Video: Protect Your Organisation with Essential Security Controls (November 2024)
Wanneer hackers aanvallen, is human resources (HR) een van de eerste plaatsen die ze raken. HR is een populair doelwit vanwege de toegang van HR-personeel tot gegevens die verhandelbaar zijn op het dark web, inclusief de namen van werknemers, geboortedata, adressen, sofi-nummers en W2-formulieren. Om dat soort informatie in handen te krijgen, gebruiken hackers alles, van phishing tot poseren als bedrijfsleiders die om interne documenten vragen - een vorm van phishing, wat "walvisvangst" wordt genoemd - om kwetsbaarheden in cloudgebaseerde payroll- en HR-techservices te exploiteren.
Om terug te vechten, moeten bedrijven veilige computerprotocollen volgen. Dat omvat het opleiden van HR-mensen en andere werknemers om op hun hoede te zijn voor oplichting, praktijken aan te nemen die gegevens beschermen en leveranciers van cloudgebaseerde HR-technologie te controleren. In de nabije toekomst kunnen biometrie en kunstmatige intelligentie (AI) ook helpen.
Cyberaanvallen gaan niet weg; als er iets wordt, worden ze erger. Bedrijven van elke omvang zijn vatbaar voor cyberaanvallen. Kleine bedrijven lopen echter het grootste risico omdat ze over het algemeen minder mensen in dienst hebben die als enige taak hebben om cybercriminaliteit in de gaten te houden. Grotere organisaties kunnen in staat zijn om de kosten van een aanval op te vangen, inclusief het betalen van een aantal jaren kredietrapporten voor werknemers van wie de identiteit is gestolen. Voor kleinere ondernemingen kunnen de gevolgen van digitaal pileren verwoestend zijn.
Het is niet moeilijk om voorbeelden te vinden van inbreuken op HR-gegevens. In mei gebruikten hackers social engineering en slechte beveiligingsmethoden bij ADP-klanten om de sofi-nummers en andere personeelsgegevens van hun werknemers te stelen. In 2014 misbruikten hackers inloggegevens bij een onbepaald aantal klanten van UltiPro loonlijst- en HR-beheersuite van Ultimate Software om werknemersgegevens te stelen en frauduleuze belastingaangiften in te dienen, aldus Krebs on Security.
In de afgelopen maanden hebben HR-afdelingen bij tal van bedrijven te maken gekregen met W-2-belastingformulieren voor walvisjacht. In verschillende goed gemelde gevallen gaven de salarisadministratie en andere werknemers W-2 belastinginformatie aan hackers na ontvangst van een spoof-brief die leek op een legitiem verzoek om documenten van een bedrijfsleider. In maart zei Seagate Technology dat het onbedoeld W-2 belastingformulierinformatie heeft gedeeld voor "enkele duizenden" huidige en voormalige werknemers door een dergelijke aanval. Een maand daarvoor zei SnapChat dat een medewerker op zijn salarisafdeling loongegevens voor "een aantal" huidige en voormalige werknemers deelde met een oplichter die zich voordeed als CEO Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf en Sprouts Farmers Market Inc. zijn volgens de Wall Street Journal ook het slachtoffer geweest van soortgelijke aanvallen.
Werknemers opleiden
Medewerkers bewust maken van mogelijke gevaren is de eerste verdedigingslinie. Train werknemers om elementen te herkennen die wel of niet zouden worden opgenomen in e-mails van bedrijfsleiders, zoals hoe ze meestal hun naam ondertekenen. Let op waar de e-mail om vraagt. Er is geen reden voor een CFO om financiële gegevens te vragen, bijvoorbeeld omdat de kans groot is dat ze die al hebben.
Een onderzoeker op de Black Hat cybersecurity-conferentie in Las Vegas deze week suggereerde dat bedrijven hun werknemers vertellen verdacht te zijn van alle e-mail, zelfs als ze de afzender kennen of als het bericht aan hun verwachtingen voldoet. Diezelfde onderzoeker gaf toe dat phishing-bewustzijnstraining averechts kan werken als werknemers zoveel tijd besteden aan het controleren om te controleren of individuele e-mailberichten legitiem zijn, waardoor hun productiviteit afneemt.
Bewustzijnstraining kan effectief zijn, als het werk cybersecurity trainingsbedrijf KnowBe4 heeft gedaan enige indicatie is. In de loop van een jaar stuurde KnowBe4 regelmatig gesimuleerde phishingaanvallen per e-mail naar 300.000 werknemers bij 300 klantenbedrijven; ze deden dit om hen te trainen in het herkennen van rode vlaggen die op een probleem konden wijzen. Vóór de training klikte 16 procent van de werknemers op links in de gesimuleerde phishing-e-mails. Slechts 12 maanden later daalde dat aantal tot 1 procent, volgens oprichter en CEO Stu Sjouwerman van KnowBe4.
Gegevens opslaan in de cloud
Een andere manier om een einde te maken aan phishing- of walvisvangstaanvallen is door bedrijfsinformatie gecodeerd in de cloud te houden in plaats van in documenten of mappen op desktops of laptops. Als documenten zich in de cloud bevinden, zelfs als een medewerker valt voor een phishing-verzoek, sturen ze alleen een link naar een bestand waar een hacker geen toegang toe heeft (omdat ze niet de aanvullende informatie hebben die ze nodig hadden om openen of decoderen). OneLogin, een bedrijf in San Francisco dat systemen voor identiteitsbeheer verkoopt, heeft het gebruik van bestanden in zijn kantoor verboden, waarover Thomas Pedersen, CEO van OneLogin, heeft geblogd.
"Het is om veiligheidsredenen en productiviteit", zegt David Meyer, mede-oprichter en vice-president productontwikkeling van OneLogin. "Als de laptop van een werknemer wordt gestolen, maakt het niet uit omdat er niets op staat."
Meyer adviseert bedrijven om HR-technologieplatforms die ze overwegen te gebruiken, te controleren om te begrijpen welke beveiligingsprotocollen de leveranciers bieden. ADP zou geen commentaar geven op recente inbraken die zijn klanten troffen. Een woordvoerder van ADP zei echter dat het bedrijf klanten, consumenten en voorlichtingsopleidingen en -informatie biedt over best practices om veelvoorkomende problemen met cyberveiligheid, zoals phishing en malware, te voorkomen. Een ADP-team voor het bewaken van financiële misdrijven en klantondersteuningsgroepen waarschuwt klanten wanneer het bedrijf fraude detecteert of poging tot frauduleuze toegang heeft plaatsgevonden, aldus de woordvoerder. Ultimate Software heeft ook soortgelijke voorzorgsmaatregelen genomen na aanvallen op UltiPro-gebruikers in 2014, inclusief multi-factor authenticatie voor haar klanten, volgens Krebs on Security.
Afhankelijk van waar uw bedrijf zich bevindt, heeft u mogelijk een wettelijke verplichting om digitale inbraken aan de juiste instanties te melden. In Californië zijn bedrijven bijvoorbeeld verplicht te melden wanneer de namen van meer dan 500 werknemers zijn gestolen. Het is een goed idee om een advocaat te raadplegen om erachter te komen wat je taken zijn, volgens Sjouwerman.
"Er is een juridisch concept dat vereist dat je redelijke maatregelen neemt om je omgeving te beschermen, en als je dat niet doet, ben je in wezen aansprakelijk, " zei hij.
Gebruik Identity Management Software
Bedrijven kunnen HR-systemen beschermen door identiteitsbeheersoftware te gebruiken om inloggegevens en wachtwoorden te beheren. Denk aan identiteitsbeheersystemen als wachtwoordbeheerders voor de onderneming. In plaats van te vertrouwen op HR-personeel en werknemers om gebruikersnamen en wachtwoorden te onthouden en te beschermen voor elk platform dat ze gebruiken voor salarisadministratie, voordelen, werving, planning, enz., Kunnen ze een enkele login gebruiken om toegang te krijgen tot alles. Door alles onder één login te plaatsen, kunnen werknemers die wachtwoorden voor HR-systemen vergeten, gemakkelijker inloggen en slechts een paar keer per jaar inloggen (waardoor ze eerder geneigd zijn ze ergens op te schrijven of online op te slaan waar ze kunnen worden gestolen).
Bedrijven kunnen een identificatiemanagementsysteem gebruiken om tweefactorenidentificatie voor HR-systeembeheerders in te stellen of geofencing gebruiken om log-ins te beperken, zodat beheerders alleen vanaf een bepaalde locatie, zoals het kantoor, kunnen inloggen.
"Al deze beveiligingsrisico-tolerantieniveaus voor verschillende mensen en verschillende rollen zijn geen functies in HR-systemen, " zei Meyer van OneLogin.
Verkopers van HR-technologie en cybersecuritybedrijven werken aan andere technieken om cyberaanvallen te voorkomen. Uiteindelijk zullen meer werknemers inloggen op HR en andere werksystemen met behulp van biometrische gegevens zoals vingerafdruk- of retinascans, die moeilijker zijn voor hackers om te kraken. In de toekomst kunnen cybersecurity-platforms machine learning omvatten waarmee software zichzelf kan trainen om kwaadaardige software en andere verdachte activiteiten op computers of netwerken te detecteren, volgens een presentatie op de Black Hat-conferentie.
Totdat die opties breder beschikbaar zijn, zullen HR-afdelingen moeten vertrouwen op hun eigen bewustzijn, training van medewerkers, beschikbare beveiligingsmaatregelen en de HR-tech leveranciers waarmee ze samenwerken om problemen te voorkomen.
