비디오: Em Gì Ơi-Tiếng Hre-Phiên Bản Cha Cha Cha (십월 2024)
해커가 공격 할 때 HR (인적 자원)이 가장 먼저 공격을받는 장소 중 하나입니다. HR은 직원 이름, 생년월일, 주소, 주민등록번호 및 W2 양식을 포함하여 다크 웹에서 판매 가능한 데이터에 HR 직원이 액세스 할 수 있기 때문에 인기있는 대상입니다. 해커는 이러한 종류의 정보를 얻기 위해 피싱에서 포즈를 취하기에 이르기까지 내부 문서를 요구하는 회사 경영진으로서 포즈를 취하기 위해 모든 것을 사용합니다.
반박하기 위해 회사는 안전한 컴퓨팅 프로토콜을 따라야합니다. 여기에는 HR 직원 및 기타 직원이 사기를 방지하도록 교육하고, 데이터를 보호하는 관행을 채택하며, 클라우드 기반 HR 기술 공급 업체를 심사하는 것이 포함됩니다. 그리 멀지 않은 미래에는 생체 인식 및 인공 지능 (AI)도 도움이 될 수 있습니다.
사이버 공격은 사라지지 않습니다. 무엇이든, 그들은 악화되고 있습니다. 모든 규모의 회사는 사이버 공격에 취약합니다. 그러나 소규모 기업은 사이버 범죄를 감시하는 직원의 수가 거의 없기 때문에 가장 큰 위험에 처할 수 있습니다. 더 큰 조직은 신원을 도난당한 직원에 대해 2 년 동안의 신용 보고서 지불을 포함하여 공격과 관련된 비용을 흡수 할 수 있습니다. 소규모 기업의 경우 디지털 필링의 결과는 치명적일 수 있습니다.
HR 데이터 유출 사례를 찾기는 어렵지 않습니다. 5 월, 해커는 ADP 고객의 사회 공학 및 열악한 보안 관행을 사용하여 직원의 사회 보장 번호 및 기타 개인 데이터를 훔쳤습니다. Krebs on Security에 따르면 2014 년 해커들은 Ultimate Software의 UltiPro 급여 및 HR 관리 제품군 고객의 로그인 자격 증명을 활용하여 직원 데이터를 도용하고 사기성 세금 보고서를 제출했습니다.
최근 몇 달 동안 수많은 회사의 HR 부서가 W-2 세금 양식 포경 사기를 받고 있습니다. 잘 알려진 여러 사례에서 급여 부서와 다른 직원들은 회사 임원의 문서에 대한 합법적 인 요청처럼 보이는 위장 서신을받은 후 해커에게 W-2 세금 정보를 제공했습니다. 3 월 Seagate Technology는 이러한 공격을 통해 현재 수천 명에 이르는 현재 및 전직 직원에 대한 W-2 세금 양식 정보를 실수로 공유했다고 밝혔다. 한 달 전에 SnapChat은 급여 부서의 직원이 현재 및 전 직원의 "수"에 대한 급여 데이터를 CEO 인 Evan Spiegel과 같은 사기꾼과 공유했다고 밝혔다. 월스트리트 저널 (Wall Street Journal)에 따르면 Weight Watchers International, PerkinElmer Inc., Bill Casper Golf, Sprouts Farmers Market Inc.도 비슷한 피해를 입었다.
직원 훈련
잠재적 인 위험을 직원들에게 알리는 것이 첫 번째 방어선입니다. 직원들에게 회사 임원의 전자 메일에 포함되거나 포함되지 않을 요소 (예: 이름에 일반적으로 서명하는 방식)를 인식하도록 교육합니다. 이메일이 요구하는 것에주의하십시오. 예를 들어 CFO가 재무 데이터를 요구할 이유는 없습니다.
이번 주 라스 베이거스에서 열린 블랙 햇 사이버 보안 컨퍼런스의 한 연구원은 기업이 직원에게 발신자를 알고 있거나 메시지가 기대에 맞는지 여부에 관계없이 모든 이메일을 의심한다고 말합니다. 동일한 연구원이 피싱 인식 교육을 통해 직원들이 개별 이메일 메시지가 합법적인지 확인하여 생산성을 떨어 뜨리는 데 너무 많은 시간을 소비하면 역효과를 낳을 수 있다고 인정했습니다.
사이버 보안 교육 회사 KnowBe4가 수행 한 작업이 표시라면 인식 교육이 효과적 일 수 있습니다. 1 년 동안 KnowBe4는 시뮬레이션 된 피싱 공격 이메일을 300 개의 클라이언트 회사에있는 30 만 명의 직원에게 정기적으로 보냈습니다. 그들은 문제를 시사 할 수있는 적기를 발견하는 방법을 훈련시키기 위해 이것을했습니다. 훈련 전에 직원의 16 %가 시뮬레이션 된 피싱 이메일의 링크를 클릭했습니다. KnowBe4의 설립자이자 CEO 인 Stu Sjouwerman에 따르면 불과 12 개월 후이 수치는 1 %로 떨어졌습니다.
클라우드에 데이터 저장
피싱 또는 포경 공격에 대한 최종 실행을 수행하는 또 다른 방법은 회사 정보를 데스크톱 또는 랩톱의 문서 나 폴더 대신 클라우드에 암호화 된 형태로 유지하는 것입니다. 문서가 클라우드에있는 경우 직원이 피싱 요청을하는 경우에도 해커가 액세스 할 수없는 파일에 대한 링크 만 전송합니다 (필요한 추가 정보가 없기 때문에) 열거 나 해독하십시오). OneLogin CEO 토마스 페더슨 (Thomas Pedersen)은 블로그에서 ID 관리 시스템을 판매하는 샌프란시스코 회사 인 OneLogin이 사무실에서 파일 사용을 금지했다고 밝혔다.
OneLogin의 공동 창립자이자 제품 개발 담당 부사장 인 David Meyer는 "보안과 생산성뿐만 아니라 보안상의 이유이기도합니다."라고 말했습니다. "직원의 랩탑을 도난당한 경우 아무 것도 없어서 문제가되지 않습니다."
Meyer는 기업이 공급 업체가 제공하는 보안 프로토콜을 이해하기 위해 사용중인 HR 기술 플랫폼을 조사 할 것을 권고합니다. ADP는 최근 고객들에게 영향을 미치는 최근 침입에 대해서는 언급하지 않았다. 그러나 ADP 대변인은 회사가 피싱 및 맬웨어와 같은 일반적인 사이버 보안 문제를 방지하기 위해 모범 사례에 대해 교육, 인식 교육 및 정보를 고객과 소비자에게 제공한다고 말했다. 대변인에 따르면 ADP 금융 범죄 모니터링 팀과 고객 지원 그룹은 회사가 사기를 감지하거나 사기 행위를 시도했을 때 고객에게 알립니다. Krebs on Security에 따르면 Ultimate Software는 2014 년 UltiPro 사용자에 대한 공격 이후에도 고객을위한 다단계 인증을 포함하여 유사한 예방 조치를 취했습니다.
사업장이 위치한 지역에 따라 디지털 침입을 적절한 기관에보고해야 할 법적 의무가있을 수 있습니다. 예를 들어 캘리포니아에서 회사는 500 명 이상의 직원 이름을 도난당한 경우보고해야 할 의무가 있습니다. Sjouwerman에 따르면 변호사와 상담하여 자신의 의무가 무엇인지 알아내는 것이 좋습니다.
"법적인 개념이있어 환경을 보호하기 위해 합리적인 조치를 취해야하며, 그렇지 않은 경우 본질적으로 책임이 있습니다."
신원 관리 소프트웨어 사용
회사는 ID 관리 소프트웨어를 사용하여 로그인 및 비밀번호를 제어하여 HR 시스템을 보호 할 수 있습니다. ID 관리 시스템을 기업의 비밀번호 관리자로 생각하십시오. 급여, 복리 후생, 채용, 예약 등을 위해 사용하는 각 플랫폼의 사용자 이름과 암호를 기억하고 보호하기 위해 HR 직원과 직원에게 의존하는 대신 단일 로그인을 사용하여 모든 것에 액세스 할 수 있습니다. 모든 로그인을 한 번에 로그인하면 HR 시스템 암호를 잊어 버린 직원이 일 년에 몇 번만 로그인 할 수 있습니다 (도용 할 수있는 곳에서 암호를 적어 두거나 온라인으로 저장하는 경향이 있음).
회사는 식별 관리 시스템을 사용하여 HR 시스템 관리자를위한 2 단계 식별을 설정하거나 지오 펜싱을 사용하여 로그인을 제한 할 수 있으므로 관리자는 사무실과 같은 특정 위치에서만 로그인 할 수 있습니다.
OneLogin의 Meyer는 "사람과 역할에 따라 보안 위험 허용 수준이 모두 HR 시스템에있는 것은 아닙니다.
HR 기술 공급 업체와 사이버 보안 회사는 사이버 공격을 방지하기위한 다른 기술을 연구하고 있습니다. 결국 더 많은 직원이 지문이나 망막 스캔과 같은 생체 인식 기능을 사용하여 HR 및 기타 업무 시스템에 로그인하게되는데, 이는 해커가 해킹하기가 더 어렵습니다. 미래에, 사이버 보안 플랫폼에는 Black Hat 컨퍼런스에서 발표 된 바에 따르면 소프트웨어 학습을 통해 컴퓨터 나 네트워크에서 악성 소프트웨어 및 기타 의심스러운 활동을 탐지 할 수있는 머신 러닝이 포함될 수 있습니다.
이러한 옵션을보다 폭넓게 이용할 수있을 때까지 HR 부서는 자체 인식, 교육 직원, 사용 가능한 보안 조치 및 문제를 피하기 위해 함께 일하는 HR 기술 공급 업체에 의존해야합니다.
