Глупо отрицать, что есть профессии, более подверженные атакам злоумышленников. В первую очередь это те, чьи адреса электронной почты «светятся» на корпоративных сайтах, или люди, имеющие доступ к групповым почтовым ящикам для связи с компанией: специалисты по внешним коммуникациям, техническая поддержка, юристы и кадровики. Сегодня мы поговорим о специфике угроз и защиты для последней категории — HR-специалистов.
Сотрудники HR-служб находятся в достаточно уникальном положении: с одной стороны, они получают горы корреспонденции от внешних адресатов, а с другой — практически гарантированно имеют доступ к информации, утечка которой была бы крайне нежелательна для компании, — к персональным данным сотрудников и соискателей.
Как правило, злоумышленники проникают через периметр корпоративной защиты через электронную почту: они присылают сотруднику письмо с вредоносным вложением или ссылкой. Поэтому обычно мы советуем «не открывать подозрительные письма с вложениями и не переходить по ссылкам, присланным незнакомцами». По отношению к HR-специалисту такой совет звучит глупо: у них подавляющее большинство писем — от незнакомцев, практически каждое содержит вложение с резюме (а иногда и ссылку на портфолио) и половина выглядит подозрительно.
При этом портфолио или отдельные примеры прошлых работ порой присылают в достаточно неожиданных и неочевидных форматах. Например, в виде файлов для какой-нибудь узкоспециализированной программы, используемой для проектирования чего-либо. Иногда специфика работы требует, чтобы HR действительно открывал и знакомился с содержимым такого файла. И далеко не все такие программы достаточно тщательно исследованы на предмет уязвимостей. Ведь и в более распространенном, офисном софте нередко находят достаточно серьезные дыры, позволяющие исполнить код злоумышленника.
В больших компаниях новыми соискателями должностей и уже работающими сотрудниками могут заниматься разные люди. Но в малом бизнесе чаще всего есть один HR-специалист на все случаи жизни. И он может иметь доступ ко всем имеющимся в компании данным персонала.
По большому счету, для того чтобы доставить компании неприятности, злоумышленнику достаточно получить доступ к почтовому ящику специалиста по кадрам. Соискатели, пересылая свои резюме, может, и дают разрешение на их обработку и хранение, но уж точно не на передачу персональных данных неизвестным. Доступ злоумышленников к такой информации — это уже рычаг для шантажа.
Ну и нельзя забывать о современных шифровальщиках-вымогателях: сейчас, прежде чем лишить владельца доступа к данным, они часто выкачивают информацию. Так что если такой вредонос запустится на компьютере HR-специалиста, злоумышленники могут получить все те же персональные данные сотрудников и соискателей.
Одна из актуальных угроз корпоративной безопасности — атака типа business e-mail compromise (BEС). В ходе такой атаки злоумышленники часто пытаются захватить контроль над ящиком сотрудника и убедить его коллег перевести финансовые средства или переслать конфиденциальную информацию. Для успеха преступникам нужно захватить почту сотрудника, чьему письму, скорее всего, поверят. Чаще всего — руководителя. Поэтому перед активной фазой операции злоумышленники могут проводить долгую и кропотливую работу для поиска подходящего высокопоставленного сотрудника. И тут почта HR-специалиста может прийтись как нельзя кстати.
С одной стороны, как мы уже писали выше, его проще заставить открыть фишинговое письмо или ссылку. С другой — письмам от HR сотрудники компании с достаточно высокой вероятностью поверят. Они пересылают те же резюме проверенных соискателей руководителям отделов, да и в целом могут рассылать какие-то внутренние документы. Даже если в вашем отделе никого не ищут, велика вероятность, что вы захотите понять, о чем речь, и откроете письмо от специалиста по кадрам, и даже перейдете по присланной ссылке. Так что захваченная почта HR может стать эффективной платформой для BEС-атаки или вообще для «горизонтального распространения» вредоносов по корпоративной сети.
Для того чтобы минимизировать вероятность проникновения злоумышленников через компьютеры сотрудников HR-отделов, мы советуем придерживаться следующих рекомендаций:
По возможности выделяйте компьютеры кадровиков в отдельную изолированную подсеть. Так даже при компрометации одной из машин вероятность распространения угрозы по сети уменьшится.
Старайтесь не хранить персональные данные на рабочих станциях. Они должны храниться на отдельных серверах, а еще лучше — в специализированной системе для работы с такой информацией. И доступ к ней должен предоставляться с применением многофакторной аутентификации.
Не забывайте об HR-специалистах при организации тренингов по повышению осведомленности о киберугрозах. По-хорошему, они должны проходить такие тренинги в первую очередь.
Дополнительно обратите их внимание на форматы файлов, присылаемых соискателями. Убедитесь, что они понимают, какие файлы являются исполняемыми, и знают, что их запускать не нужно. В идеале составьте вместе с ними список допустимых форматов файлов для резюме и примеров работы. Возможно, имеет смысл публиковать его вместе с объявлениями о поиске сотрудников.
Кроме того, следует помнить и о стандартных мерах защиты: своевременно обновлять информацию на компьютерах HR, вести строгую и понятную парольную политику, а также устанавливать на каждую машину защитное решение - Kaspersky Endpoint Security для бизнеса Стандартный, способное своевременно реагировать на актуальные угрозы и выявлять попытки эксплуатации уязвимостей в офисном и прочем ПО.