Video: IndiHome: CYBER WARFARE (Desember 2024)
Ketika peretas menyerang, sumber daya manusia (SDM) adalah salah satu tempat pertama yang mereka temui. SDM adalah target yang populer karena akses staf HR ke data yang dapat dipasarkan di web gelap, termasuk nama karyawan, tanggal lahir, alamat, nomor Jaminan Sosial, dan formulir W2. Untuk mendapatkan informasi semacam itu, peretas menggunakan segala hal mulai dari phishing hingga menyamar sebagai eksekutif perusahaan yang meminta dokumen internal - suatu bentuk phishing yang disebut "perburuan paus" -untuk mengeksploitasi kerentanan dalam penggajian berbasis cloud dan layanan teknologi SDM.
Untuk melawan, perusahaan harus mengikuti protokol komputasi yang aman. Itu termasuk melatih orang-orang SDM dan karyawan lain untuk waspada terhadap penipuan, mengadopsi praktik yang melindungi data, dan memeriksa vendor teknologi SDM berbasis cloud. Di masa depan yang tidak terlalu jauh, biometrik dan kecerdasan buatan (AI) juga dapat membantu.
Serangan cyber tidak akan hilang; jika ada, mereka semakin buruk. Perusahaan dari semua ukuran rentan terhadap serangan cyber. Bisnis kecil, bagaimanapun, mungkin berada pada risiko terbesar karena mereka umumnya memiliki lebih sedikit staf, yang tugas utamanya adalah mengawasi kejahatan dunia maya. Organisasi yang lebih besar mungkin dapat menyerap biaya yang terkait dengan serangan, termasuk membayar laporan kredit selama beberapa tahun untuk karyawan yang identitasnya telah dicuri. Untuk perusahaan yang lebih kecil, konsekuensi dari pencurian digital bisa sangat menghancurkan.
Tidak sulit menemukan contoh pelanggaran data SDM. Pada bulan Mei, peretas menggunakan rekayasa sosial dan praktik keamanan yang buruk pada pelanggan ADP untuk mencuri nomor Jaminan Sosial karyawan mereka dan data personel lainnya. Pada tahun 2014, peretas mengeksploitasi kredensial masuk pada jumlah pelanggan yang tidak ditentukan dari daftar gaji UltiPro dan manajemen SDM suite Ultimate Software untuk mencuri data karyawan dan mengajukan pengembalian pajak yang curang, menurut Krebs on Security.
Dalam beberapa bulan terakhir, departemen SDM di berbagai perusahaan telah menerima ujung penipuan bentuk pajak W-2. Dalam beberapa contoh yang dilaporkan dengan baik, departemen penggajian dan karyawan lainnya memberikan informasi pajak W-2 kepada peretas setelah menerima surat palsu yang tampak seperti permintaan sah untuk dokumen dari eksekutif perusahaan. Pada bulan Maret, Seagate Technology mengatakan secara tidak sengaja berbagi informasi formulir pajak W-2 untuk "beberapa ribu" karyawan saat ini dan mantan melalui serangan semacam itu. Sebulan sebelum itu, SnapChat mengatakan seorang karyawan di departemen penggajiannya berbagi data penggajian untuk "sejumlah" karyawan saat ini dan mantan karyawan yang melakukan penipuan yang menyamar sebagai CEO Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf, dan Sprouts Farmers Market Inc. juga menjadi korban tipu muslihat serupa, menurut Wall Street Journal.
Latih Karyawan
Membuat karyawan sadar akan bahaya potensial adalah garis pertahanan pertama. Latih karyawan untuk mengenali elemen-elemen yang akan atau tidak akan dimasukkan dalam email dari eksekutif perusahaan, seperti bagaimana mereka biasanya menandatangani nama mereka. Perhatikan apa yang diminta surel. Tidak ada alasan bagi CFO untuk meminta data keuangan, misalnya, karena kemungkinan besar, mereka sudah memilikinya.
Salah satu peneliti di konferensi cybersecurity Black Hat di Las Vegas minggu ini menyarankan agar bisnis memberi tahu karyawannya agar curiga terhadap semua email, bahkan jika mereka tahu pengirimnya atau apakah pesannya sesuai dengan harapan mereka. Peneliti yang sama itu mengakui pelatihan penyadaran phishing dapat menjadi bumerang jika karyawan menghabiskan begitu banyak waktu memeriksa untuk memastikan bahwa masing-masing pesan email itu sah sehingga mengurangi produktivitas mereka.
Pelatihan penyadaran bisa efektif, jika pelatihan yang dilakukan oleh perusahaan pelatihan cybersecurity KnowBe4 merupakan indikasi. Selama setahun, KnowBe4 mengirim surel serangan phising yang disimulasikan kepada 300.000 karyawan di 300 perusahaan klien secara teratur; mereka melakukan ini untuk melatih mereka tentang cara menemukan bendera merah yang bisa menandakan masalah. Sebelum pelatihan, 16 persen karyawan mengklik tautan di email phising yang disimulasikan. Hanya 12 bulan kemudian, angka itu turun menjadi 1 persen, menurut pendiri dan CEO KnowBe4 Stu Sjouwerman.
Simpan Data di Cloud
Cara lain untuk melakukan end-run seputar serangan phishing atau perburuan paus adalah dengan menyimpan informasi perusahaan dalam bentuk terenkripsi di cloud alih-alih dalam dokumen atau folder di desktop atau laptop. Jika dokumen ada di cloud, bahkan jika seorang karyawan jatuh karena permintaan phishing, mereka hanya akan mengirim tautan ke file yang tidak dapat diakses oleh peretas (karena mereka tidak akan memiliki informasi tambahan yang mereka perlukan untuk buka atau dekripsi itu). OneLogin, sebuah perusahaan di San Francisco yang menjual sistem manajemen identitas, telah dilarang menggunakan file di kantornya, sebuah prestasi yang dilakukan oleh CEO OneLogin, Thomas Pedersen.
"Ini untuk alasan keamanan dan produktivitas, " kata David Meyer, salah satu pendiri OneLogin dan Wakil Presiden Pengembangan Produk. "Jika laptop seorang karyawan dicuri, itu tidak masalah karena tidak ada apa-apa di dalamnya."
Meyer menyarankan bisnis untuk memeriksa platform teknologi SDM yang mereka pertimbangkan untuk memahami protokol keamanan apa yang ditawarkan vendor. ADP tidak akan mengomentari pembobolan baru-baru ini yang melanda pelanggannya. Namun, juru bicara ADP mengatakan perusahaan memberikan pendidikan, pelatihan kesadaran, dan informasi kepada klien dan konsumen tentang praktik terbaik untuk mencegah masalah keamanan siber umum, seperti phishing dan malware. Tim pemantau kejahatan keuangan ADP dan kelompok-kelompok pendukung klien memberi tahu klien ketika perusahaan mendeteksi penipuan atau upaya akses penipuan telah terjadi, menurut juru bicara itu. Ultimate Software juga melakukan tindakan pencegahan serupa setelah serangan terhadap pengguna UltiPro pada 2014, termasuk melembagakan otentikasi multi-faktor untuk pelanggannya, menurut Krebs on Security.
Tergantung di mana bisnis Anda berada, Anda mungkin memiliki kewajiban hukum untuk melaporkan pembobolan digital kepada pihak yang berwenang. Di California, misalnya, perusahaan memiliki kewajiban untuk melaporkan ketika lebih dari 500 nama karyawan telah dicuri. Adalah ide yang bagus untuk berkonsultasi dengan pengacara untuk mengetahui apa tugas Anda, menurut Sjouwerman.
"Ada konsep hukum yang mengharuskan Anda mengambil tindakan yang wajar untuk melindungi lingkungan Anda, dan jika tidak, Anda pada dasarnya bertanggung jawab, " katanya.
Gunakan Perangkat Lunak Manajemen Identitas
Perusahaan dapat melindungi sistem SDM dengan menggunakan perangkat lunak manajemen identitas untuk mengontrol login dan kata sandi. Pikirkan sistem manajemen identitas sebagai pengelola kata sandi untuk perusahaan. Alih-alih mengandalkan staf SDM dan karyawan untuk mengingat - dan melindungi - nama pengguna dan kata sandi untuk setiap platform yang mereka gunakan untuk penggajian, tunjangan, perekrutan, penjadwalan, dll., Mereka dapat menggunakan log-in tunggal untuk mengakses semuanya. Menempatkan semuanya di bawah satu login dapat memudahkan karyawan yang mungkin lupa kata sandi ke sistem SDM yang hanya mereka login beberapa kali dalam setahun (membuat mereka lebih cenderung untuk menuliskannya di suatu tempat atau menyimpannya secara online di mana mereka bisa dicuri).
Perusahaan dapat menggunakan sistem manajemen identifikasi untuk menyiapkan identifikasi dua faktor untuk administrator sistem SDM atau menggunakan geofencing untuk membatasi proses masuk sehingga admin hanya dapat masuk dari lokasi tertentu, seperti kantor.
"Semua tingkat toleransi risiko keamanan ini untuk orang yang berbeda dan peran yang berbeda bukan fitur dalam sistem SDM, " kata OneLogin Meyer.
Vendor teknologi SDM dan perusahaan cybersecurity sedang mengerjakan teknik lain untuk mencegah serangan cyber. Akhirnya, lebih banyak karyawan akan masuk ke HR dan sistem kerja lainnya dengan menggunakan biometrik seperti sidik jari atau retina, yang lebih sulit bagi peretas untuk dipecahkan. Di masa depan, platform cybersecurity dapat mencakup pembelajaran mesin yang memungkinkan perangkat lunak melatih dirinya sendiri untuk mendeteksi perangkat lunak berbahaya dan aktivitas mencurigakan lainnya di komputer atau jaringan, menurut presentasi di konferensi Black Hat.
Sampai opsi-opsi itu tersedia secara lebih luas, departemen SDM harus mengandalkan kesadaran mereka sendiri, melatih karyawan, langkah-langkah keamanan yang tersedia, dan vendor teknologi SDM tempat mereka bekerja untuk menghindari masalah.