如何保护您的人力资源技术免受网络攻击

当黑客攻击时，人力资源（HR）是他们遭受攻击的首批地点之一。 HR是受欢迎的目标，因为HR员工可以访问在暗网上销售的数据，包括员工的姓名，出生日期，地址，社会保险号和W2表格。 为了获得此类信息，黑客使用了从网络钓鱼到冒充公司高管索要内部文件（网络钓鱼的一种形式，称为“捕鲸”）到利用基于云的薪资和HR技术服务中的漏洞等各种手段。

为了反击，公司必须遵循安全的计算协议。 其中包括培训人力资源人员和其他员工以防骗，采取保护数据的做法，以及审核基于云的人力资源技术供应商。 在不久的将来，生物识别技术和人工智能（AI）也可能会有所帮助。

网络攻击不会消失； 如果有的话，他们正在恶化。 各种规模的公司都容易受到网络攻击。 但是，小型企业可能会面临最大的风险，因为小型企业通常只有很少的员工，而他们的唯一任务就是关注网络犯罪。 更大的组织可能能够承受与攻击相关的成本，包括为身份被盗的员工支付数年的信用报告。 对于较小的企业，数字窃取的后果可能是灾难性的。

找到人力资源数据泄露的实例并不难。 今年5月，黑客利用ADP客户的社会工程和不良安全做法窃取了员工的社会安全号码和其他人员数据。 根据Krebs on Security的说法，2014年，黑客在Ultimate Software的UltiPro薪资和HR管理套件的众多客户中利用登录凭证来窃取员工数据并提交欺诈性的纳税申报单。

在最近的几个月中，许多公司的人事部门都在接受W-2税收形式的捕鲸骗局。 在一些举报得很好的例子中，工资部门和其他员工在收到一封欺骗邮件后，向黑客提供了W-2税收信息，这似乎是公司高管提出的合法文件要求。 希捷科技公司在三月表示，它通过这种攻击无意间为“数千名”现任和前任员工共享了W-2纳税表信息。 在此之前的一个月，SnapChat表示，其工资部门的一名员工与冒充首席执行官Evan Spiegel的骗子共享了“一定数量”的现有和前雇员的工资数据。 根据《华尔街日报》的报道，国际体重观察组织（Weight Watchers International），珀金埃尔默公司（PerkinElmer Inc.），比尔·卡斯珀高尔夫（Bill Casper Golf）和新芽农贸市场公司（Sprouts Farmers Market Inc.）也是类似案件的受害者。

培训员工

让员工意识到潜在的危险是第一道防线。 培训员工认识公司高管发送或不发送给公司高管的电子邮件中的元素，例如他们通常如何签名。 请注意电子邮件的要求。 例如，首席财务官没有理由要求提供财务数据，因为有机会，他们已经拥有了。

本周在拉斯维加斯举行的黑帽网络安全会议上，一位研究人员建议，企业告诉员工对所有电子邮件都保持可疑，即使他们知道发件人或邮件符合他们的期望。 同样的研究人员也承认，如果员工花费大量时间检查以确保单个电子邮件是合法的，从而降低工作效率，则网络钓鱼意识培训会适得其反。

如果网络安全培训公司KnowBe4所做的任何迹象表明，意识培训可能是有效的。 在一年的时间里，KnowBe4定期向300家客户公司的300, 000名员工发送模拟网络钓鱼攻击电子邮件； 他们这样做是为了训练他们如何发现可能预示问题的红旗。 在培训之前，有16％的员工单击了模拟网络钓鱼电子邮件中的链接。 KnowBe4创始人兼首席执行官Stu Sjouwerman表示，仅12个月后，这一数字下降到了1％。

将数据存储在云中

解决网络钓鱼或捕鲸攻击的另一种方法是，将公司信息以加密形式保存在云中，而不是保存在台式机或笔记本电脑上的文档或文件夹中。 如果文档在云中，即使员工因网络钓鱼请求而倒下，他们也只会发送指向黑客无法访问的文件的链接（因为他们没有所需的其他信息）打开或解密它）。 OneLogin是一家出售身份管理系统的旧金山公司，该公司禁止在办公室使用文件，这是OneLogin首席执行官Thomas Pedersen的专长。

OneLogin的联合创始人兼产品开发副总裁David Meyer说：“这是出于安全性和生产力的考虑。” “如果员工的笔记本电脑被盗，那没关系，因为上面没有东西。”

Meyer建议企业审查他们考虑使用的HR技术平台，以了解供应商提供的安全协议。 ADP不会对最近打击客户的入侵行为发表评论。 但是，ADP发言人确实表示，该公司向客户和消费者提供了有关最佳做法的教育，意识培训以及信息，以防止常见的网络安全问题（例如网络钓鱼和恶意软件）。 发言人说，当公司检测到欺诈或试图进行欺诈性访问时，ADP金融犯罪监测小组和客户支持小组会通知客户。 根据Krebs on Security的说法，UltiPro用户在2014年遭受攻击之后，Ultimate Software还采取了类似的预防措施，包括为其客户建立多因素身份验证。

根据您的业务所在地，您可能有法律义务向适当的主管机关报告数字入侵。 例如，在加利福尼亚州，当超过500名员工的姓名被盗时，公司有义务举报。 Sjouwerman认为，向律师咨询以了解您的职责是一个好主意。

他说：“有一个法律概念要求您采取合理的措施来保护环境，否则，您实际上应承担责任。”

使用身份管理软件

公司可以使用身份管理软件来控制登录和密码，从而保护HR系统。 将身份管理系统视为企业的密码管理器。 他们不必依靠人力资源员工和员工来记住和保护他们用于工资，福利，招聘，计划等的每个平台的用户名和密码，而是可以使用一次登录来访问所有内容。 将所有内容都放在一个登录名下，对于那些可能忘记每年仅登录几次的HR系统密码的员工来说，操作起来会更容易（使他们更倾向于将密码写下来或存储在可能被盗的网上）。

公司可以使用身份管理系统为HR系统管理员设置两因素身份识别，也可以使用地理围栏来限制登录，因此管理员只能从特定位置（例如办公室）登录。

OneLogin的Meyer说：“针对不同人员和不同角色的所有这些安全风险承受能力级别并不是HR系统的功能。”

人力资源技术供应商和网络安全公司正在研究防止网络攻击的其他技术。 最终，更多的员工将通过使用生物特征识别技术（例如指纹或视网膜扫描）登录HR和其他工作系统，这对于黑客来说很难破解。 根据黑帽大会的演讲，未来，网络安全平台可能会包含机器学习功能，从而使软件能够自我训练以检测计算机或网络上的恶意软件和其他可疑活动。

在更广泛地使用这些选项之前，人力资源部门将不得不依靠自己的意识，培训员工，可用的安全措施以及与之合作的人力资源技术供应商来避免麻烦。