كيفية حماية تكنولوجيا الموارد البشرية الخاصة بك من الهجمات الإلكترونية

عندما يهاجم المتسللون ، فإن الموارد البشرية (HR) هي واحدة من الأماكن الأولى التي ضربوها. الموارد البشرية هدف شائع بسبب وصول موظفي الموارد البشرية إلى البيانات القابلة للتسويق على شبكة الإنترنت المظلمة ، بما في ذلك أسماء الموظفين وتواريخ الميلاد والعناوين وأرقام الضمان الاجتماعي ونماذج W2. للاستفادة من هذا النوع من المعلومات ، يستخدم المتسللون كل شيء بدءًا من التصيد الاحتيالي إلى التظاهر كمسؤولين تنفيذيين في الشركة يطلبون مستندات داخلية - شكل من أشكال التصيد الاحتيالي الذي يطلق عليه "صيد الحيتان" - لاستغلال نقاط الضعف في خدمات الرواتب القائمة على السحابة وخدمات تكنولوجيا الموارد البشرية.

للرد ، يتعين على الشركات اتباع بروتوكولات الحوسبة الآمنة. يتضمن ذلك تدريب موظفي الموارد البشرية والموظفين الآخرين ليكونوا على أهبة الاستعداد للاحتيال ، واعتماد الممارسات التي تحمي البيانات ، وتدقيق البائعين من تكنولوجيا الموارد البشرية القائمة على السحابة. في المستقبل غير البعيد ، قد تساعد أيضًا القياسات الحيوية والذكاء الاصطناعي (AI).

الهجمات الإلكترونية لا تزول ؛ إذا كان أي شيء ، فإنهم يزدادون سوءًا. الشركات من جميع الأحجام عرضة للهجمات الإلكترونية. على الرغم من ذلك ، قد تكون الشركات الصغيرة في خطر كبير لأن لديها عمومًا عددًا أقل من الموظفين الذين تتمثل مهمتهم الوحيدة في مراقبة الجرائم الإلكترونية. قد تتمكن المنظمات الأكبر حجمًا من استيعاب التكاليف المرتبطة بالهجوم ، بما في ذلك دفع تقارير ائتمانية قيمتها بضع سنوات للموظفين الذين سُرقت هوياتهم. بالنسبة للمؤسسات الصغيرة ، قد تكون عواقب السرقة الرقمية مدمرة.

ليس من الصعب العثور على أمثلة لانتهاكات بيانات الموارد البشرية. في شهر مايو ، استخدم المتسللين ممارسات الهندسة الاجتماعية وسوء الأمن في عملاء ADP لسرقة أرقام الضمان الاجتماعي لموظفيهم وبيانات الموظفين الأخرى. في عام 2014 ، قام المتسللون باستغلال بيانات اعتماد تسجيل الدخول لدى عدد غير محدد من العملاء في مجموعة كشوف المرتبات وإدارة الموارد البشرية من أولتي برو من Ultimate Software لسرقة بيانات الموظفين وتقديم إقرارات ضريبية مخادعة ، وفقًا لكريبس أون سيكيوريتي.

في الأشهر الأخيرة ، كانت إدارات الموارد البشرية في العديد من الشركات في الطرف المتلقي من نموذج W-2 الضريبي الحيل صيد الحيتان. في العديد من الحالات التي تم الإبلاغ عنها جيدًا ، قدمت إدارة كشوف المرتبات والموظفين الآخرين معلومات W-2 الضريبية للمتسللين بعد تلقي خطاب خداعي بدا وكأنه طلب شرعي للحصول على مستندات من مدير تنفيذي للشركة. في مارس ، قالت Seagate Technology إنها تشاركت عن غير قصد معلومات النموذج الضريبي W-2 لـ "عدة آلاف" من الموظفين الحاليين والسابقين من خلال هذا الهجوم. وقبل شهر من ذلك ، قال سناب شات إن موظفًا في قسم كشوف المرتبات الخاص به قام بمشاركة بيانات كشوف المرتبات لـ "عدد" من الموظفين الحاليين والسابقين إلى محتال يمثل الرئيس التنفيذي إيفان شبيجل. كانت كل من شركات Watch Weight International ، و PerkinElmer Inc. ، و Bill Casper Golf ، و Sprouts Farmers Market Inc. ، ضحايا لعمليات مماثلة ، وفقًا لصحيفة وول ستريت جورنال.

تدريب الموظفين

إن جعل الموظفين على دراية بالمخاطر المحتملة هو خط الدفاع الأول. تدريب الموظفين على التعرف على العناصر التي سيتم إدراجها أو عدم إدراجها في رسائل البريد الإلكتروني من المديرين التنفيذيين للشركة ، مثل كيفية توقيع أسمائهم عادةً. انتبه لما يطلبه البريد الإلكتروني. لا يوجد سبب يدعو المدير المالي إلى طلب بيانات مالية ، على سبيل المثال ، لأن الفرص موجودة بالفعل.

اقترح أحد الباحثين في مؤتمر Black Hat للأمن السيبراني في لاس فيجاس هذا الأسبوع أن تخبر الشركات موظفيها بالريبة من كل البريد الإلكتروني ، حتى لو كانوا يعرفون المرسل أو إذا كانت الرسالة تتناسب مع توقعاتهم. اعترف هذا الباحث نفسه بأن التدريب على التوعية بالخداع يمكن أن يأتي بنتائج عكسية إذا كان الموظفون يقضون الكثير من الوقت في التحقق للتأكد من أن رسائل البريد الإلكتروني الفردية شرعية تؤدي إلى انخفاض إنتاجيتهم.

يمكن أن يكون التدريب على التوعية فعالاً ، إذا كانت شركة التدريب على الأمن السيبراني التي قامت بها KnowBe4 هي أي إشارة. على مدار عام ، أرسلت KnowBe4 رسائل بريد إلكتروني عن هجمات التصيد الاحتيالي المحاكاة إلى 300000 موظف في 300 شركة عميل بشكل منتظم ؛ لقد فعلوا ذلك لتدريبهم على كيفية اكتشاف الأعلام الحمراء التي يمكن أن تشير إلى وجود مشكلة. قبل التدريب ، نقر 16 في المائة من الموظفين على روابط في رسائل البريد الإلكتروني المخادعة المحاكاة. بعد 12 شهرًا فقط ، انخفض هذا الرقم إلى 1 بالمائة ، وفقًا لمؤسس KnowBe4 والرئيس التنفيذي لشركة Stu Sjouwerman.

تخزين البيانات في السحابة

هناك طريقة أخرى للقيام بجولة نهائية حول هجمات التصيد أو صيد الحيتان وهي الاحتفاظ بمعلومات الشركة في شكل مشفر في السحابة بدلاً من المستندات أو المجلدات على أجهزة سطح المكتب أو أجهزة الكمبيوتر المحمولة. في حالة وجود مستندات في السحابة ، حتى إذا وقع موظف على طلب تصيد احتيالي ، فسيكون فقط إرسال رابط إلى ملف لن يتمكن المتطفل من الوصول إليه (لأنه لن يكون لديه المعلومات الإضافية التي يحتاجها ل فتح أو فك تشفيرها). لقد حظرت OneLogin ، وهي شركة في سان فرانسيسكو تبيع أنظمة إدارة الهوية ، استخدام الملفات في مكتبها ، وهو مدون قدمه المدير التنفيذي لشركة OneLogin Thomas Pedersen.

وقال ديفيد ماير ، أحد مؤسسي OneLogin ونائب رئيس قسم تطوير المنتجات: "إنها لأسباب أمنية بالإضافة إلى الإنتاجية". "إذا سُرق جهاز كمبيوتر محمول لأحد الموظفين ، فهذا لا يهم لأنه لا يوجد شيء فيه".

تنصح ماير الشركات بفحص برامج تقنية الموارد البشرية التي تفكر في استخدامها لفهم بروتوكولات الأمان التي يقدمها البائعون. لن تعلق ADP على الاختراقات الأخيرة التي أصابت عملائها. ومع ذلك ، قال متحدث باسم ADP إن الشركة توفر التعليم والتدريب على الوعي والمعلومات للعملاء والمستهلكين حول أفضل الممارسات لمنع مشكلات الأمن السيبراني الشائعة ، مثل الخداع والبرامج الضارة. يقوم فريق مراقبة الجرائم المالية ومجموعات دعم العملاء في ADP بإخطار العملاء عندما تكتشف الشركة حدوث عمليات احتيال أو محاولة وصول مخادعة ، وفقًا للمتحدث. كما وضعت Ultimate Software احتياطات مماثلة في مكانها بعد الهجمات على مستخدمي UltiPro في عام 2014 ، بما في ذلك إنشاء مصادقة متعددة العوامل لعملائها ، وفقًا لـ Krebs on Security.

بناءً على مكان عملك ، قد يكون عليك التزام قانوني بإبلاغ السلطات المختصة عن الأعطال الرقمية. في كاليفورنيا ، على سبيل المثال ، تلتزم الشركات بالإبلاغ عند سرقة أكثر من 500 موظف. من المستحسن استشارة محامٍ لمعرفة واجباتك ، وفقًا لسجويرمان.

وقال "هناك مفهوم قانوني يتطلب منك اتخاذ تدابير معقولة لحماية البيئة الخاصة بك ، وإذا لم تفعل ، فأنت مسؤول بشكل أساسي".

استخدام برنامج إدارة الهوية

يمكن للشركات حماية أنظمة الموارد البشرية باستخدام برنامج إدارة الهوية للتحكم في عمليات تسجيل الدخول وكلمات المرور. فكر في أنظمة إدارة الهوية كمديري كلمة مرور للمشروع. بدلاً من الاعتماد على موظفي الموارد البشرية والموظفين لتذكر وحماية أسماء المستخدمين وكلمات المرور لكل منصة يستخدمونها في كشوف المرتبات ، والفوائد ، والتوظيف ، والجدولة ، وما إلى ذلك ، يمكنهم استخدام تسجيل دخول واحد للوصول إلى كل شيء. إن وضع كل شيء تحت تسجيل دخول واحد يمكن أن يسهل على الموظفين الذين قد ينسون كلمات المرور لأنظمة الموارد البشرية ، أنهم يسجلون الدخول عدة مرات فقط في السنة (مما يجعلهم أكثر ميلًا لكتابتهم في مكان ما أو تخزينهم على الإنترنت حيث يمكن سرقتهم).

يمكن للشركات استخدام نظام تحديد الهوية لإعداد تعريف ثنائي العوامل لمسؤولي نظام الموارد البشرية أو استخدام geofencing لتقييد عمليات تسجيل الدخول بحيث يمكن للمسؤولين تسجيل الدخول فقط من موقع معين ، مثل المكتب.

وقال ماير في OneLogin: "كل مستويات تحمل المخاطر الأمنية للأشخاص المختلفين والأدوار المختلفة ليست ميزات في أنظمة الموارد البشرية".

يعمل بائعو تكنولوجيا الموارد البشرية وشركات الأمن السيبراني على تقنيات أخرى لمنع الهجمات الإلكترونية. في نهاية المطاف ، سوف يقوم المزيد من الموظفين بتسجيل الدخول إلى الموارد البشرية وأنظمة العمل الأخرى باستخدام القياسات الحيوية مثل فحص بصمات الأصابع أو شبكية العين ، والتي تكون أكثر صرامة بالنسبة للمتطفلين للقضاء عليها. في المستقبل ، قد تشمل منصات الأمن السيبراني التعلم الآلي الذي يتيح للبرامج تدريب نفسها على اكتشاف البرامج الضارة والنشاطات المشبوهة الأخرى على أجهزة الكمبيوتر أو الشبكات ، وفقًا للعرض التقديمي في مؤتمر القبعة السوداء.

وإلى أن تتوفر هذه الخيارات على نطاق أوسع ، سيتعين على إدارات الموارد البشرية الاعتماد على وعيها وتدريب الموظفين وتدابير الأمان المتاحة وبائعي تقنية الموارد البشرية الذين يعملون معهم لتجنب المتاعب.