniz, esasen siz sorumlusunuz” dedi.
Kimlik Yönetimi Yazılımını kullanın
Şirketler, girişleri ve şifreleri kontrol etmek için kimlik yönetimi yazılımı kullanarak İK sistemlerini koruyabilirler. Kimlik yönetimi sistemlerini işletme için şifre yöneticileri olarak düşünün. İnsan kaynakları personeline ve çalışanlarına, bordro, fayda, işe alım, zamanlama vb. İçin kullandıkları her platformun kullanıcı adlarını ve şifrelerini hatırlamak ve korumak için güvenmek yerine, her şeye erişmek için tek bir giriş yapabilirler. Her şeyi bir oturum açmanın altına koymak, yalnızca birkaç kez giriş yaptıkları İK sistemlerine şifreleri unutabilecek çalışanlar için işleri kolaylaştırabilir (bir yere yazmalarını veya çalınabilecekleri çevrimiçi ortamda saklamalarını daha kolay hale getirir).
Şirketler, İK sistem yöneticileri için iki faktörlü kimlik belirlemek için tanımlayıcı bir yönetim sistemi kullanabilir ya da girişleri sınırlamak için coğrafi çitleri kullanabilir, böylece yöneticiler yalnızca ofis gibi belirli bir yerden oturum açabilir.
OneLogin Meyer, "Farklı insanlar ve farklı roller için tüm bu güvenlik riski tolerans düzeyleri İK sistemlerinde özellik değildir, " dedi.
İnsan kaynakları teknolojisi satıcıları ve siber güvenlik firmaları, siber saldırıların önlenmesi için diğer teknikler üzerinde çalışıyor. Sonunda, daha fazla çalışan, bilgisayar korsanlarının kırması daha zor olan parmak izi veya retina taramaları gibi biyometreleri kullanarak İK ve diğer iş sistemlerine giriş yapacaktır. Gelecekte, siber güvenlik platformları, Black Hat konferansındaki bir sunuma göre, yazılımın kendisini kötü niyetli yazılımları ve bilgisayar veya ağlardaki diğer şüpheli etkinlikleri tespit etmek için eğitmesine olanak sağlayan makine öğrenmesini içerebilir.
Bu seçenekler daha yaygın olarak bulunana kadar, İK departmanları sorunların önlenmesi için kendi farkındalıklarına, çalışanlarını eğitmeye, mevcut güvenlik önlemlerine ve birlikte çalıştıkları İK teknoloji satıcılarına güvenmek zorunda kalacak.
