Часто злоумышленники проникают сквозь периметр корпоративной защиты через электронную почту: они присылают сотруднику письмо с вредоносным вложением или ссылкой. Поэтому обычно мы советуем не открывать подозрительные письма с вложениями и не переходить по ссылкам, присланным незнакомцами. Но по отношению к HR-специалисту такой совет звучит глупо: у него подавляющее большинство писем – от незнакомцев, практически каждое содержит вложение с резюме (а иногда и ссылку на портфолио) и половина выглядят подозрительно.
Бывает, что даже в больших компаниях есть всего один HR-специалист на все случаи жизни, который имеет доступ ко всем имеющимся данным персонала. Чтобы доставить компании неприятности, злоумышленнику достаточно получить доступ к почтовому ящику кадровика. Обладание такой информацией – это уже рычаг для шантажа. Ну и нельзя забывать о современных шифровальщиках-вымогателях: прежде чем лишить владельца доступа к данным, они зачастую выкачивают информацию и могут получить все те же персональные данные сотрудников и соискателей.
Одна из актуальных угроз корпоративной безопасности – атака типа business e-mail compromise (BEС). В ходе такой атаки злоумышленники нередко пытаются захватить контроль над ящиком сотрудника и убедить его коллег перевести финансовые средства или переслать конфиденциальную информацию. Для успеха преступникам нужно захватить почту сотрудника, чьему письму, скорее всего, поверят, и тут почта HR-специалиста может прийтись как нельзя кстати. С одной стороны, как уже говорилось, его проще заставить открыть фишинговое письмо или ссылку. С другой – письмам от HR сотрудники компании с достаточно высокой вероятностью поверят. Они пересылают те же резюме проверенных соискателей руководителям отделов, да и в целом могут рассылать какие-то внутренние документы. Так что захваченная почта HR может стать эффективной платформой для BEС-атаки или вообще для «горизонтального распространения» вредоносов по корпоративной сети.
Для того чтобы минимизировать вероятность проникновения злоумышленников через компьютеры сотрудников HR-отделов, мы советуем придерживаться следующих рекомендаций.
По возможности выделяйте компьютеры кадровиков в отдельную изолированную подсеть.
Старайтесь не хранить персональные данные на рабочих станциях. Они должны храниться в специализированной системе для работы с такой информацией, с применением многофакторной аутентификации.
Не забывайте об HR-специалистах при организации тренингов по повышению осведомленности о киберугрозах, приглашайте их одними из первых.
Дополнительно обратите их внимание на форматы файлов, присылаемых соискателями. Составьте список допустимых форматов файлов для резюме и примеров работ, публикуйте их вместе с объявлениями о поиске сотрудников.
Кроме того, следует помнить и о стандартных мерах защиты: своевременно обновлять информацию на компьютерах HR, вести строгую и понятную парольную политику, устанавливать на каждую машину защитное решение, способное своевременно реагировать на актуальные угрозы и выявлять попытки эксплуатации уязвимостей в офисном и прочем ПО.
