Niektóre profesje są bardziej podatne na cyberzagrożenia niż inne, a profil firmy nie ma tu znaczenia. Dziś skupimy się na cyberzagrożeniach wymierzonych w osoby pracujące w dziale zasobów ludzkich. Najprostszy, choć z pewnością nie jedyny powód ataków, jest prosty: adresy e-mail pracowników działu kadrowego są często dostępne na stronach firmowych na potrzeby rekrutacji, a zatem łatwo je znaleźć.
Cyberzagrożenia, jakie atakują działy kadrowe
W działach odpowiadających za zasoby ludzkie pracownicy otrzymują mnóstwo korespondencji z zewnątrz, a równocześnie mają dostęp do danych osobowych, których firma musi strzec.
Poczta przychodząca
Zwykle cyberprzestępcy przedostają się do sieci firmowej poprzez wysłanie wiadomości e-mail zawierającej szkodliwy załącznik lub link. Z tego względu zawsze radzimy naszym czytelnikom, aby nie otwierali podejrzanych e-maili z załącznikami ani nie klikali łączy otrzymanych od nieznanych osób prywatnych. Jeśli chodzi o pracowników działu kadrowego, porada ta jest nietrafiona: większość e-maili pochodzi najczęściej od osób obcych, a wiele z nich zawiera załączniki z życiorysem (czasami też łączem do przykładowych prac). Jak można podejrzewać, co najmniej połowa z nich wygląda podejrzanie.
Co więcej, portfolia lub próbki władnych prac czasami mają nietypowy format; na przykład są to mocno specjalistyczne pliki programu CAD. Charakter tej akurat pracy wymaga, aby pracownicy działu kadr otwierali i przeglądali zawartość takich plików. Nawet jeśli na moment zapomnimy, że cyberprzestępcy czasami ukrywają prawdziwe przeznaczenie pliku poprzez zmianę jego rozszerzenia (np. plik CAD, zdjęcia jako RAW, DOC lub EXE), jest jeszcze inna kwestia: nie wszystkie programy są aktualizowane i nie wszystkie są gruntowanie sprawdzane pod kątem luk w zabezpieczeniach. Eksperci często znajdują luki w bezpieczeństwie, które umożliwiają uruchomienie dowolnego kodu nawet w szeroko rozpowszechnionym, regularnie analizowanym oprogramowaniu, takim jak Microsoft Office.
Dostęp do danych osobowych
W dużych firmach za komunikację z osobami poszukującymi pracy, jak również z obecnymi pracownikami, odpowiedzialnych może być wielu specjalistów, jednak w przypadku małych firm zwykle zajmuje się tym jedna osoba. Najczęściej ma ona dostęp do wszystkich danych osobowych, które posiada firma.
Gdy ktoś chce przysporzyć firmie kłopotów, zwykle wystarczy włamanie do skrzynki pocztowej specjalisty od zasobów ludzkich. Osoby ubiegające się o pracę, które wysłały do wymarzonej firmy życiorys, mogą zgodzić się na przetwarzanie i przechowywanie ich danych osobowych, ale z pewnością nie zgadzają się na przekazywanie ich dalej, nie wiadomo komu. Cyberprzestępcy mogą wykorzystać dostęp do takich informacji w celu szantażu.
A jeśli mowa już o wymuszeniach, należy tu wspomnieć także o ransomware. Często przed pozbawieniem właściciela dostępu do danych najnowsze odmiany tego zagrożenia najpierw je kradną. Jeśli taki szkodliwy program trafi na komputer osoby z działu kadrowego, złodzieje uzyskają dostęp do morza danych osobowych.
Punkt zaczepienia dla bardziej przekonujących ataków BEC
Liczenie na to, że pracownicy będą rozsądnie i ostrożnie traktować wszelkie podejrzane e-maile, nie jest najlepszym podejściem. Teraz najczęściej stosowany jest trudniejszy, ale skuteczniejszy atak typu business e-mail compromise (BEС). Często jego celem jest przejęcie kontroli nad skrzynką pocztową pracownika i przekonanie jego współpracowników, aby przesłali pieniądze lub przekazali informacje poufne. Aby zwiększyć szansę powodzenia, cyberprzestępcy muszą przechwycić konto pocztowe kogoś, kogo polecenia zostaną z dużym prawdopodobieństwem spełnione — najczęściej jest to dyrektor. Faza aktywna takiej operacji jest poprzedzona długim i żmudnym zadaniem szukania odpowiednio wysoko postawionego pracownika. W tej sytuacji bardzo przydatny okazuje się dostęp do skrzynki pocztowej pracownika działu kadr.
Z punktu widzenia cyberprzestępców łatwiej jest, aby to właśnie dział kadrowy otrzymał i otworzył phishingową wiadomość e-mail lub łącze; jednak możliwa jest też inna droga — pracownicy firmy ufają e-mailom od takiego działu, bo regularnie wysyła on podania aplikantów do szefów działów, a także dokumenty wewnętrzne do całej firmy. To sprawia, że przechwycone konto pocztowe takiego pracownika staje się skuteczną platformą do przeprowadzenia ataku BEС i dalszego buszowania w sieci firmowej.
Jak zabezpieczyć komputery działu kadrowego
Aby zminimalizować prawdopodobieństwo przeniknięcia osób postronnych do komputerów używanych w dziale kadrowym, zalecamy przestrzeganie poniższych zasad:
- Jeśli to możliwe, komputery działu handlowego podłącz do innej sieci, minimalizując w ten sposób prawdopodobieństwo rozprzestrzenienia się zagrożenia w sieci firmowej, nawet w przypadku, gdy czyjś komputer zostanie zhakowany.
- Nie przechowuj danych osobowych na stacjach roboczych. W zamian trzymaj je na oddzielnym serwerze lub, jeszcze lepiej, w systemie utworzonym specjalnie z myślą o takich informacjach, zabezpieczonym za pomocą autoryzacji wieloczynnikowej.
- Od pracowników działu kadrowego egzekwuj przestrzegania porad specjalistów w zakresie świadomości cyberbezpieczeństwa — najlepiej zorganizuj specjalne szkolenie na ten temat.
- Zachęcaj pracowników działów zasobów ludzkich, aby zwracali uwagę na formaty plików, jakie otrzymują. Rekruterzy powinni potrafić odróżnić plik wykonywalny od innych i wiedzieć, że nie wolno go uruchamiać. A najlepiej wspólnie przygotujcie listę akceptowalnych formatów plików, a informację tę udostępnijcie potencjalnym aplikującym.
Na koniec jeszcze jedna, choć standardowa porada: przestrzegaj podstawowych zasad cyberbezpieczeństwa. Nie zwlekaj z aktualizacją programów znajdujących się na komputerach używanych w dziale handlowym, stosuj surową i łatwą w przestrzeganiu politykę w zakresie haseł (zakaz używania słabych lub powielonych haseł do zasobów wewnętrznych; regularna zmiana haseł), a na każdej maszynie zainstaluj niezawodne rozwiązanie ochronne, które potrafi szybko reagować na nowe zagrożenia i rozpoznawać próby wykorzystania lub w zabezpieczeniach programów.