ハッカーが攻撃するとき、人的資源(HR)は最初に攻撃する場所の1つです。 HRは、従業員の名前、生年月日、住所、社会保障番号、W2フォームなど、ダークWebで販売可能なデータにHRスタッフがアクセスするため、人気のあるターゲットです。 この種の情報を手に入れるために、ハッカーはフィッシングから社内ドキュメントを求める企業幹部を装ったものまで、あらゆるものを使用します。
反撃するために、企業は安全なコンピューティングプロトコルに従う必要があります。 これには、人事担当者や他の従業員が詐欺に注意を払うよう訓練すること、データを保護するプラクティスを採用すること、クラウドベースのHRテクノロジーのベンダーを調査することが含まれます。 それほど遠くない将来には、生体認証と人工知能(AI)も役立ちます。
サイバー攻撃はなくなりません。 どちらかといえば、彼らは悪化しています。 あらゆる規模の企業はサイバー攻撃の影響を受けやすくなっています。 ただし、中小企業は、サイバー犯罪を監視することが唯一のタスクであるスタッフの人数が一般的に少ないため、最も危険にさらされる可能性があります。 大規模な組織は、IDが盗まれた従業員に数年分のクレジットレポートを支払うなど、攻撃に関連するコストを吸収できる可能性があります。 中小企業にとって、デジタル窃取の結果は壊滅的なものになる可能性があります。
HRデータ侵害の例を見つけるのは難しくありません。 5月、ハッカーはADPの顧客でソーシャルエンジニアリングと貧弱なセキュリティ慣行を使用して、従業員の社会保障番号やその他の人事データを盗みました。 2014年、Krebs on Securityによると、ハッカーはUltimate SoftwareのUltiPro給与およびHR管理スイートの不特定多数の顧客のログイン認証情報を悪用して、従業員データを盗み、不正な申告書を提出しました。
最近の数か月、多くの企業の人事部門は、W-2の税務フォームの捕鯨詐欺を受けています。 よく報告されたいくつかの事例では、給与部門と他の従業員は、会社の幹部からの文書の正当な要求のように見せかけのなりすましの手紙を受け取った後、ハッカーにW-2税情報を与えました。 3月、Seagate Technologyは、このような攻撃を通じて、「数千人」の現従業員および元従業員のW-2税務フォーム情報を誤って共有したと述べました。 その1か月前に、SnapChatは、給与部門の従業員が「多数」の現従業員および元従業員の給与データをCEO Evan Spiegelを装った詐欺師と共有したと述べました。 Wall Street Journalによると、Weight Watchers International、PerkinElmer Inc.、Bill Casper Golf、およびSprouts Farmers Market Inc.も同様の流行の犠牲になっています。
従業員を訓練する
潜在的な危険を従業員に知らせることは、第一の防衛線です。 従業員を訓練して、会社の幹部からの電子メールに含まれる要素または含まれない要素(通常は名前の署名方法など)を認識させます。 電子メールが要求していることに注意してください。 CFOが財務データを要求する理由はありません。たとえば、チャンスがあるので、すでにそれを持っているからです。
今週ラスベガスで開催されたBlack Hatサイバーセキュリティ会議のある研究者は、たとえ送信者を知っていても、メッセージが期待に合っていても、企業は従業員にすべての電子メールを疑うように言うと提案しました。 同じ研究者が、従業員が個々の電子メールメッセージが合法であることを確認するために非常に多くの時間を費やし、生産性を低下させると、フィッシング認識トレーニングが裏目に出ることを認めました。
サイバーセキュリティトレーニング会社KnowBe4が行った仕事が何らかの兆候である場合、意識向上トレーニングは効果的です。 KnowBe4は1年にわたって、定期的に300のクライアント企業の300, 000人の従業員にフィッシング攻撃のシミュレーションメールを送信しました。 彼らは、問題を示す可能性のある赤い旗を見つける方法について彼らを訓練するためにこれを行いました。 トレーニングの前に、従業員の16%がシミュレートされたフィッシングメールのリンクをクリックしました。 KnowBe4の創設者兼CEOであるStu Sjouwermanによると、わずか12か月後、その数は1%に減少しました。
クラウドにデータを保存する
フィッシング攻撃や捕鯨攻撃にエンドランをかけるもう1つの方法は、デスクトップやラップトップのドキュメントやフォルダーではなく、クラウドに企業情報を暗号化された形式で保存することです。 ドキュメントがクラウド内にある場合、従業員がフィッシングリクエストに陥ったとしても、ハッカーがアクセスできないファイルへのリンクを送信するだけです(必要な追加情報がないため)開くか、解読します)。 アイデンティティ管理システムを販売するサンフランシスコの会社であるOneLoginは、オフィスでのファイルの使用を禁止しています。OneLoginのCEOであるThomas Pedersenがブログで書いています。
「セキュリティ上の理由と生産性のためです」と、OneLoginの共同設立者で製品開発担当副社長のDavid Meyer氏は述べています。 「従業員のラップトップが盗まれたとしても、何も置かれていないので問題ではありません。」
Meyerは、ベンダーが提供するセキュリティプロトコルを理解するために、使用を検討しているHR技術プラットフォームを吟味することを企業に推奨しています。 ADPは、顧客を襲った最近の侵入についてコメントしません。 しかし、ADPの広報担当者は、フィッシングやマルウェアなどの一般的なサイバーセキュリティの問題を防ぐためのベストプラクティスについて、同社がクライアントや消費者に教育、意識向上トレーニング、情報を提供していると述べました。 広報担当者によると、ADP金融犯罪監視チームとクライアントサポートグループは、会社が詐欺または不正アクセスの試みが発生したことを検出すると、クライアントに通知します。 Ultimate Softwareは、2014年のUltiProユーザーへの攻撃の後、セキュリティに関するKrebsによると、顧客に多要素認証を導入するなど、同様の予防措置を講じています。
ビジネスの所在地によっては、適切な当局にデジタル侵入を報告する法的義務がある場合があります。 たとえば、カリフォルニアでは、企業には500人を超える従業員の名前が盗まれた場合に報告する義務があります。 Sjouwermanによると、弁護士に相談してあなたの義務が何であるかを知るのは良い考えです。
「あなたの環境を保護するために合理的な手段を講じることを要求する法的概念があり、もしあなたがそうしなければ、あなたは本質的に責任がある」と彼は言った。
アイデンティティ管理ソフトウェアを使用する
企業は、ID管理ソフトウェアを使用してログインとパスワードを制御することにより、HRシステムを保護できます。 ID管理システムは、企業のパスワードマネージャーと考えてください。 給与、福利厚生、採用、スケジューリングなどに使用する各プラットフォームのユーザー名とパスワードを記憶および保護するために、HRスタッフと従業員に頼る代わりに、シングルログインを使用してすべてにアクセスできます。 すべてを1回のログインで管理することで、年に数回しかログインしないHRシステムのパスワードを忘れる可能性のある従業員が簡単になります(どこかに書き留めたり、盗まれた可能性のある場所にオンラインで保管したりする傾向が高まります)。
企業は、ID管理システムを使用してHRシステム管理者の2要素認証を設定するか、ジオフェンシングを使用してログインを制限し、管理者がオフィスなどの特定の場所からのみサインインできるようにします。
「さまざまな人やさまざまな役割に対するこれらのセキュリティリスク許容レベルはすべて、HRシステムの機能ではありません」とOneLoginのMeyer氏は述べています。
人事技術ベンダーとサイバーセキュリティ企業は、サイバー攻撃を防ぐための他の手法に取り組んでいます。 最終的には、指紋や網膜スキャンなどのバイオメトリクスを使用して、より多くの従業員がHRやその他の作業システムにログインするようになります。 将来、サイバーセキュリティプラットフォームには、Black Hat会議でのプレゼンテーションによると、コンピューターまたはネットワーク上の悪意のあるソフトウェアやその他の疑わしいアクティビティを検出するためにソフトウェアがそれ自体を訓練できる機械学習が含まれる可能性があります。
これらのオプションがより広く利用できるようになるまで、人事部はトラブルを回避するために、従業員自身の認識、従業員のトレーニング、利用可能なセキュリティ対策、および協力する人事技術ベンダーに頼らなければなりません。
