لماذا تعتبر أجهزة الكمبيوتر في الموارد البشرية (HR)عرضة للخطر بشكل خاص؟ وكيفية حمايتها؟
بعض المهن هي ببساطة أكثر عرضة للهجمات الإلكترونية من غيرها، بغض النظر عن نوع العمل؛ فاليوم نركز على التهديدات الإلكترونية التي تستهدف المهنيين الذين يعملون في مجال الموارد البشرية (HR)؛ والسبب الأبسط ولكن ليس الوحيد، هو أن عناوين البريد الإلكتروني لموظفي الموارد البشرية منشورة على مواقع الشركة لأغراض التوظيف فيسهل العثور عليها.
التهديدات الإلكترونية التي تستهدف الموارد البشرية (HR)
يشغل هؤلاء الموظفون موقعًا غير معتاد إلى حد ما، فهم يتلقون تلالًا من المراسلات من خارج الشركة، و أيضًا يصلون إلى البيانات الشخصية التي لا تستطيع الشركة تحمل تسريبها.
فماهي أساليب استهداف الموارد البشرية في التهديدات الإلكترونية؟
1)البريد الوارد (Incoming mail)
عادةً ما يخترق مجرمو الإنترنت (cybe criminals) محيط أمن الشركة عن طريق إرسال بريد إلكتروني يحتوي على مرفق (attachment) أو رابط ضار إلى موظف؛ لهذا السبب ننصح القراء دائمًا بعدم فتح رسائل البريد الإلكتروني المشبوهة التي تحتوي على مرفقات (attachments) أو النقر على الروابط المرسلة من قبل أشخاص مجهولين. فبالنسبة لأخصائي الموارد البشرية، ستكون هذه النصيحة غيرمنطقية، فمن المحتمل أن تكون غالبية رسائل البريد الإلكتروني الخارجية التي يتلقونها تكون من غرباء، وتشتمل الكثير منها على مرفقات بسيرة ذاتية وأحيانًا رابط لعينة من العمل، لكن بالإمكن إن نصفها على الأقل بأنها تبدو رسائل مريبة.
حتى لو نسينا في الوقت الحالي أن مجرمي الإنترنت يخفون أحيانًا الغرض الحقيقي من الملف عن طريق تغيير امتداد الملف (هل هو ملف CAD، أو صور RAW، أو DOC، أو EXE؟)، فليس كل هذه البرامج محدثة، ولم يتم اختبارها جميعًا بدقة بحثًا عن نقاط الضعف؛ وغالبًا ما يجد الخبراء ثغرات أمنية تسمح بالتنفيذ العشوائي لكود برمجي (arbitrary code) حتى في البرامج واسعة الانتشار والتي يتم تحليلها بانتظام، مثل Microsoft Office.
2)الوصول إلى البيانات الشخصية (Access to personal data)
قد يكون لدى الشركات الكبيرة مجموعة متنوعة من المتخصصين المسؤولين عن التواصل مع الباحثين عن عمل والعمل أيضًا مع الموظفين الحاليين، ولكن من المرجح أن يكون لدى الشركات الصغيرة مندوب موارد بشرية واحد فقط في جميع المناسبات، و من المرجح أن يكون لدى هذا الشخص حق الوصول إلى جميع بيانات الموظفين التي تحتفظ بها الشركة.
قد يُمنح مقدمو طلب التوظيف الذين يرسلون سيرهم الذاتية (résumés) للشركة إذنًا صريحًا أو ضمنيًا لمعالجة بياناتهم الشخصية وتخزينها، لكنهم بالتأكيد لا يوافقون على تسليمها إلى جهات خارجية غير معروفة؛ و يمكن لمجرمي الإنترنت الاستفادة من الوصول إلى هذه المعلومات للابتزاز (blackmail).
وفيما يتعلق بموضوع الابتزاز(extortion)، يجب علينا أيضًا التفكير في برامج الفدية الضار (ransomware) قبل حرمان المالك من الوصول إلى البيانات، غالبًا ما تسرقها السلالات (strains) الأخيرة أولاً؛ إذا وصل هذا النوع من البرامج الضارة إلى كمبيوتر الموارد البشرية، يمكن للصوص الوصول والفوز بالجائزة الكبرى وهي البيانات الشخصية.
3)هجوم الـ Business E-mail compromise
بهذا الهجوم يتم الاعتماد على الموظفين السذج أو غير المتعلمين لارتكاب الأخطاء؛ حيث أصبح هجوم البريد الإلكتروني للأعمال (BEС) الأكثر صعوبة ولكنه الأكثر فعالية ولاعبًا رئيسيًا الآن. غالبًا ما تهدف الهجمات من هذا النوع إلى السيطرة على صندوق بريد الموظف وإقناع زملائه بتحويل الأموال أو إعادة توجيه المعلومات السرية؛ ولضمان النجاح يحتاج مجرمو الإنترنت إلى سرقة حساب بريد شخص من المحتمل اتباع تعليماته في أغلب الأحيان يكون مسؤول تنفيذي، و تسبق هذه المرحلة النشطة من العملية مهمة طويلة وشاقة تتمثل في العثور على موظف رفيع المستوى بشكل مناسب؛ وهنا قد يكون صندوق بريد الموارد البشرية مفيدًا جدًا بالفعل.
ومن ناحية، كما ذكر أعلاه، من السهل جعل موظفي الموارد البشرية فتح بريد إلكتروني احتيالي (phishing e-mail) أو رابط احتيالي؛ و من ناحية أخرى، من المرجح أن يثق موظفو الشركة في بريد إلكتروني من الموارد البشرية؛ حيث يرسل قسم الموارد البشرية السير الذاتية للمتقدمين بانتظام إلى رؤساء الأقسام، و بالطبع يرسل قسم الموارد البشرية أيضًا المستندات الداخلية إلى الشركة ككل، و هذا يجعل حساب بريد الموارد البشرية المسروق، منصة فعالة لشن هجوم BEС وللحركة الجانبية عبر شبكة الشركة.
كيفية حماية حواسيب الموارد البشرية من التهديدات الإلكترونية؟
1.عزل أجهزة الموارد البشرية على شبكة فرعية منفصلة إن أمكن، مما يقلل من احتمالية انتشار التهديد إلى شبكة الشركة حتى في حالة تعرض أحد أجهزة الكمبيوتر للخطر.
2. عدم تخزين معلومات التعريف الشخصية على workstations، وبدلاً من ذلك الاحتفاظ بها على خادم (Server) منفصل أو الأفضل من ذلك، وضعها في نظام مصمم لمثل هذه المعلومات ومحمي بمصادقة متعددة العوامل (multifactor authentication).
3.التوعية بالأمن السيبراني .
4. حث موظفي الموارد البشرية على إيلاء اهتمام وثيق لتنسيقات الملفات التي يرسلها المتقدمون؛ يجب على من يقومون بعملية التوظيف القدرة على اكتشاف الملفات القابلة للتنفيذ (executable file) ومعرفة عدم تشغيلها. لعمل افضل، على موظفي أمن المعلومات العمل مع موظفي الموارد البشرية في وضع قائمة بتنسيقات الملفات المقبولة للسير الذاتية وعينات العمل، والقيام بتضمين تلك المعلومات في قوائم لمقدمي الطلبات ذوي النوايا الحسنة.
5.أخيرًا وليس آخرًا، الالتزم بممارسات الأمان الأساسية: تحديث البرامج على أجهزة الموارد البشرية في الوقت المناسب، والحفاظ على سياسة كلمات مرور صارمة وسهلة المتابعة (لا توجد كلمات مرور ضعيفة أو مكررة للموارد الداخلية)؛ القيام بتغيير جميع كلمات المرور بانتظام وعلى كل جهاز، القيام بتثبيت حل أمني يستجيب على الفور للتهديدات الجديدة ويحدد محاولات استغلال الثغرات الأمنية في البرامج.
م.أمـــــل عبــــدالكريــــــم الأصبـــــــــحي،،،
مصدر المعلومات موقع:https://www.kaspersky.com
