Munkerőpiac

20_hrkirugas.jpg
Forrás: ITB
Plusz feladat a HR-részlegnek: figyeljenek az IT-biztonságra!

A kollégát digitálisan is ki kell rúgni

A rossz hírünk az, hogy a HR-részlegnek kiemelten kell foglalkoznia az IT-biztonság kérdésével. Jogos a felháborodás, megértjük, hogy a rengeteg feladat mellett a HR-en senki, de senki nem szeretne az IT-biztonsággal is foglalkozni. A HR digitalizációja, a fiatalabb generáció megváltozott munkavégzési szokásai azonban arra kényszerítik a terület szakembereit, hogy legalább partnerségi szinten foglalkozzanak a kérdéssel, ezzel is növelve az IT-tudatosság szintjét. Nem engedhető meg, hogy a HR legyen a sikeres kibertámadások kiindulópontja.

Amikor a HR-osztályon dolgozó irodavezető meglátta azt az emailt, melyben az ügyvezető igazgató arra kérte, hogy az alkalmazottak adatait mentse ki egy táblázatba, és válaszlevélben küldje el csatolmányként, rögtön gyanút fogott. Az alkalmazottak személyes adatait soha, de soha nem kérte eddig a vezető. Az email-cím azonban első látásra stimmelt, a kérdés mégis ott motoszkált benne, hogy most mi is kellene tennie. Telefonon felhívta a nyári szabadságát töltő vezetőt, hogy valóban ő küldte-e a szóban forgó levelet – kiderült, hogy nem. Az IT-s biztonsági kolléga segítségével megvizsgálták a levelet. Ki is derült, hogy nem törtek be a vezető levelezésébe, hanem  hamisított email címről küldték az adathalász levelet. Az adatkészlet és a vállalat is megmenekült.

 

Kiemelt célpont a HR

A rengeteg személyes adatot kezelő és a nagyon sok ismeretlen álláskeresővel kapcsolatot tartó HR az adathalászok és a kiberbűnözők kiemelt célpontja. Ezek az adatok túl nagy értéket képviselnek a hekkerek szemében, ahhoz, hogy ne próbálkozzanak megszerzésükkel. A bűnözők a támadás során megszerzett adatokat kiindulópontként használhatják az igazi kártevők bejuttatásához. Például a sok személyes információ alapján teljesen eredetinek ható leveleket írhatnak, így egyszerűbb a kiszemelt célszemélyt rávenni arra, hogy a kártevőt, netán zsarolóvírust tartalmazó csatolmányt letöltse számítógépére.

A nagyobb vállalatoknál már felismerték az IT-biztonság fontosságát, és a HR-részlegen van az IT-biztonsági kérdésekkel napi szinten foglalkozó kolléga. Az ő feladata az IT-s biztonsági szakemberrel közösen meggyőződni arról, hogy a HR-rendszerek biztonságosan működnek, nem nyújtanak támadási felületet, a személyes adatokat megfelelően kezelik.

Mi legyen azokkal a fránya csatolmányokkal?

A HR tipikusan az az osztály a vállalaton belül, ahol rengeteg ismeretlen feladótól érkezhet PDF- vagy Word-csatolmányt tartalmazó levél, így küldik a motivációs leveleket, önéletrajzokat. Ha a toborzási feladatokat áttereljük egy erre dedikált portálra, megelőzhetjük a csatolmányáradatot. Ezen a felületen a jelölt regisztráció után feltöltheti adatait, és pályázhat a kiszemelt állásra.

Elkerülhetők a csatolmányok úgy is, ha LinkedIn-profilra mutató hivatkozást kérünk az állásra jelentkezőtől. Ilyenkor is győződjünk meg, hogy tényleg a hivatalos oldalra mutató linkkel van dolgunk. Ha sehogy nem tudjuk elkerülni a veszélyes csatolmányok használatát, akkor egy központi email-címre kérjük a jelentkezéseket. Ezt a levelezési fiókot pedig olyan gépen nyissuk meg, melyet a hálózat többi részétől elszigetelten üzemeltetjük. (Ezt hívják airgapnek, „légrésnek” – a szerk.) Ha a CV-nek álcázott levél valóban kártevőt tartalmazott, akkor csak azt az egy gépet fertőzheti meg, amelyen kinyitottuk, a vállalat kritikus hálózata védett marad.

Tegyük fel a megfelelő kérdéseket

A HR területén az IT-biztonság a megoldásszállítóval kezdődik. Egy-egy HR-megoldás kiválasztásakor nemcsak a szakmai feladatokat ellátó funkciókra kell összpontosítani. Fel kell tenni azt a kellemetlen kérdést is, hogy gondolt-e az IT-biztonságra a gyártó. Figyelt-e a szállító az aktív védelemre? Védett a termék az ismeretlen, új típusú fenyegetettségek ellen is?

Az sem mindegy, hogy a terméket már a kezdetektől fogva az IT-biztonságot szem előtt tartva fejlesztették-e, vagy csak utólag építették belé – a gondolkodásmód sok mindent elárul egy gyártóról. Fontos a szállítóknak feltenni ezeket a kérdéseket, mert az IT-biztonság (sajnos) egy olyan plusz, melyre nem minden vállalat gondol terméke fejlesztésekor.

Érdemes meggyőződni arról is, hogy a termék rendelkezik-e valamilyen IT-biztonsági tanúsítvánnyal, vagy hogy a fejlesztő vállalat alkalmazottjainak tartanak-e rendszeresen IT-biztonsági tréningeket, ezzel is növelve biztonságtudatosságukat. Olvassuk el a független teszteket, véleményeket, netán látogassunk el egy olyan vállalathoz, ahol már hosszabb ideje, nap mint nap használják a megoldást, tőlük érdeklődjünk a rendszer esetleges hibáiról. Mindez rengeteg plusz feladat, kérjük is ehhez az IT-biztonsági szakértő segítségét.

 

Aktívan teszteljük a HR-rendszereket

Teszteljük rendszeresen az új, ahogy a régebbi HR-megoldásokat is, főként a „felhőseket”. Az első lépés a penetrációs teszt, mely azonosítja a HR infrastruktúra sérülékeny pontjait. Ellenőrzött körülmények között végezzünk hekkelési próbákat is, érdemes a social engineering (személyes megtévesztés) eszközeit is kipróbálni.

Ne csak a gyakran használt HR-rendszerekre figyeljünk. Vizsgáljuk meg a ritkábban elővett, kiegészítő rendszereket is. Figyeljünk a HR-részleg digitális igényeire, és ezeknek megfelelően használjuk az IT-megoldásokat. A tiltás nem segít, mert ekkor a szabályokat megkerülve külső, ingyenes, és vélhetően nem biztonságos eszközök és szolgáltatások segítségével oldják meg problémáikat – így terjed el a vállalati szabályzatoknak és előírásoknak nem megfelelő, ellenőrizhetetlen árnyékinformatika.


Szüntessük meg a hozzáférést

Egy belső szoftveraudit segítségével próbáljuk meg kideríteni, hogy kinek van vagy volt hozzáférése az érzékeny, személyes adatokhoz. A SailPoint felmérése szerint a vállalattól eltávozó alkalmazottak 47 százalékának nem zárják le a hozzáférését a céges adatokhoz. A HR-nek és a hozzá hasonlóan adatintenzív területnek fokozottan figyelnie kell a távozó kollégák hozzáférésének megszüntetésére. Az elégedetlen volt alkalmazottakat könnyedén meggyőzheti egy hekker, hogy adja át hozzáférését a céges rendszerhez. Az is előfordulhat, hogy a zavaros körülmények között távozó kolléga maga szerzi meg az adatokat a cégtől, ezeket később a közvetlen konkurenciának eladhatja. Egyik forgatókönyv se jó.

Mindezt megelőzendő hozzuk összhangba a vállalati IT-t irányító informatikai keretrendszerrel a HR-folyamatokat. Így, ha egy ember távozik a cégtől, a HR automatikusan indíthatja azt a munkafolyamatot, melynek végén az adott felhasználó összes hozzáférése megszűnik. És ez nem másnap vagy két hét múlva történik meg, hanem azonnal. Ugyanez érvényes, mikor egy kolléga vállalaton belül vált pozíciót. Az alapvető IT-előírások szerint minden alkalmazott csak az éppen betöltött szerepkörének megfelelően férhet hozzá a vállalati adatokhoz.

 

Figyeljünk a belső adatmegosztásra

A HR a vállalat különböző társosztályaival rendszeresen oszt meg adatokat. Hiába a „golyóálló” HR-rendszer, minden külső támadásnak ellenáll, ha a belső adatmegosztás régi, hagyományos táblázatok formájában történik. Például a pénzügy a költségek szerkezetről szeretne adatokat kapni a HR-től. A pénzügynek más szempontok szerint kell ezeket az adatokat feldolgoznia, ahogy az a HR-en történik. A tipikus forgatókönyv ilyenkor az, hogy a HR-rendszerből az adatokat elmentik egy táblázatba, amelyet emailen továbbítanak a pénzügynek.

Jobb lenne automatizált munkafolyamatokat kidolgozni, amelyek során ezek az adatok kérésre automatikusan a kívánt formában kerülnek át egyik rendszerből a másikba. Ahol azonban a táblázatok kultúrája kiirthatatlan szokás, ott írjuk elő a titkosított, jelszóval védett állományok használatát – ha véletlenül idegen kezekbe kerülne az állomány, senki sem tudja megnyitni.


Megfelelő kiberbiztonsági szoftverek

Az adatintenzív osztályok számára érdemes proaktív védelmi megoldásokat vásárolni, melyek képesek például mesterséges intelligencia segítségével megelőzni a megszokott fenyegetettségek mellett az előre nem látható támadásokat is. Érdemes lehet beruházni egy olyan megoldásba, amely megelőzi az adatszivárgást: jelzést küld az illetékes IT-s kollégának, amikor az alkalmazottakra vonatkozó adatokat próbálja meg valaki vállalati rendszereken kívülre juttatni. Vagy jól jöhet egy behatolást észlelő megoldás, amely figyelmeztetést küld, ha jogosulatlan felhasználó próbálja módosítani vagy csupán elérni a HR-adatokat. Egy viselkedés alapú megoldás azonnal jelzi, ha szokatlan helyről szokatlan mennyiségű adat próbálja elhagyni a céget.

Arra figyeljünk, hogy önmagukban a megoldások semmit sem érnek, azokat a cég aktuális, saját igényei szerint kell beállítani, konfigurálni – megéri a fáradtságot és időt.

 

Ne dőljünk be a trükköknek!

Ha valaki rendőregyenruhában kopogtat az ajtónkon, még nem biztos, hogy valóban minket szolgál és véd. Azonban az esetek többségében mégis hiszünk az ajtóban álló egyenruhás embernek, és válaszolunk kérdéseire, igyekszünk segíteni neki. Csak gyanús viselkedés esetén igyekszünk meggyőződni a velünk szemben álló azonosságáról.

Ugyanez történik a virtuális kommunikáció területén is, a határozott fellépésű, a megfelelő adatokkal felfegyverzett csalónak sokan könnyedén bedőlnek.

Szerencsére az adathalász támadások legtöbb része automatizált, sok esetben idegen nyelvű, így alacsony hatásfokú – mert a kiberbűnözőnek sem éri meg az alacsony megtérüléssel kecsegető támadásba túl sok energiát fektetni.

Ezért is fontos az apróbb vállalat információkat vállalaton belül tartani, a bűnözők minden kis adatdarabkát felhasználhatnak támadásaik előkészítésére. Például kiderülhet egy ártalmatlan blogbejegyzésből, hogy az adott szervezetnél épp most folyik az alkalmazottak teljesítményértékelése. A bűnözők célzottan megtámadhatják a menedzsereket egy olyan adathalász levélben, melyben arra kérik, hogy lépjenek be egy adott felületre, hogy a csapatuk bónuszát igazolják – melyik vezető nem tenné meg ezt a csapatért? A gyanús esetek kiszűrésére használjuk józan eszünket, de vegyünk részt tréningeken, oktatásokon. Lehet adathalász támadást szimulálni, mely pontosan kimutatja, melyik alkalmazottnak van gondja ezen a területen – őt extra oktatással erősíthetjük meg.