Video: Cá sấu mất ná»a bá» hà m sau khi bại tráºn trÆ°á»c Äá»ng loại (Tháng Chín 2024)
Khi tin tặc tấn công, nguồn nhân lực (HR) là một trong những nơi đầu tiên chúng tấn công. Nhân sự là mục tiêu phổ biến vì nhân viên nhân sự truy cập vào dữ liệu có thể bán được trên web tối, bao gồm tên nhân viên, ngày sinh, địa chỉ, số An sinh xã hội và biểu mẫu W2. Để có được thông tin đó, tin tặc sử dụng mọi thứ từ lừa đảo đến giả làm giám đốc điều hành công ty yêu cầu tài liệu nội bộ. Một hình thức lừa đảo gọi một số "lừa đảo" để khai thác lỗ hổng trong dịch vụ công nghệ nhân sự và tiền lương trên nền tảng đám mây.
Để chống lại, các công ty phải tuân theo các giao thức điện toán an toàn. Điều đó bao gồm đào tạo nhân sự và các nhân viên khác để cảnh giác với những trò gian lận, áp dụng các biện pháp bảo vệ dữ liệu và kiểm tra các nhà cung cấp công nghệ nhân sự dựa trên đám mây. Trong tương lai không xa, sinh trắc học và trí tuệ nhân tạo (AI) cũng có thể giúp ích.
Các cuộc tấn công mạng sẽ không biến mất; nếu bất cứ điều gì, họ đang trở nên tồi tệ hơn. Các công ty thuộc mọi quy mô dễ bị tấn công mạng. Tuy nhiên, các doanh nghiệp nhỏ có thể gặp rủi ro lớn nhất vì họ thường có ít nhân viên hơn, nhiệm vụ duy nhất là để mắt đến tội phạm mạng. Các tổ chức lớn hơn có thể có thể hấp thụ các chi phí liên quan đến một cuộc tấn công, bao gồm thanh toán cho các báo cáo tín dụng trị giá một vài năm cho các nhân viên có danh tính đã bị đánh cắp. Đối với các doanh nghiệp nhỏ hơn, hậu quả của việc ăn cắp kỹ thuật số có thể là tàn phá.
Không khó để tìm thấy các ví dụ về vi phạm dữ liệu nhân sự. Vào tháng 5, tin tặc đã sử dụng kỹ thuật xã hội và thực hành bảo mật kém tại các khách hàng của ADP để đánh cắp số An sinh xã hội của nhân viên và dữ liệu nhân sự khác. Vào năm 2014, tin tặc đã khai thác thông tin đăng nhập tại một số lượng khách hàng không xác định của bộ quản lý nhân sự và biên chế UltiPro của Ultimate Software để đánh cắp dữ liệu của nhân viên và khai thuế gian lận, theo Krebs on Security.
Trong những tháng gần đây, các bộ phận nhân sự tại nhiều công ty đã chấm dứt các vụ lừa đảo đánh bắt cá voi bằng thuế W-2. Trong một số trường hợp được báo cáo tốt, bộ phận biên chế và các nhân viên khác đã cung cấp thông tin thuế W-2 cho tin tặc sau khi nhận được một lá thư giả mạo trông giống như một yêu cầu hợp pháp cho các tài liệu từ một giám đốc điều hành công ty. Vào tháng 3, Seagate Technology cho biết họ đã vô tình chia sẻ thông tin mẫu thuế W-2 cho "vài nghìn" nhân viên hiện tại và cựu nhân viên thông qua một cuộc tấn công như vậy. Một tháng trước đó, SnapChat cho biết một nhân viên trong bộ phận biên chế đã chia sẻ dữ liệu bảng lương cho "một số" nhân viên hiện tại và cựu nhân viên cho một kẻ lừa đảo giả làm CEO Evan Spiegel. Tổ chức Trọng lượng Quốc tế, PerkinElmer Inc., Bill Casper Golf và Sprouts Farmers Market Inc. cũng là nạn nhân của những vụ lừa đảo tương tự, theo Wall Street Journal.
Đào tạo nhân viên
Làm cho nhân viên nhận thức được những nguy hiểm tiềm tàng là hàng phòng thủ đầu tiên. Huấn luyện nhân viên nhận ra các yếu tố sẽ hoặc không bao gồm trong email từ các giám đốc điều hành của công ty, chẳng hạn như cách họ thường ký tên. Hãy chú ý đến những gì email đang yêu cầu. Chẳng có lý do gì để một giám đốc tài chính yêu cầu dữ liệu tài chính, chẳng hạn, bởi vì rất có thể, họ đã có nó.
Một nhà nghiên cứu tại hội nghị an ninh mạng Black Hat ở Las Vegas tuần này đề nghị các doanh nghiệp nói với nhân viên của họ nghi ngờ tất cả các email, ngay cả khi họ biết người gửi hoặc nếu tin nhắn phù hợp với mong đợi của họ. Cũng chính nhà nghiên cứu này đã thừa nhận việc đào tạo nâng cao nhận thức lừa đảo có thể gây tác dụng ngược nếu nhân viên dành quá nhiều thời gian để kiểm tra để đảm bảo các email cá nhân là hợp pháp khiến nó giảm năng suất.
Đào tạo nâng cao nhận thức có thể có hiệu quả, nếu công ty đào tạo an ninh mạng làm việc mà knowBe4 đã thực hiện là bất kỳ dấu hiệu nào. Trong suốt một năm, KnowBe4 đã gửi các email tấn công lừa đảo giả lập cho 300.000 nhân viên tại 300 công ty khách hàng một cách thường xuyên; họ đã làm điều này để huấn luyện họ cách phát hiện những lá cờ đỏ có thể báo hiệu một vấn đề. Trước khi đào tạo, 16 phần trăm nhân viên đã nhấp vào liên kết trong các email lừa đảo mô phỏng. Chỉ 12 tháng sau, con số đó đã giảm xuống còn 1%, theo người sáng lập và CEO của KnowBe4, Stu Sjouwerman.
Lưu trữ dữ liệu trên đám mây
Một cách khác để thực hiện một cuộc tấn công cuối cùng xung quanh các cuộc tấn công lừa đảo hoặc săn bắt cá voi là giữ thông tin công ty ở dạng mã hóa trên đám mây thay vì trong các tài liệu hoặc thư mục trên máy tính để bàn hoặc máy tính xách tay. Nếu tài liệu trên đám mây, ngay cả khi nhân viên rơi vào yêu cầu lừa đảo, họ sẽ chỉ gửi một liên kết đến tệp mà tin tặc không thể truy cập (vì họ sẽ không có thêm thông tin cần thiết để mở hoặc giải mã nó). OneLogin, một công ty ở San Francisco bán các hệ thống quản lý danh tính, đã cấm sử dụng các tệp trong văn phòng của mình, một giám đốc điều hành của OneLogin, Thomas Pedersen đã viết blog.
"Đó là vì lý do bảo mật cũng như năng suất", David Meyer, đồng sáng lập của OneLogin và Phó chủ tịch phát triển sản phẩm cho biết. "Nếu máy tính xách tay của nhân viên bị đánh cắp, điều đó không thành vấn đề vì không có gì trên đó."
Meyer khuyên các doanh nghiệp nên kiểm tra các nền tảng công nghệ nhân sự mà họ đang xem xét sử dụng để hiểu các giao thức bảo mật mà các nhà cung cấp cung cấp. ADP sẽ không bình luận về những đột phá gần đây đánh vào khách hàng của mình. Tuy nhiên, một phát ngôn viên của ADP đã nói rằng công ty cung cấp giáo dục, đào tạo nâng cao nhận thức và thông tin cho khách hàng và người tiêu dùng về các thực tiễn tốt nhất để ngăn chặn các vấn đề an ninh mạng phổ biến, như lừa đảo và phần mềm độc hại. Một nhóm theo dõi tội phạm tài chính ADP và các nhóm hỗ trợ khách hàng thông báo cho khách hàng khi công ty phát hiện gian lận hoặc cố gắng truy cập gian lận đã xảy ra, theo người phát ngôn. Phần mềm Ultimate cũng đưa ra các biện pháp phòng ngừa tương tự sau các cuộc tấn công vào người dùng UltiPro vào năm 2014, bao gồm cả việc xác thực đa yếu tố cho khách hàng của mình, theo Krebs on Security.
Tùy thuộc vào vị trí doanh nghiệp của bạn, bạn có thể có nghĩa vụ pháp lý báo cáo các đột nhập kỹ thuật số cho các cơ quan thích hợp. Ví dụ, tại California, các công ty có nghĩa vụ báo cáo khi hơn 500 tên nhân viên đã bị đánh cắp. Đó là một ý tưởng tốt để tham khảo ý kiến một luật sư để tìm hiểu nhiệm vụ của bạn là gì, theo Sjouwerman.
"Có một khái niệm pháp lý đòi hỏi bạn phải thực hiện các biện pháp hợp lý để bảo vệ môi trường của bạn và nếu bạn không, về cơ bản bạn phải chịu trách nhiệm", ông nói.
Sử dụng phần mềm quản lý danh tính
Các công ty có thể bảo vệ các hệ thống nhân sự bằng cách sử dụng phần mềm quản lý danh tính để kiểm soát đăng nhập và mật khẩu. Hãy nghĩ về hệ thống quản lý danh tính như người quản lý mật khẩu cho doanh nghiệp. Thay vì dựa vào nhân viên và nhân viên của HR để ghi nhớ và bảo vệ tên người dùng và mật khẩu của mỗi nền tảng họ sử dụng cho bảng lương, lợi ích, tuyển dụng, lên lịch, v.v., họ có thể sử dụng một lần đăng nhập để truy cập mọi thứ. Đặt mọi thứ dưới một lần đăng nhập có thể giúp nhân viên quên mật khẩu vào hệ thống nhân sự dễ dàng hơn, họ chỉ đăng nhập vài lần một năm (khiến họ có xu hướng viết chúng xuống một nơi nào đó hoặc lưu trữ trực tuyến nơi họ có thể bị đánh cắp).
Các công ty có thể sử dụng hệ thống quản lý nhận dạng để thiết lập nhận dạng hai yếu tố cho quản trị viên hệ thống nhân sự hoặc sử dụng tính năng định vị địa lý để hạn chế đăng nhập để quản trị viên chỉ có thể đăng nhập từ một vị trí nhất định, chẳng hạn như văn phòng.
"Tất cả các mức độ chấp nhận rủi ro bảo mật cho những người khác nhau và các vai trò khác nhau không có trong các hệ thống nhân sự", Meyer của OneLogin nói.
Các nhà cung cấp công nghệ nhân sự và các công ty an ninh mạng đang nghiên cứu các kỹ thuật khác để ngăn chặn các cuộc tấn công mạng. Cuối cùng, nhiều nhân viên sẽ đăng nhập vào HR và các hệ thống làm việc khác bằng cách sử dụng sinh trắc học như quét vân tay hoặc võng mạc, khó khăn hơn cho tin tặc bẻ khóa. Trong tương lai, các nền tảng an ninh mạng có thể bao gồm học máy cho phép phần mềm tự đào tạo để phát hiện phần mềm độc hại và hoạt động đáng ngờ khác trên máy tính hoặc mạng, theo một bài thuyết trình tại hội nghị Black Hat.
Cho đến khi những lựa chọn đó có sẵn rộng rãi hơn, các bộ phận nhân sự sẽ phải dựa vào nhận thức của chính họ, đào tạo nhân viên, các biện pháp bảo mật có sẵn và các nhà cung cấp công nghệ nhân sự mà họ làm việc để tránh rắc rối.
