Video: 8 Most Common Cybersecurity Threats | Types of Cyber Attacks | Cybersecurity for Beginners | Edureka (Nobyembre 2024)
Kapag ang pag-atake ng mga hacker, ang mga mapagkukunan ng tao (HR) ay isa sa mga unang lugar na tinamaan nila. Ang HR ay isang tanyag na target dahil sa pag-access ng mga kawani ng HR sa data na maaaring mabenta sa madilim na web, kasama ang mga pangalan ng mga empleyado, mga petsa ng kapanganakan, mga address, mga numero ng Social Security, at mga form ng W2. Upang makuha ang kanilang mga kamay sa ganoong uri ng impormasyon, ginagamit ng mga hacker ang lahat mula sa phishing hanggang sa pag-posing bilang mga executive ng kumpanya na humihiling ng mga panloob na dokumento - isang form ng phishing na tinatawag na "whaling" -pagsamantala sa mga kahinaan sa payroll na nakabase sa cloud at mga serbisyo ng tech tech.
Upang labanan muli, dapat sundin ng mga kumpanya ang mga ligtas na protocol ng computing. Kasama rito ang pagsasanay sa mga tao sa HR at iba pang mga empleyado na magbantay sa mga pandaraya, pag-ampon ng mga kasanayan na nagpoprotekta sa data, at pag-vetting ng mga nagtitinda ng teknolohiyang nakabase sa ulap na HR. Sa hindi masyadong malayo na hinaharap, ang biometrics at artipisyal na intelihente (AI) ay maaari ring makatulong.
Ang mga Cyberattacks ay hindi aalis; kung mayroon man, lalong lumala sila. Ang mga kumpanya ng lahat ng sukat ay madaling kapitan ng cyberattacks. Gayunman, ang mga maliliit na negosyo ay maaaring mapanganib dahil sa pangkalahatan ay mayroon silang mas kaunting mga tao sa mga kawani na ang nag-iisang gawain ay ang pagmasid sa cybercrime. Ang mga mas malalaking organisasyon ay maaaring makuha ang mga gastos na nauugnay sa isang pag-atake, kabilang ang pagbabayad para sa mga pares ng kredito ng mga ulat ng credit para sa mga empleyado na ang mga pagkakakilanlan ay ninakaw. Para sa mas maliliit na negosyo, ang mga kahihinatnan ng digital pilfering ay maaaring magwasak.
Hindi mahirap makahanap ng mga halimbawa ng mga paglabag sa data ng HR. Noong Mayo, ang mga hacker ay gumagamit ng social engineering at hindi magandang kasanayan sa seguridad sa mga customer ng ADP upang magnakaw ng mga numero ng Social Security ng kanilang mga empleyado at iba pang data ng tauhan. Noong 2014, pinagsasamantalahan ng mga hacker ang mga kredensyal ng pag-log-in sa isang hindi natukoy na bilang ng mga customer ng UltiPro payroll ng Ultimate Software at suite ng pamamahala ng HR upang magnakaw ng data ng empleyado at nagbabalik na mga tax return, ayon sa Krebs on Security.
Sa mga nagdaang buwan, ang mga departamento ng HR sa maraming mga kumpanya ay nasa pagtanggap ng pagtatapos ng W-2 tax form whaling scam. Sa maraming mga naiulat na mga pagkakataon, nagbigay ang departamento ng payroll at iba pang mga empleyado ng impormasyon ng buwis sa W-2 sa mga hacker matapos na makatanggap ng isang spoof letter na mukhang isang lehitimong kahilingan para sa mga dokumento mula sa isang executive ng kumpanya. Noong Marso, sinabi ng Seagate Technology na hindi sinasadyang ibinahagi nito ang impormasyon ng form ng buwis sa W-2 para sa "ilang libong" kasalukuyan at dating mga empleyado sa pamamagitan ng isang pag-atake. Isang buwan bago nito, sinabi ng SnapChat na isang empleyado sa departamento ng payroll ang nagbahagi ng data ng payroll para sa "isang bilang" ng kasalukuyan at dating empleyado sa isang scammer na nagmumula bilang CEO Evan Spiegel. Ang weight watchers International, PerkinElmer Inc., Bill Casper Golf, at Sprouts Farmers Market Inc. ay nabiktima din ng mga katulad na riot, ayon sa Wall Street Journal.
Mga empleyado sa Tren
Ang paggawa ng kamalayan ng mga empleyado ng mga potensyal na panganib ay ang unang linya ng pagtatanggol. Kilalanin ang mga empleyado ng tren na kilalanin ang mga elemento na nais o hindi isasama sa mga email mula sa mga executive ng kumpanya, tulad ng kung paano nila karaniwang nilagdaan ang kanilang pangalan. Bigyang-pansin ang hinihiling ng email. Walang dahilan para sa isang CFO na humingi ng data sa pananalapi, halimbawa, dahil ang mga pagkakataon, mayroon na sila.
Ang isang mananaliksik sa kumperensya ng Black Hat cybersecurity sa Las Vegas sa linggong ito ay iminungkahi na sabihin ng mga negosyo sa kanilang mga empleyado na maging kahina-hinala sa lahat ng email, kahit alam nila ang nagpadala o kung ang mensahe ay umaangkop sa kanilang mga inaasahan. Inamin din ng parehong mananaliksik na ang pagsasanay sa kamalayan sa phishing ay maaaring mag-backfire kung ang mga empleyado ay gumugol ng maraming oras sa pagsuri upang matiyak na ang mga indibidwal na mensahe ng email ay lehitimo na binabawasan nito ang kanilang pagiging produktibo.
Ang pagsasanay sa kamalayan ay maaaring maging epektibo, kung ang nagawa na kumpanya ng pagsasanay sa cybersecurity na alam na may kamalayan ay ang anumang indikasyon. Sa paglipas ng isang taon, nagpadala ang KnowBe4 ng simulate na pag-atake ng phishing na pag-atake sa 300, 000 empleyado sa 300 mga kumpanya ng kliyente sa isang regular na batayan; ginawa nila ito upang sanayin sila kung paano makita ang mga pulang bandila na maaaring mag-signal ng isang problema. Bago ang pagsasanay, 16 porsyento ng mga empleyado ang nag-click sa mga link sa kunwa ng phishing emails. Pagkalipas lamang ng 12 buwan, ang bilang na iyon ay bumaba sa 1 porsyento, ayon sa tagapagtatag ng KnowBe4 at CEO na si Stu Sjouwerman.
I-imbak ang Data sa Cloud
Ang isa pang paraan upang magawa ang pag-atake sa phishing o whaling ay sa pamamagitan ng pagpapanatili ng impormasyon ng kumpanya sa naka-encrypt na form sa ulap sa halip na sa mga dokumento o folder sa mga desktop o laptop. Kung ang mga dokumento ay nasa ulap, kahit na ang isang empleyado ay bumagsak para sa isang kahilingan sa phishing, magpapadala lamang sila ng isang link sa isang file na hindi mai-access ng isang hacker (dahil hindi sila magkakaroon ng karagdagang impormasyon na kailangan nila upang buksan o i-decrypt ito). Ang OneLogin, isang kumpanya ng San Francisco na nagbebenta ng mga sistema ng pamamahala ng pagkakakilanlan, ay nagbabawal sa paggamit ng mga file sa opisina nito, ang isang featLog na CEO na si Thomas Pedersen ay nag-blog tungkol sa.
"Ito ay para sa mga kadahilanang pangseguridad pati na rin ang pagiging produktibo, " sabi ni David Meyer, cofounder ng OneLogin at Bise Presidente ng Product Development. "Kung ang laptop ng isang empleyado ay ninakaw, hindi mahalaga dahil wala dito."
Pinapayuhan ni Meyer ang mga negosyo na ma-vet ang mga platform ng tech tech na isinasaalang-alang nila na gamitin upang maunawaan kung ano ang mga protocol ng seguridad na inaalok ng mga vendor. Ang ADP ay hindi magkomento sa kamakailang break-in na tumama sa mga customer nito. Gayunpaman, sinabi ng isang tagapagsalita ng ADP na ang kumpanya ay nagbibigay ng edukasyon, pagsasanay sa kamalayan, at impormasyon sa mga kliyente at mga mamimili sa mga pinakamahusay na kasanayan upang maiwasan ang mga karaniwang isyu sa cybersecurity, tulad ng phishing at malware. Ang isang ADP pinansyal na kriminal na pagsubaybay sa koponan at mga grupo ng suporta sa kliyente ay nag-abiso sa mga kliyente kapag nakita ng kumpanya ang pandaraya o tinangka ang pandaraya na pag-access, nangyari ayon sa tagapagsalita. Inilalagay din ng Ultimate Software ang mga katulad na pag-iingat sa lugar pagkatapos ng pag-atake sa mga gumagamit ng UltiPro noong 2014, kasama na ang pag-institute ng multi-factor na pagpapatotoo para sa mga customer nito, ayon sa Krebs on Security.
Depende sa kung saan matatagpuan ang iyong negosyo, maaari kang magkaroon ng isang ligal na obligasyon na mag-ulat ng digital break-in sa mga tamang awtoridad. Sa California, halimbawa, ang mga kumpanya ay may obligasyong mag-ulat kung higit sa 500 mga pangalan ng mga empleyado ang ninakaw. Mahusay na kumunsulta sa isang abogado upang malaman kung ano ang iyong mga tungkulin, ayon kay Sjouwerman.
"Mayroong isang legal na konsepto na nangangailangan sa iyo na gumawa ng makatuwirang mga hakbang upang maprotektahan ang iyong kapaligiran, at kung hindi mo, mahalagang mananagot ka, " aniya.
Gumamit ng Pamamahala ng Identity Software
Ang mga kumpanya ay maaaring maprotektahan ang mga sistema ng HR sa pamamagitan ng paggamit ng software management management upang makontrol ang mga log-in at password. Mag-isip ng mga sistema ng pamamahala ng pagkakakilanlan bilang mga tagapamahala ng password para sa negosyo. Sa halip na umasa sa mga kawani ng HR at empleyado na alalahanin at protektahan ang mga usernames at password para sa bawat platform na ginagamit nila para sa payroll, benepisyo, recruiting, pag-iskedyul, atbp, maaari silang gumamit ng isang solong pag-log-in upang ma-access ang lahat. Ang paglalagay ng lahat sa ilalim ng isang pag-log-in ay maaaring gawing mas madali para sa mga empleyado na maaaring makalimutan ang mga password sa mga sistemang HR na sila ay nag-log lamang sa ilang beses sa isang taon (na ginagawang mas mahilig silang isulat sa isang lugar o itago ang mga ito online kung saan maaari silang magnakaw).
Ang mga kumpanya ay maaaring gumamit ng isang sistema ng pamamahala ng pagkilala upang mag-set up ng dalawang-factor na pagkakakilanlan para sa mga administrator ng HR system o gumamit ng geofencing upang paghigpitan ang mga log-in upang ang mga admin ay maaari lamang mag-sign mula sa isang tiyak na lokasyon, tulad ng opisina.
"Ang lahat ng mga antas ng panganib sa pagpaparaya sa seguridad para sa iba't ibang mga tao at iba't ibang mga tungkulin ay hindi tampok sa mga sistema ng HR, " sabi ni OneLogin's Meyer.
Ang mga nagtitinda ng tech tech at mga kumpanya ng cybersecurity ay nagtatrabaho sa iba pang mga pamamaraan upang maiwasan ang mga cyberattacks. Kalaunan, mas maraming mga empleyado ang mag-log in sa HR at iba pang mga sistema ng pagtatrabaho sa pamamagitan ng paggamit ng biometrics tulad ng mga fingerprint o retina scans, na mas mahirap para sa mga hacker na pumutok. Sa hinaharap, ang mga platform ng cybersecurity ay maaaring magsama ng pag-aaral ng machine na nagbibigay-daan sa software ng tren mismo upang makita ang nakakahamak na software at iba pang kahina-hinalang aktibidad sa mga computer o network, ayon sa isang pagtatanghal sa komperensya ng Black Hat.
Hanggang sa mas malawak na magagamit ang mga pagpipiliang ito, ang mga departamento ng HR ay kailangang umasa sa kanilang sariling kamalayan, mga empleyado sa pagsasanay, magagamit na mga panukala sa seguridad, at ang mga nagtitinda sa tech tech na kanilang pinagtatrabahuhan upang maiwasan ang gulo.
