İK’yı hedef alan siber tehditler

İnsan kaynaklarındaki bilgisayarlar neden özellikle savunmasızdır ve nasıl korunur?

İş alanına bakılmaksızın bazı meslekler, diğerleriyle karşılaştırıldığında siber saldırılara karşı daha savunmasızdır. Bugün, insan kaynakları alanında çalışan profesyonellere yönelik siber tehditlere odaklanıyoruz. En basit ancak elbette tek neden değil: İK çalışanlarının e-posta adreslerinin işe alım amacıyla kurumsal sitelerde yayınlanıyor olması. Bulunmaları oldukça kolay.

İK’yı hedefli siber tehditler

İnsan kaynakları çalışanları oldukça farklı bir konuma sahiptir: Şirket dışından çok sayıda e-posta alırlar. Ancak aynı zamanda, şirketin sızdırmayı göze alamayacağı kişisel verilere de erişimleri vardır.

Gelen e-posta

Genellikle, siber suçlular, bir çalışana kötü amaçlı bir ek veya bağlantı içeren bir e-posta göndererek kurumsal güvenlik parametrelerine sızarlar. Bu nedenle okuyuculara her zaman ek içeren şüpheli e-postaları açmamalarını veya bilinmeyen kişiler tarafından gönderilen bağlantılara tıklamamalarını tavsiye ediyoruz. Fakat, bir İK uzmanı için bu tavsiye saçma olur. Şirket dışından gelen e-postaların çoğu muhtemelen yabancılardan geliyor. Birçoğunda da öz geçmiş içeren bir ek (ve bazen örnek çalışmalara giden bir bağlantı) bulunuyor. En az yarısının şüpheli göründüğünü söyleyebiliriz.

Dahası, geçmiş çalışmaların portföyleri veya örnekleri bazen oldukça özelleşmiş CAD program dosyaları gibi istisnai formatlarda geliyor. İşlerinin doğası gereği, İK çalışanlarının bu tür dosyaları açması ve içeriğini gözden geçirmesi gerekiyor. Siber suçluların bazen dosya uzantısını (bir CAD dosyası, RAW fotoğrafları, DOC, EXE?) değiştirerek bir dosyanın gerçek amacını gizlediklerini bir süreliğine unutsak bile, bu tür programların tümü güncel değildir. Ayrıca, tümü güvenlik açıkları için kapsamlı bir şekilde test edilmemiştir. Uzmanlar genellikle Microsoft Office gibi yaygın, düzenli olarak analiz edilen yazılımlarda bile rastgele kod yürütülmesine yol açan güvenlik açıkları bulurlar.

Kişisel verilere erişim

Büyük şirketlerin, iş arayanlarla iletişimden ve mevcut çalışanların çalışmalarından sorumlu çeşitli uzmanları olabilir. Ancak küçük işletmelerde tüm durumlar için, yalnızca bir İK temsilcisinin olma olasılığı daha yüksektir. Bu bir kişinin, şirketten bulunan tüm personel verilerine yüksek ihtimalle erişimi vardır.

Ancak, sorun yaratmak istiyorsanız, yalnızca İK uzmanının e-posta kutusunu ele geçirmek genellikle işe yarar. Özgeçmiş gönderen başvuru sahipleri, bir şirkete kişisel verilerini işlemesi ve saklaması için açıkça veya üstü kapalı olarak izin verebilir. Ancak, bunları kimliği belirsiz yabancılarla paylaşmayı kesinlikle kabul etmiyorlar. Siber suçlular, bu tür bilgilere erişip şantaj amaçlı kullanabilir.

Ve para sızdırma söz konusu olduğunda, fidye yazılımını da dikkate almalıyız. Hesap sahibinin verilere erişimini engellemeden önce bu virüsler genellikle verileri çalar. Bu tür bir kötü amaçlı yazılım bir İK bilgisayarına kurulursa, hırsızlar büyük bir kişisel veri piyangosunu da kazanmış olur.

Daha ikna edici BEC saldırıları için bir dayanak noktası

Hata yapmaları için her şeye inanan veya eğitimsiz çalışanlara güvenmek risklidir. Daha zor ama daha etkili olan kurumsal e-posta gizliliği ihlali (BEС) saldırısı artık önemli bir oyuncu. Bu tür saldırılar, genellikle bir çalışanın posta kutusunun kontrolünü ele geçirip meslektaşlarını para transferi yapmaya veya gizli bilgileri iletmeye ikna etmeyi amaçlar. Siber suçluların başarılarını sağlama almak için, talimatları dikkate alınacak birinin, genellikle bir yöneticinin, e-posta hesabını ele geçirmesi gerekir. Operasyonun aktif aşamasından önce, istenilen niteliklere sahip yüksek rütbeli bir çalışanın bulunması gibi uzun ve emek isteyen bir görev vardır. Ve bu noktada, bir İK e-posta kutusu gerçekten çok işe yarayabilir.

Bir yandan, yukarıda belirtildiği gibi, bir kimlik avı e-postası veya bağlantısını açması için İK’yı tuzağa düşürmek daha kolaydır. Öte yandan, şirket çalışanlarının insan kaynaklarından gelen bir e-postaya güvenmesi muhtemeldir. İK, başvuru sahiplerinin öz geçmişlerini düzenli olarak birim başkanlarına gönderir. Elbette İK, şirkete genel olarak şirket içi belgeler de gönderir. Bu durum da, ele geçirilmiş bir İK e-posta hesabını, bir BEС saldırısı başlangıcı ve kurumsal ağ üzerinden yanal hareket için etkili bir platform haline getirir.

İK bilgisayarları nasıl korunur?

Davetsiz misafirlerin, İK biriminin bilgisayarlarına sızma ihtimalini en aza indirmek için aşağıdaki ipuçlarına dikkat edilmesini öneriyoruz:

  • Mümkünse İK bilgisayarlarını ayrı bir alt ağda diğerlerinden ayrı tutun. Bir bilgisayar tehlikeye girdiğinde bile tehditlerin kurumsal ağa yayılma olasılığını en aza indirin;
  • Kişisel olarak tanımlanabilir bilgileri, iş istasyonlarında saklamayın. Bunun yerine, onu ayrı bir sunucuda veya daha da iyisi – bu tür bilgiler için geliştirilmiş ve çok faktörlü kimlik doğrulayıcı ile korunan bir sistemde saklayın;
  • İK uzmanlarının şirket için siber güvenlik farkındalık eğitimi ile ilgili tavsiyelerine uyun ve onları bu eğitimde ilk sıraya koyun;
  • İK temsilcilerini, başvuru sahipleri tarafından gönderilen dosyaların formatlarına dikkat etmeleri konusunda uyarın. İşe alım uzmanları, yürütülebilir bir dosyayı tespit edebilmeli ve onu açmaması gerektiğinin bilincinde olmalı. Tercihen, öz geçmişler ve çalışma örnekleri için kabul edilebilir dosya formatlarının bir listesini birlikte hazırlayın. Bu bilgileri de gerçek başvuru sahipleri için listelerinize ekleyin.

Son olarak, temel güvenlik uygulamalarına uyun: İK bilgisayarlarındaki yazılımı zamanında güncelleyin. Katı ve takibi kolay bir parola politikası uygulayın (şirket içi kaynaklar için zayıf veya yinelenen parolalar kullanmayın; tüm parolaları düzenli olarak değiştirin). Her makineye, yeni tehditlere anında yanıt veren ve yazılımdaki güvenlik açıklarından yararlanma girişimlerini belirleyen bir güvenlik çözümü kurun.

İpuçları