วิธีปกป้องเทคโนโลยี HR ของคุณจากการโจมตีทางไซเบอร์

เมื่อแฮกเกอร์โจมตีทรัพยากรมนุษย์ (HR) เป็นหนึ่งในสถานที่แรกที่พวกเขาถูกโจมตี HR เป็นเป้าหมายที่ได้รับความนิยมเนื่องจากการเข้าถึงข้อมูลของพนักงาน HR ที่สามารถทำการตลาดได้บนเว็บที่มืดรวมถึงชื่อพนักงานวันเดือนปีเกิดที่อยู่หมายเลขประกันสังคมและแบบฟอร์ม W2 ในการรับข้อมูลประเภทนั้นแฮกเกอร์ใช้ทุกอย่างตั้งแต่ฟิชชิ่งจนถึงการโพสต์ในฐานะผู้บริหาร บริษัท ที่ขอเอกสารภายใน - รูปแบบหนึ่งของการฟิชชิ่งที่เรียกว่า "การล่าปลาวาฬ" เพื่อหาช่องโหว่ในบริการเงินเดือนและคลาวด์

ในการต่อสู้กลับ บริษัท ต้องปฏิบัติตามโปรโตคอลการคำนวณที่ปลอดภัย ซึ่งรวมถึงการฝึกอบรมบุคลากรฝ่ายทรัพยากรบุคคลและพนักงานคนอื่นให้ระวังการหลอกลวงใช้แนวทางปฏิบัติที่ปกป้องข้อมูลและการตรวจสอบผู้ขายเทคโนโลยีทรัพยากรบุคคลบนคลาวด์ ในอนาคตอันใกล้นี้ Biometrics และปัญญาประดิษฐ์ (AI) ก็อาจช่วยได้เช่นกัน

ไซเบอร์จะไม่หายไปไหน ถ้ามีอะไรพวกเขาก็จะแย่ลง บริษัท ทุกขนาดมีความอ่อนไหวต่อการโจมตีทางไซเบอร์ แม้ว่าธุรกิจขนาดเล็กอาจมีความเสี่ยงมากที่สุดเพราะโดยทั่วไปมีพนักงานน้อยลงซึ่งมีหน้าที่เพียงอย่างเดียวที่ต้องคอยระวังอาชญากรรมไซเบอร์ องค์กรขนาดใหญ่อาจสามารถรับภาระค่าใช้จ่ายที่เกี่ยวข้องกับการโจมตีรวมถึงการจ่ายเงินสำหรับรายงานเครดิตสองสามปีสำหรับพนักงานที่ถูกขโมยข้อมูลประจำตัว สำหรับองค์กรขนาดเล็กผลของการลักขโมยดิจิตอลอาจทำลายล้างได้

การหาตัวอย่างของการละเมิดข้อมูล HR ไม่ใช่เรื่องยาก ในเดือนพฤษภาคมแฮกเกอร์ใช้วิศวกรรมทางสังคมและการรักษาความปลอดภัยที่ไม่ดีที่ลูกค้า ADP เพื่อขโมยหมายเลขประกันสังคมของพนักงานและข้อมูลบุคลากรอื่น ๆ ในปี 2557 แฮกเกอร์ใช้ประโยชน์จากข้อมูลการเข้าสู่ระบบตามจำนวนลูกค้าที่ไม่ได้ระบุในบัญชีเงินเดือน UltiPro และชุดการจัดการทรัพยากรบุคคลของ Ultimate Software เพื่อขโมยข้อมูลของพนักงานและยื่นแบบแสดงรายการภาษีที่เป็นการฉ้อโกง

ในช่วงไม่กี่เดือนที่ผ่านมาแผนกทรัพยากรบุคคลในหลาย ๆ บริษัท กำลังอยู่ในช่วงท้ายของการได้รับแบบฟอร์มภาษีปลาวาฬ W-2 ในหลายกรณีที่รายงานอย่างดีแผนกบัญชีเงินเดือนและพนักงานคนอื่น ๆ ให้ข้อมูลภาษี W-2 แก่แฮ็กเกอร์หลังจากได้รับจดหมายหลอกลวงที่ดูเหมือนว่าคำขอถูกต้องตามกฎหมายสำหรับเอกสารจากผู้บริหารของ บริษัท ในเดือนมีนาคม Seagate Technology กล่าวว่าได้แบ่งปันข้อมูลแบบฟอร์มภาษี W-2 โดยไม่ตั้งใจสำหรับพนักงานปัจจุบันและอดีตหลายพันคนผ่านการโจมตีดังกล่าว หนึ่งเดือนก่อนหน้านั้น SnapChat กล่าวว่าพนักงานในแผนกบัญชีเงินเดือนได้เปิดเผยข้อมูลค่าจ้างสำหรับ "จำนวน" ของพนักงานปัจจุบันและอดีตให้กับผู้หลอกลวงในฐานะ CEO Evan Spiegel Weight Watchers International, PerkinElmer Inc., Bill Casper Golf และ Sprouts Farmers Market Inc. ก็ตกเป็นเหยื่อของอุบายที่คล้ายกันเช่นกันตามรายงานของ Wall Street Journal

อบรมพนักงาน

การทำให้พนักงานตระหนักถึงอันตรายที่อาจเกิดขึ้นเป็นแนวป้องกันขั้นแรก ฝึกอบรมพนักงานให้รู้จักองค์ประกอบที่จะหรือไม่รวมอยู่ในอีเมลจากผู้บริหารของ บริษัท เช่นวิธีที่พวกเขาเซ็นชื่อ ให้ความสนใจกับสิ่งที่อีเมลขอ CFO ไม่มีเหตุผลที่จะขอข้อมูลทางการเงินเช่นเนื่องจากมีโอกาสพวกเขามีอยู่แล้ว

นักวิจัยคนหนึ่งในการประชุมการรักษาความปลอดภัยทางไซเบอร์ของ Black Hat ในลาสเวกัสในสัปดาห์นี้แนะนำว่าธุรกิจบอกพนักงานของพวกเขาให้สงสัยอีเมลทั้งหมดแม้ว่าพวกเขาจะรู้จักผู้ส่งหรือว่าข้อความตรงกับความคาดหวังก็ตาม นักวิจัยรายเดียวกันยอมรับว่าการฝึกอบรมการรับรู้เรื่องฟิชชิ่งสามารถย้อนกลับมาใช้ใหม่ได้หากพนักงานใช้เวลามากในการตรวจสอบเพื่อให้แน่ใจว่าข้อความอีเมลส่วนบุคคลนั้นถูกต้องตามกฎหมายซึ่งจะลดประสิทธิภาพการทำงานลง

การฝึกอบรมให้ความรู้จะมีประสิทธิภาพหาก KnowBe4 บริษัท ฝึกอบรมการรักษาความปลอดภัยในโลกไซเบอร์ทำงานได้ทำสิ่งบ่งชี้ใด ๆ ในช่วงเวลาหนึ่งปี KnowBe4 ได้ส่งอีเมลหลอกลวงทางอีเมลหลอกลวงถึงพนักงาน 300, 000 คนใน บริษัท ลูกค้า 300 แห่งเป็นประจำ พวกเขาทำสิ่งนี้เพื่อฝึกฝนพวกเขาเกี่ยวกับวิธีสังเกตเห็นธงสีแดงที่สามารถส่งสัญญาณปัญหาได้ ก่อนการฝึกอบรมพนักงานร้อยละ 16 คลิกที่ลิงก์ในอีเมลฟิชชิ่งจำลอง เพียง 12 เดือนต่อมาตัวเลขดังกล่าวลดลงเหลือ 1 เปอร์เซ็นต์ตามผู้ก่อตั้ง KnowBe4 และซีอีโอของ Stu Sjouwerman

จัดเก็บข้อมูลในคลาวด์

อีกวิธีหนึ่งในการดำเนินการเกี่ยวกับการโจมตีแบบฟิชชิงหรือการล่าปลาวาฬคือการเก็บข้อมูล บริษัท ไว้ในรูปแบบที่เข้ารหัสในระบบคลาวด์แทนที่จะเป็นเอกสารหรือโฟลเดอร์บนเดสก์ท็อปหรือแล็ปท็อป หากเอกสารอยู่ในคลาวด์แม้ว่าพนักงานจะขอฟิชชิ่งพวกเขาจะส่งลิงก์ไปยังไฟล์ที่แฮ็กเกอร์จะไม่สามารถเข้าถึงได้ (เพราะพวกเขาไม่มีข้อมูลเพิ่มเติมที่พวกเขาต้องการ เปิดหรือถอดรหัส) OneLogin ซึ่งเป็น บริษัท ในซานฟรานซิสโกที่ขายระบบการจัดการข้อมูลส่วนบุคคลได้ห้ามการใช้ไฟล์ในสำนักงานของตนโทมัสเพเดอร์เซ่นซีอีโอ OneLogin ซีอีโอของ OneLogin บล็อก

David Meyer ผู้ร่วมก่อตั้ง OneLogin และรองประธานฝ่ายพัฒนาผลิตภัณฑ์กล่าวว่า "เพื่อเหตุผลด้านความปลอดภัยและประสิทธิภาพการผลิต" "ถ้าแล็ปท็อปของพนักงานถูกขโมยมันไม่สำคัญเพราะไม่มีอะไรอยู่ในนั้น"

เมเยอร์ให้คำแนะนำแก่ธุรกิจในการตรวจสอบแพลตฟอร์มเทคโนโลยี HR ที่พวกเขากำลังพิจารณาใช้เพื่อทำความเข้าใจว่าโปรโตคอลความปลอดภัยใดที่ผู้ขายนำเสนอ ADP จะไม่แสดงความคิดเห็นในการเจาะลึกเมื่อไม่นานมานี้ซึ่งกระทบต่อลูกค้า อย่างไรก็ตามโฆษกของ ADP ได้กล่าวว่า บริษัท ให้การศึกษาการฝึกอบรมเพื่อให้ความรู้และข้อมูลแก่ลูกค้าและผู้บริโภคเกี่ยวกับแนวปฏิบัติที่ดีที่สุดเพื่อป้องกันปัญหาความปลอดภัยทางไซเบอร์ทั่วไปเช่นฟิชชิงและมัลแวร์ โฆษกทีมตรวจสอบอาชญากรรมทางการเงินของ ADP และกลุ่มสนับสนุนลูกค้าแจ้งให้ลูกค้าทราบเมื่อ บริษัท ตรวจพบการฉ้อโกงหรือพยายามเข้าถึงการฉ้อโกงที่เกิดขึ้น ซอฟต์แวร์ที่ดีที่สุดยังใช้มาตรการป้องกันที่คล้ายคลึงกันหลังจากการโจมตีผู้ใช้ UltiPro ในปี 2557 รวมถึงการรับรองความถูกต้องหลายปัจจัยสำหรับลูกค้าตาม Krebs on Security

คุณอาจมีข้อผูกมัดทางกฎหมายในการรายงานการบุกรุกแบบดิจิทัลต่อหน่วยงานที่เกี่ยวข้องทั้งนี้ขึ้นอยู่กับที่ตั้งของธุรกิจ ตัวอย่างเช่นในแคลิฟอร์เนีย บริษัท มีภาระผูกพันที่จะต้องรายงานเมื่อชื่อพนักงานมากกว่า 500 คนถูกขโมย เป็นความคิดที่ดีที่จะปรึกษาทนายความเพื่อค้นหาว่าหน้าที่ของคุณคืออะไรตาม Sjouwerman

“ มีแนวคิดทางกฎหมายที่กำหนดให้คุณต้องใช้มาตรการที่เหมาะสมในการปกป้องสภาพแวดล้อมของคุณและถ้าคุณไม่ทำคุณก็ต้องรับผิดเป็นหลัก” เขากล่าว

ใช้ซอฟต์แวร์การจัดการข้อมูลผู้ใช้

บริษัท สามารถปกป้องระบบทรัพยากรบุคคลได้โดยใช้ซอฟต์แวร์การจัดการข้อมูลผู้ใช้เพื่อควบคุมการเข้าสู่ระบบและรหัสผ่าน นึกถึงระบบการจัดการข้อมูลผู้ใช้ในฐานะผู้จัดการรหัสผ่านสำหรับองค์กร แทนที่จะพึ่งพาเจ้าหน้าที่ฝ่ายทรัพยากรบุคคลและพนักงานเพื่อจดจำและป้องกันชื่อผู้ใช้และรหัสผ่านสำหรับแต่ละแพลตฟอร์มที่ใช้สำหรับเงินเดือนประโยชน์การสรรหาการกำหนดตารางเวลา ฯลฯ พวกเขาสามารถใช้การเข้าสู่ระบบครั้งเดียวเพื่อเข้าถึงทุกสิ่ง การใส่ทุกอย่างไว้ในการเข้าสู่ระบบครั้งเดียวจะช่วยให้พนักงานที่อาจลืมรหัสผ่านไปยังระบบทรัพยากรบุคคลได้ง่ายขึ้นพวกเขาลงชื่อเข้าใช้เพียงไม่กี่ครั้งต่อปี (ทำให้พวกเขามีแนวโน้มที่จะจดบันทึกไว้ที่ไหน

บริษัท สามารถใช้ระบบจัดการการระบุเพื่อตั้งค่าการระบุสองปัจจัยสำหรับผู้ดูแลระบบทรัพยากรบุคคลหรือใช้การกำหนดตำแหน่งทางภูมิศาสตร์เพื่อ จำกัด การเข้าสู่ระบบดังนั้นผู้ดูแลระบบสามารถลงชื่อเข้าใช้จากสถานที่บางแห่งเท่านั้นเช่นสำนักงาน

“ ระดับความเสี่ยงด้านความปลอดภัยที่ยอมรับได้เหล่านี้สำหรับผู้คนที่แตกต่างกันและบทบาทที่แตกต่างกันไม่ใช่คุณสมบัติในระบบทรัพยากรบุคคล” Meyer OneLogin กล่าว

ผู้ค้าเทคโนโลยีฝ่ายทรัพยากรบุคคลและ บริษัท รักษาความปลอดภัยบนโลกไซเบอร์กำลังทำงานกับเทคนิคอื่น ๆ เพื่อป้องกันการโจมตีทางไซเบอร์ ในที่สุดพนักงานจำนวนมากจะเข้าสู่ระบบทรัพยากรบุคคลและระบบงานอื่น ๆ โดยใช้ไบโอเมตริกซ์เช่นสแกนลายนิ้วมือหรือจอตาซึ่งเป็นเรื่องยากสำหรับแฮกเกอร์ที่จะถอดรหัส ในอนาคตแพลตฟอร์มความปลอดภัยทางไซเบอร์อาจรวมถึงการเรียนรู้ของเครื่องซึ่งอนุญาตให้ซอฟต์แวร์ฝึกอบรมตัวเองเพื่อตรวจจับซอฟต์แวร์ที่เป็นอันตรายและกิจกรรมที่น่าสงสัยอื่น ๆ บนคอมพิวเตอร์หรือเครือข่ายตามการนำเสนอในการประชุม Black Hat

ฝ่ายทรัพยากรบุคคลจะต้องพึ่งพาการรับรู้ของตนเองฝึกอบรมพนักงานมาตรการรักษาความปลอดภัยที่มีอยู่และผู้ขายเทคโนโลยีทรัพยากรบุคคลที่พวกเขาทำงานด้วยเพื่อหลีกเลี่ยงปัญหาจนกว่าตัวเลือกเหล่านั้นจะมีให้ใช้อย่างแพร่หลาย