Video: Hackers & Cyber Attacks: Crash Course Computer Science #32 (November 2024)
Apabila serangan penggodam, sumber manusia (HR) adalah salah satu tempat pertama yang mereka langgar. HR adalah sasaran yang popular kerana akses kakitangan HR kepada data yang boleh dipasarkan di laman web gelap, termasuk nama pekerja, tarikh lahir, alamat, nombor Keselamatan Sosial, dan borang W2. Untuk mendapatkan maklumat seperti itu, penggodam menggunakan segala-galanya dari phishing untuk menyamar sebagai eksekutif syarikat yang meminta dokumen dalaman-bentuk phishing beberapa panggilan "ikan paus" -untuk mengeksploitasi kelemahan dalam gaji berasaskan awan dan perkhidmatan teknologi HR.
Untuk melawan balik, syarikat perlu mematuhi protokol pengkomputeran yang selamat. Ini termasuk latihan orang HR dan pekerja lain untuk menjaga penipuan mereka, mengamalkan amalan yang melindungi data, dan menilai vendor teknologi HR berasaskan awan. Dalam masa depan yang tidak terlalu jauh, biometrik dan kecerdasan buatan (AI) juga boleh membantu.
Cyberattacks tidak akan pergi; jika ada, mereka semakin teruk. Syarikat dari semua saiz terdedah kepada cyberattacks. Walau bagaimanapun, perniagaan kecil mungkin berisiko tinggi kerana mereka biasanya mempunyai kurang kakitangan yang tugasnya adalah untuk mengawasi jenayah siber. Pertubuhan yang lebih besar mungkin dapat menyerap kos yang berkaitan dengan serangan, termasuk membayar beberapa laporan kredit bernilai setahun untuk pekerja yang identiti mereka telah dicuri. Untuk perusahaan yang lebih kecil, akibat dari pengambilan digital boleh memudaratkan.
Ia tidak sukar untuk mencari contoh pelanggaran data HR. Pada bulan Mei, penggodam menggunakan kejuruteraan sosial dan amalan keselamatan yang lemah di pelanggan ADP untuk mencuri nombor Keselamatan Sosial pekerja mereka dan data kakitangan lain. Pada tahun 2014, penggodam mengeksploitasi kelayakan daftar masuk pada bilangan pelanggan yang tidak dapat ditentukan gaji Ultimate Software's UltiPro dan suite pengurusan HR untuk mencuri data pekerja dan memfailkan pulangan cukai palsu, menurut Krebs on Security.
Dalam bulan-bulan kebelakangan ini, jabatan-jabatan HR di banyak syarikat telah menerima penghapusan bentuk cukai W-2 cukai penipuan. Dalam beberapa contoh yang dilaporkan, jabatan gaji dan pekerja lain memberikan maklumat cukai W-2 kepada penggodam selepas menerima surat spoof yang kelihatan seperti permintaan yang sah untuk dokumen dari eksekutif syarikat. Pada bulan Mac, Seagate Technology berkata ia secara tidak sengaja berkongsi maklumat borang cukai W-2 untuk pekerja semasa dan bekas "beberapa ribu" melalui serangan sedemikian. Sebulan sebelum itu, SnapChat berkata pekerja di jabatan gajinya berkongsi data gaji untuk "bilangan" pekerja semasa dan bekas kepada seorang penipuan yang menyamar sebagai CEO Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf, dan Sprouts Farmers Market Inc. juga telah menjadi mangsa pelanggaran serupa, menurut Wall Street Journal.
Pekerja Keretapi
Membuat pekerja menyedari bahaya yang berpotensi adalah pertahanan pertama. Melatih pekerja untuk mengenali unsur-unsur yang akan atau tidak dimasukkan dalam e-mel daripada eksekutif syarikat, seperti bagaimana mereka biasanya menandatangani nama mereka. Perhatikan apa yang diminta oleh e-mel. Tidak ada sebab untuk CFO meminta data kewangan, contohnya, kerana kemungkinan, mereka sudah memilikinya.
Seorang penyelidik di persidangan cybersecurity Black Hat di Las Vegas minggu ini mencadangkan bahawa perniagaan memberitahu pekerja mereka untuk mencurigakan semua e-mel, walaupun mereka tahu pengirim atau jika mesej sesuai dengan jangkaan mereka. Penyelidik yang sama mengakui bahawa latihan kesedaran phishing boleh menjadi lambungan jika pekerja menghabiskan banyak masa memeriksa untuk memastikan mesej e-mel individu sah bahawa ia mengurangkan produktiviti mereka.
Latihan kesedaran boleh menjadi berkesan, jika latihan latihan cybersecurity syarikat KnowBe4 telah dilakukan adalah sebarang petunjuk. Sepanjang setahun, KnowBe4 menghantar e-mel serangan phishing simulasi kepada 300, 000 pekerja di 300 syarikat klien secara teratur; mereka melakukan ini untuk melatih mereka bagaimana untuk melihat bendera merah yang boleh memberi isyarat masalah. Sebelum latihan, 16 peratus pekerja mengklik pautan dalam e-mel phishing simulasi. Hanya 12 bulan kemudian, jumlah itu menurun kepada 1 peratus, menurut pengasas KnowBe4 dan CEO Stu Sjouwerman.
Simpan Data di Awan
Satu lagi cara untuk melakukan jangka hayat di sekitar pancingan pancingan atau serangan ikan paus adalah dengan menyimpan maklumat syarikat dalam bentuk yang disulitkan dalam awan dan bukannya dalam dokumen atau folder di desktop atau komputer riba. Sekiranya dokumen berada di awan, walaupun pekerja jatuh untuk permintaan phishing, mereka hanya akan menghantar pautan ke fail yang tidak dapat diakses oleh penggodam (kerana mereka tidak akan mempunyai maklumat tambahan yang diperlukan untuk buka atau nyahsulitnya). OneLogin, sebuah syarikat San Francisco yang menjual sistem pengurusan identiti, telah mengharamkan menggunakan fail di pejabatnya, seorang Ketua Eksekutif OneLogin Thomas Pedersen telah blogged tentang.
"Ia adalah untuk alasan keselamatan dan produktiviti, " kata David Meyer, pengasas OneLogin dan Naib Presiden Pembangunan Produk. "Jika komputer riba pekerja dicuri, tidak penting kerana tiada apa-apa."
Meyer menasihatkan para pelanggan untuk menjamu platform teknologi HR yang mereka sedang mempertimbangkan menggunakan untuk memahami apa protokol keselamatan vendor yang ditawarkan. ADP tidak akan memberi komen mengenai pemecah baru-baru ini yang melanda pelanggannya. Bagaimanapun, jurucakap ADP berkata syarikat itu menyediakan pendidikan, latihan kesedaran, dan maklumat kepada pelanggan dan pengguna mengenai amalan terbaik untuk mencegah isu keselamatan siber umum, seperti phishing dan malware. Pasukan pengawasan jenayah kewangan ADP dan kumpulan sokongan klien memberitahu pelanggan apabila syarikat itu mengesan penipuan atau percubaan akses palsu telah berlaku, menurut jurucakap itu. Perisian Ultimate juga meletakkan langkah berjaga-jaga yang sama di tempat selepas serangan terhadap pengguna UltiPro pada tahun 2014, termasuk memulakan pengesahan pelbagai faktor untuk pelanggannya, menurut Krebs on Security.
Bergantung pada lokasi perniagaan anda, anda mungkin mempunyai kewajipan undang-undang untuk melaporkan pemecah digital kepada pihak berkuasa yang sepatutnya. Di California, sebagai contoh, syarikat mempunyai kewajipan untuk melaporkan apabila lebih daripada 500 nama pekerja telah dicuri. Adalah idea yang baik untuk berunding dengan seorang peguam untuk mengetahui tugas anda, menurut Sjouwerman.
"Terdapat satu konsep undang-undang yang memerlukan anda mengambil langkah-langkah yang wajar untuk melindungi persekitaran anda, dan jika anda tidak, anda pada dasarnya bertanggungjawab, " katanya.
Gunakan Perisian Pengurusan Identiti
Syarikat boleh melindungi sistem HR dengan menggunakan perisian pengurusan identiti untuk mengawal log masuk dan kata laluan. Fikirkan sistem pengurusan identiti sebagai pengurus kata laluan untuk perusahaan. Daripada mengandalkan kakitangan HR dan pekerja untuk mengingati dan melindungi nama pengguna dan kata laluan untuk setiap platform yang mereka gunakan untuk gaji, faedah, merekrut, penjadualan, dan sebagainya, mereka boleh menggunakan log masuk tunggal untuk mengakses segala-galanya. Meletakkan segala-galanya di bawah satu log masuk dapat memudahkan pekerja yang mungkin melupakan kata laluan kepada sistem HR yang hanya masuk ke dalam beberapa kali setahun (membuat mereka lebih cenderung menulis di suatu tempat atau menyimpannya secara dalam talian di mana mereka boleh dicuri).
Syarikat boleh menggunakan sistem pengurusan mengenal pasti untuk menubuhkan dua faktor pengenalpastian untuk pentadbir sistem HR atau menggunakan geofencing untuk menyekat log masuk supaya pentadbir hanya boleh log masuk dari lokasi tertentu, seperti pejabat.
"Semua tahap toleransi risiko keselamatan untuk orang yang berlainan dan peranan yang berbeza bukanlah ciri dalam sistem HR, " kata Meyer OneLogin.
Pembekal teknologi HR dan firma keselamatan siber bekerja pada teknik lain untuk mencegah cyberattacks. Akhirnya, lebih ramai pekerja akan masuk ke dalam sistem HR dan sistem kerja lain dengan menggunakan biometrik seperti cap jari atau imbasan retina, yang lebih sukar bagi penggodam untuk retak. Di masa depan, platform keselamatan siber mungkin termasuk pembelajaran mesin yang membolehkan perisian melatih dirinya untuk mengesan perisian berniat jahat dan aktiviti mencurigakan yang lain pada komputer atau rangkaian, menurut persembahan pada persidangan Black Hat.
Sehingga pilihan tersebut lebih banyak tersedia, jabatan-jabatan HR perlu bergantung pada kesedaran mereka sendiri, pekerja latihan, langkah-langkah keselamatan yang ada, dan vendor teknologi HR yang mereka bekerjasama untuk mengelakkan masalah.
