Gå til hovedsiden

5 vanlige sikkerhetsangrep som skjer mot HR-avdelingen

Sikkerhet er et delt ansvar som inkluderer alle i virksomheten, og hver avdeling har ofte særegne angrepsvektorer de må ta høyde for. Sikkerhetsekspert Even Lysen ser på angrep som rettes spesifikt mot HR-avdelingen og på hvordan man kan beskytte seg mot disse

5 vanlige sikkerhetsangrep som skjer mot HR-avdelingen

Jeg skal ikke late som jeg kan så mye om hva HR-avdelingen gjør, annet enn at det handler om prosesser rundt de ansatte i virksomheten. Mange som arbeider i HR er spesielt utsatt for cyberangrep på grunn av de oppdragene de er ansatt for å utføre, slik som å finne nye kandidater til rekrutteringsprosesser. 

Dette gjør at dine HR-ansatte ofte er medarbeidere som er veldig offentlig synlige i sine daglige oppgaver og har mye kontakt med eksterne folk som man ikke kjenner. Det begrenser seg ikke bare til kontakt over internett, men også fysiske besøk til virksomhetens lokaler.

1. Phishing

En avdeling som hele tiden mottar og sender e-poster med vedlegg, er spesielt utsatt for svindelforsøk per e-post. En phishing-metode er når svindlere forsøker å lure deg til å klikke på en lenke og/eller legge igjen noe informasjon som en svindler kan utnytte. Moderne epostsystemer har malware scanning og størrelsesbegrensning på vedlegg, men for en målrettet, og kapabel, angriper er dette trivielt å komme seg forbi.  

Social engineering (sosial manipulasjon) via e-post er en skremmende effektiv metode når det gjelder svindel av HR-avdelingen. Det fordi rekrutterere er aktivt på utkikk etter kandidater. Nå som det er gode tider i IT-bransjen og ofte flere oppdrag enn folk, så skal det ikke mye til for at akkurat den CVen du ser etter popper opp i innboksen. PDF og Word-dokumenter åpnes flittig, og kanskje eposten hadde med seg en lenke til den virkelig stilige applikasjonen som kandidaten stolt har utviklet. Lenken klikkes på og du har nettopp blitt offer for et phishing angrep.

Her er det en rekke forskjellige payloads (svindel materiale) som kan leveres basert på hva angripers mål er. Det kan være alt fra CoinMiner (også kalt Bitcoin-mining eller mining av kryptovaluta) til ondsinnet malware som trojanere eller keyloggere. Exploits kan utnytte sårbarheter i nettleseren eller pdf-leseren for å få fotfeste på maskinen, eller scanne nettverket som enheten befinner seg på for å prøve å infisere sårbare enheter den klarer å plukke opp. Android enheter med sårbare apps eller streaming enheter fungerer ofte som gode inngangsporter.

For den litt paranoide kan man gjøre mye av arbeidet sitt i en virtuell maskin som ikke deler mapper eller clipboard med host maskin. Blir denne infisert er det bare å slette og spinne opp en ny. Kan også være hensiktsmessig å ha rekrutteringsansatte på et eget segregert nettverk, slik at hvis de er uheldig så går det forhåpentligvis ikke utover resten av virksomheten. 

En kompromittert e-post fra en person i virksomheten er nok til at en angriper kan infisere flere med høy sannsynlighetsgrad. En phishing mail med godt språk fra noen du kjenner og stoler på kan lure de beste av oss.

Guide: Alt du bør vite om informasjonssikkerhet

Er ditt selskap forberedt dersom dere blir utsatt for et svindelforsøk? Lær alt du bør vite om informasjonssikkerhet i denne guiden:

Last ned guiden her

2. Kontoer og passord

Det nevnes daglig i IT sektoren at man ALDRI skal benytte samme passord flere steder, men det skjer hele tiden allikevel. Ansatte skal aldri benytte jobb e-postkontoer til private ting, og aldri benytte private e-postkontoer til jobbrelaterte oppgaver. Enda verre er det hvis de ansatte tar i bruk online tjenester til jobb, men velger å logge inn med private kontoer som Facebook eller Google.

Virksomheten må ha på plass gode passordrutiner. Lengde på passord er ansett som mye viktigere enn at man benytter alle mulige spesialtegn og tall. Man bør tenke på det som en “passfrase” (altså en frase), istedenfor et passord. 

Det anbefales også å ikke bytte passord for ofte (1 gang i året som rutine, samt hver gang det har skjedd, eller man mistenker, en breach), ellers kan man raskt oppleve en negativ effekt i form av at folk lager forutsigbare passord eller skriver de ned. Ta en vurdering på om din virksomhet skal ta i bruk en passord manager.

Les mer: 6 tips til sikkerhet for deg som skal på reise

Krev at alle tjenester som krever innlogging benytter 2-Faktor Autentisering. Passfrase pluss en autentikator app, eller enda bedre, en hardware dongle som Yubikey. Hardware dongles kan også benyttes for å logge inn på selve laptopen, som øker sikkerheten rundt enheten hvis den skulle bli mistet.

Anbefaler også sterkt å redusere brukerkontoens rettigheter på lokalmaskinen og nettverkstjenester. HR har sjelden behov for å være lokal administrator på sine maskiner. Dette er et upopulært regime, og kan gjøres mer overkommelig ved at de har to kontoer. En uten lokal administrator rettigheter for daglig bruk og arbeid, og en lokal admin konto ved behov for installering av programvare eller lignende. 

3. Skygge-IT

Svært få virksomheter har gode rutiner for å unngå skygge-IT. Dette er en trussel som har blitt et økende problem og det handler om at at selskapets ansatte tar i bruk eksterne it-tjenester fra skyen, uten at it-avdelingen verken er involvert i, eller kjenner til anskaffelsen. 

Dette er noe som bare ser ut til å bli verre og verre grunnet holdningen om at de ansatte bør selv få velge sine verktøy. Det er absolutt et godt argument at ansatte bør få jobbe med sitt prefererte utstyrt. Løsningen er å ha gode rutiner for kommunikasjon av behov meldt inn av de ansatte og kort leveringstid fra teknisk side.

Er du på jakt etter en ny jobb? Sjekk ut våre ledige stillinger her.

Browser Plugins & Extensions

Nettleseren bør hele tiden være oppdatert. Dette kan styres av de som drifter virksomhetens enheter. De bør også ha en oversikt over godkjente plugins/add-ons og extensions. Mange databrudd har skjedd grunnet utdaterte nettlesere eller nettlesere med tilleggsprogramvare som hadde sårbarheter.

Cloud Storage

Virksomheten må i dag ha løsninger som støtter skylagring slik at de ansatte kan aksessere sine filer over flere enheter (helst bare med enheter styrt av virksomheten). Det må også ligge til grunn policies som sier hvilke tjenester som kan, og ikke kan, benyttes til jobb. Hvis ansatte ikke har dette vil du ende opp med data på mange tredjepartsløsninger som du ikke har kontroll over.

Generell Software as a Service

Det er ofte fristende å benytte forskjellige online tjenester som kan fikse det du trenger raskt. Konvertere en filtype til noe annet, oversette dokumenter, instant messaging med filoverføring, eller integrere en tjeneste direkte med en jobbapplikasjon. Det er ikke lenge siden vi fikk vite at Lumin PDF, som mange hadde integrert med sin Google Drive, fikk sine data lekket på nettet. Eller oversettelsestjenesten som lagret alle dokumenter brukerne oversatte og gjorde de søkbare via Google.

4. Bruk av forskjellige verktøy

Vi jobber ikke lenger bare på laptopen. Smarttelefoner og nettbrett er verktøy de fleste har i en lomme eller sekk. Problemet er at man bruker sine private enheter til jobb. Private enheter er sjelden under kontroll av virksomheten, og man risikerer å lekke virksomhetsdata, eller annen sensitive informasjon, grunnet en usikker privat enhet. Enten bør virksomheten gi HR ansatte de manglende verktøyene, eller så må de ansatte la virksomheten styre deler av enheten. Her kan IT avdelingen ta i bruk verktøy som lager en sandbox løsning på de ansattes enheter hvor de kan ha alle jobbrelaterte applikasjoner.

Er du på jakt etter en ny jobb? Sjekk ut våre ledige stillinger her.

5. Uautorisert Tilgang

De ansatte i HR-avdelingen er ofte i kontakt med potensielle kandidater. Det er kaffeprater og intervjuer ukentlig og et av målene er å gi den besøkende en så hyggelig opplevelse som mulig. En målrettet angriper vet å utnytte dette. Fysisk adgang til en virksomhet sine lokaler er gull verdt. Alt vedkommende trenger er å få tilgang til en ulåst PC, tilgang til koblingen bak på en docking-stasjon, noen sekunder alene ved et kontaktuttak, tilgang på printeren eller mulighet for å legge noen USB minnepinner på rekvisita rommet eller tilfeldigvis glemme de på et møterom.

Første ledd for å bedre kontrollere ved denne angrepsvektoren, er å ha en resepsjon som krever at alle besøkende registrerer seg og ikke får adgang før en ansatt i virksomheten henter vedkommende. Deretter skal den besøkende alltid ha med seg en vert under hele sitt opphold. Dette gjelder ikke bare kandidater på kaffeprat, men også reparatøren fra House of Coffee eller budet fra Bring.

Service teknikere som skal utføre arbeid i virksomheten skal ikke slippes inn uten at dette er varslet på forhånd. Hvis en person kommer uanmeldt, så ring å sjekk med hovedkontoret som personen sier han eller hun kommer i fra.

Guide: Alt du bør vite om informasjonssikkerhet

Er ditt selskap forberedt dersom dere blir utsatt for et svindelforsøk? Å skape seg en forståelse av hvilke trusler man står overfor både som privatperson, ansatt eller som selskap, er viktig for å sørge for at dataene dine er sikre og ikke misbrukes på noen måte.

Last ned guiden her