Особо уязвимые

Сотрудники HR-служб находятся в достаточно уникальном положении: с одной стороны, получают горы корреспонденции от внешних адресатов, а с другой – практически гарантированно имеют доступ к информации, утечка которой была бы крайне нежелательна для компании, – к персональным данным сотрудников и соискателей.

Часто злоумышленники проникают сквозь периметр корпоративной защиты через электронную почту: они присылают сотруднику письмо с вредоносным вложением или ссылкой. Поэтому обычно мы советуем не открывать подозрительные письма с вложениями и не переходить по ссылкам, присланным незнакомцами. Но по отношению к HR-специалисту такой совет звучит глупо: у него подавляющее большинство писем – от незнакомцев, практически каждое содержит вложение с резюме (а иногда и ссылку на портфолио) и половина выглядят подозрительно.

Бывает, что даже в больших компаниях есть всего один HR-специалист на все случаи жизни, который имеет доступ ко всем имеющимся данным персонала. Чтобы доставить компании неприятности, злоумышленнику достаточно получить доступ к почтовому ящику кадровика. Обладание такой информацией – это уже рычаг для шантажа. Ну и нельзя забывать о современных шифровальщиках-вымогателях: прежде чем лишить владельца доступа к данным, они зачастую выкачивают информацию и могут получить все те же персональные данные сотрудников и соискателей.

Одна из актуальных угроз корпоративной безопасности – атака типа business e-mail compromise (BEС). В ходе такой атаки зло­умышленники нередко пытаются захватить контроль над ящиком сотрудника и убедить его коллег перевести финансовые средства или переслать конфиденциальную информацию. Для успеха преступникам нужно захватить почту сотрудника, чьему письму, скорее всего, поверят, и тут почта HR-специалиста может прийтись как нельзя кстати. С одной стороны, как уже говорилось, его проще заставить открыть фишинговое письмо или ссылку. С другой – письмам от HR сотрудники компании с достаточно высокой вероятностью поверят. Они пересылают те же резюме проверенных соискателей руководителям отделов, да и в целом могут рассылать какие-то внутренние документы. Так что захваченная почта HR может стать эффективной платформой для BEС-атаки или вообще для «горизонтального распространения» вредоносов по корпоративной сети.

Для того чтобы минимизировать вероятность проникновения злоумышленников через компьютеры сотрудников HR-отделов, мы советуем придерживаться следующих рекомендаций.

• По возможности выделяйте компьютеры кадровиков в отдельную изолированную подсеть.
• Старайтесь не хранить персональные данные на рабочих станциях. Они должны храниться в специализированной системе для работы с такой информацией, с применением многофакторной аутентификации.
• Не забывайте об HR-специалистах при организации тренингов по повышению осведомленности о киберугрозах, приглашайте их одними из первых.
• Дополнительно обратите их внимание на форматы файлов, присылаемых соискателями. Составьте список допустимых форматов файлов для резюме и примеров работ, публикуйте их вместе с объявлениями о поиске сотрудников.
• Кроме того, следует помнить и о стандартных мерах защиты: своев­ременно обновлять информацию на компьютерах HR, вести строгую и понятную парольную политику, устанавливать на каждую машину защитное решение, способное своевременно реагировать на актуальные угрозы и выявлять попытки эксплуатации уязвимостей в офисном и прочем ПО.