HR — объект целенаправленных хакерских атак
Мы привыкли к тому, что в любой крупной или средней компании есть IT-специалист, и вот он как раз и отвечает за безопасность данных. Но – как показывает данная статья – все чаще руководители служб, занимающихся управлением и подбором персонала, являются непосредственной мишенью злоумышленников.
Хакеры надеются получить доступ к данным через специалистов по персоналу, поэтому HR-менеджеры должны понимать, как оставаться в безопасности
По словам экспертов, кибер-атакующие все чаще нацеливаются на специалистов по персоналу с целью получения данных о сотрудниках.
Жаклин Дэвис, управляющий директор Audacity Associates, бывший директор по персоналу Управления по финансовому поведению и бывший мастер Гильдии HR-профессионалов, рассказала журналу HR, что она слышала «бесчисленные истории» о специалистах по персоналу как о целях хакеров.
Дэвис рассказал, как канадский бизнес нанял скандально известного хакера Кевина Митника, чтобы узнать, сможет ли он получить доступ к системе организации. Он нашел детали директора по персоналу в LinkedIn и задал ряд вопросов, которые привели к тому, что он заполучил пароль для системы компании по ссылке. В течение 20 минут Митник получил доступ к личным и финансовым данным около 30 000 сотрудников.
«Я думаю, что существует огромный риск для специалистов сфере HR, специалистов по подбору персонала, в том числе рекрутинговых агентств. Мы знаем, что обычно существуют инсайдерские угрозы, и все кадровики знают о недовольном «нечестном сотруднике», который может слить данные после неудачного опыта работы в компании. Но тот факт, что сотрудники отдела персонала являются целенаправленными мишенями, заставил мою кровь похолодеть», — сказала Дэвис.
Этот риск коррелирует с проведенным в 2018 году государственным опросом по нарушениям кибербезопасности в отношении более широкой угрозы кибератак, в ходе которого выяснилось, что
43% предприятий Великобритании и 19% благотворительных организаций Великобритании сталкивались с нарушениями или атаками кибербезопасности в течение 12 месяцев с апреля 2017 года по апрель 2018 года
Майкл Ходди, консультант по работе с клиентами и соучредитель консалтинга по кибербезопасности Technium Global, объяснил, что организации обычно рассматривают нарушения как неудачи в контексте владения технологией. Но им действительно нужно понять, как хакеры действуют психологически.
«Когда мы обучаем HR и специалистов по подбору персонала этим атакам, важно, чтобы они знали, что это не обязательно технологическая проблема. Это основано на социальной инженерии; когда кто-то знает правильные вопросы, которые нужно задать», — сказал он.
По словам Ходди, отсутствие связи между отделами делает HR-отдел особо уязвимым: «Существует большая проблема кибербезопасности, связанная, как правило, с HR-отделом. Большинство утечек данных являются внутренними, и многие из них не являются вредоносными. Таким образом, вы можете видеть, что для HR трудно решить проблему. Многие организации могут проводить проверку надежности работы с данными, но это может иметь негативное влияние на доверие со стороны сотрудников, и понятно, что отдел кадров может не захотеть заниматься этим».
Сара Моррис, старший преподаватель криминалистических компьютерных технологий в Университете Крэнфилда, сказала, что многие в отделе персонала ошибочно полагают, что кибербезопасность находится за пределами их компетенции.
«Обучение HR в этой области упускается из виду. Многие люди в HD и отделе по подбору персонала стали полагаться на ИТ для обеспечения безопасности электронных данных, но им необходимо узнать о социальной инженерии, и что не все зависит от технологии», — сказала она.
По словам Дэвис, отчасти проблема заключается в готовности профессионалов по кадрам помочь:
«В своей природе HR стремится быть максимально полезными. В этой профессии мы всегда думаем о других людях и склонны думать о себе как о «бэк-офисе». Мы не всегда осознаем ответственность за свою роль и не осознаем то, что мы являемся «привратниками».
Но обратное должно произойти, сказала Дэвис: «Когда дело доходит до данных, мы должны вести себя совершенно иначе, чем в любой другой ситуации; мы должны быть подозрительными, и даже циничными.
«Я бы сказала, например, так: «Я провожу аудит относительно тех данных, к которым у вас есть доступ, и прошу вас задать себе вопрос, есть ли у вас кто-то, кто подотчетен в этом вопросе и несет за это конкретную ответственность?». HR-лидеры должны очень тщательно продумать, как они справляются с этим. Конечно, возможен вариант тщательной проверки новых критических сотрудников, но с точки зрения защиты персональных данных у этого варианта есть темная сторона», — сказала она.
Дэвис добавила, что, прежде всего, всех сотрудников следует учить проявлять бдительность и думать о том, какую информацию они отправляют в Интернете.
Источник: ucg.in.ua