15.01.2021

Как защитить работу отдела кадров

Как защитить работу отдела кадров

Глупо отрицать, что есть профессии, более подверженные атакам злоумышленников. В первую очередь это те, чьи адреса электронной почты «светятся» на корпоративных сайтах, или люди, имеющие доступ к групповым почтовым ящикам для связи с компанией: специалисты по внешним коммуникациям, техническая поддержка, юристы и кадровики. Сегодня мы поговорим о специфике угроз и защиты для последней категории — HR-специалистов.

Специфика киберугроз для HR-отделов

Сотрудники HR-служб находятся в достаточно уникальном положении: с одной стороны, они получают горы корреспонденции от внешних адресатов, а с другой — практически гарантированно имеют доступ к информации, утечка которой была бы крайне нежелательна для компании, — к персональным данным сотрудников и соискателей.

Входящая почта

Как правило, злоумышленники проникают через периметр корпоративной защиты через электронную почту: они присылают сотруднику письмо с вредоносным вложением или ссылкой. Поэтому обычно мы советуем «не открывать подозрительные письма с вложениями и не переходить по ссылкам, присланным незнакомцами». По отношению к HR-специалисту такой совет звучит глупо: у них подавляющее большинство писем — от незнакомцев, практически каждое содержит вложение с резюме (а иногда и ссылку на портфолио) и половина выглядит подозрительно.

При этом портфолио или отдельные примеры прошлых работ порой присылают в достаточно неожиданных и неочевидных форматах. Например, в виде файлов для какой-нибудь узкоспециализированной программы, используемой для проектирования чего-либо. Иногда специфика работы требует, чтобы HR действительно открывал и знакомился с содержимым такого файла. И далеко не все такие программы достаточно тщательно исследованы на предмет уязвимостей. Ведь и в более распространенном, офисном софте нередко находят достаточно серьезные дыры, позволяющие исполнить код злоумышленника.

Доступ к персональным данным

В больших компаниях новыми соискателями должностей и уже работающими сотрудниками могут заниматься разные люди. Но в малом бизнесе чаще всего есть один HR-специалист на все случаи жизни. И он может иметь доступ ко всем имеющимся в компании данным персонала.

По большому счету, для того чтобы доставить компании неприятности, злоумышленнику достаточно получить доступ к почтовому ящику специалиста по кадрам. Соискатели, пересылая свои резюме, может, и дают разрешение на их обработку и хранение, но уж точно не на передачу персональных данных неизвестным. Доступ злоумышленников к такой информации — это уже рычаг для шантажа.

Ну и нельзя забывать о современных шифровальщиках-вымогателях: сейчас, прежде чем лишить владельца доступа к данным, они часто выкачивают информацию. Так что если такой вредонос запустится на компьютере HR-специалиста, злоумышленники могут получить все те же персональные данные сотрудников и соискателей.

Площадка для развития атак на компанию

Одна из актуальных угроз корпоративной безопасности — атака типа business e-mail compromise (BEС). В ходе такой атаки злоумышленники часто пытаются захватить контроль над ящиком сотрудника и убедить его коллег перевести финансовые средства или переслать конфиденциальную информацию. Для успеха преступникам нужно захватить почту сотрудника, чьему письму, скорее всего, поверят. Чаще всего — руководителя. Поэтому перед активной фазой операции злоумышленники могут проводить долгую и кропотливую работу для поиска подходящего высокопоставленного сотрудника. И тут почта HR-специалиста может прийтись как нельзя кстати.

С одной стороны, как мы уже писали выше, его проще заставить открыть фишинговое письмо или ссылку. С другой — письмам от HR сотрудники компании с достаточно высокой вероятностью поверят. Они пересылают те же резюме проверенных соискателей руководителям отделов, да и в целом могут рассылать какие-то внутренние документы. Даже если в вашем отделе никого не ищут, велика вероятность, что вы захотите понять, о чем речь, и откроете письмо от специалиста по кадрам, и даже перейдете по присланной ссылке. Так что захваченная почта HR может стать эффективной платформой для BEС-атаки или вообще для «горизонтального распространения» вредоносов по корпоративной сети.

Как защитить компьютеры HR-специалистов

Для того чтобы минимизировать вероятность проникновения злоумышленников через компьютеры сотрудников HR-отделов, мы советуем придерживаться следующих рекомендаций:

  1. По возможности выделяйте компьютеры кадровиков в отдельную изолированную подсеть. Так даже при компрометации одной из машин вероятность распространения угрозы по сети уменьшится.

  2. Старайтесь не хранить персональные данные на рабочих станциях. Они должны храниться на отдельных серверах, а еще лучше — в специализированной системе для работы с такой информацией. И доступ к ней должен предоставляться с применением многофакторной аутентификации.

  3. Не забывайте об HR-специалистах при организации тренингов по повышению осведомленности о киберугрозах. По-хорошему, они должны проходить такие тренинги в первую очередь.

  4. Дополнительно обратите их внимание на форматы файлов, присылаемых соискателями. Убедитесь, что они понимают, какие файлы являются исполняемыми, и знают, что их запускать не нужно. В идеале составьте вместе с ними список допустимых форматов файлов для резюме и примеров работы. Возможно, имеет смысл публиковать его вместе с объявлениями о поиске сотрудников.

  5. Кроме того, следует помнить и о стандартных мерах защиты: своевременно обновлять информацию на компьютерах HR, вести строгую и понятную парольную политику, а также устанавливать на каждую машину защитное решение - Kaspersky Endpoint Security для бизнеса Стандартный, способное своевременно реагировать на актуальные угрозы и выявлять попытки эксплуатации уязвимостей в офисном и прочем ПО.


Возврат к списку