Siber Tehditler Şirketlerin İnsan Kaynakları Departmanlarını Hedefliyor! İşte Yapılması Gerekenler

İş dünyasında bazı meslekler, endüstri bağımsız siber saldırılara diğerlerinden daha duyarlı. İnsan kaynakları (İK) bunların başında geliyor. Bu yazıda İK alanında çalışan profesyonellere yönelik siber tehditlere odaklanıyoruz.

İK’yı hedefleyen siber tehditler

İK çalışanlarının e-posta adresleri, işe alım amacıyla kurumsal sitelerde yayınlanması nedeniyle erişilmesi son derece kolay hesaplardır.

İnsan kaynaklarında, çalışanlar oldukça stratejik bir konuma sahiptir. Bir yandan şirket dışından yığınla yazışma alırlarken, diğer yandan şirket çalışanlarının son derece hassas olan kişisel verilerine erişme imkanları vardır.

Gelen e-postaların yarısı şüpheli

Tipik olarak siber suçlular, bir çalışana kötü amaçlı ek veya bağlantı içeren e-posta göndererek kurumsal ağa sızmak isteyebilir. Bu nedenle çalışanlara, ekli-şüpheli e-postaları açmamaları veya bilinmeyen kişiler tarafından gönderilen bağlantılara tıklamamaları her zaman tavsiye edilmeli. Bir İK uzmanı için ise bu tavsiye çok anlamlı değildir. Çünkü aldıkları şirket dışı e-postaların çoğu muhtemelen ilk kez iletişim kurdukları kimselerden gelir ve birçoğunda özgeçmiş içeren bir ek (ve bazen örnek çalışma için bir bağlantı) vardır. Ve çarpıcı bir analiz sonucu olarak bu e-postaların en az yarısının şüpheli göründüğünü söyleyebiliriz.

Ayrıca, portföyler veya geçmiş çalışmaların örnekleri, İK çalışanlarına zaman zaman CAD program dosyaları gibi yaygın olmayan biçimlerde gelir. İşleri gereği İK çalışanlarının bu tür dosyaların içeriğini de açıp incelemesi gerekebilir.

Bir dosyanın gerçek amacını gizlediğini kısa süre için unutsak bile, bu tür programların tümü güncel tutulmaz ve güvenlik açıkları için kapsamlı bir şekilde test edilmemiş olabilir. Örneğin uzmanlar Microsoft Office gibi yaygın, düzenli olarak analiz edilen yazılımlarda bile rastgele kod yürütülmesine izin veren güvenlik açıkları bulabiliyorlar.

Kişisel verilere erişim

Büyük şirketler, iş arayanlarla ve mevcut çalışanlarla iletişim kurmaktan sorumlu bir ekibe sahiptir. Ancak küçük işletmelerin tüm bu durumlar için büyük ihtimal yalnızca bir İK temsilcisi vardır. Ve bu kişinin büyük olasılıkla şirket tarafından kayıt edilen tüm personel verilerine erişimi bulunur. Bir siber saldırganlar, bu şirket çalışanlarının kişisel verilerine erişmek isterse, yalnızca bu İK temsilcisinin e-postasına sızması yeterli olacaktır.

İş arayan adaylar, özgeçmişlerini ilgili şirket ile paylaştıklarında, bu şirkete kişisel verilerini işlemesi ve saklaması için açıkça veya kısmi izin verebilir, ancak bu verilerin üçüncü kişilerle paylaşılmasını istemezler. Siber suçlular, şantaj yapmak için bu tür bilgilere erişim fırsatını kaçırmak istemezler.

Burada karşımıza en sık çıkan tehdit ise fidye yazılım saldırıları. Fidye yazılımlar, bir IK çalışanı tarafından açılırsa, saldırganlar kişisel verilere erişmek için en doğru adrese ulaşmış olurlar.

İK hesapları BEC saldırıları için çok elverişli

Sürekli olarak şirketlere saldırmanın yeni yollarını arayan siber suçluların son birkaç yıldır favori türlerinden bir diğeri kurumsal yazışmaları hedef alan şirket e-posta dolandırıcılığı (BEC). Bu tür saldırılar genellikle bir çalışanın posta kutusunun kontrolünü ele geçirmeyi ve meslektaşlarını para transferi yapmaya veya gizli bilgileri iletmeye ikna etmeyi amaçlar. Bu saldırıda başarı sağlamak için siber suçluların, talimatları büyük olasılıkla izlenecek birinin- çoğu zaman bir yöneticinin- posta hesabını ele geçirmesi gerekir.

BEC saldırı türünde saldırganlar, harekete geçmeden önce hedeflenen şirket içinde saldırıya uygun ve yüksek rütbeli bir çalışan bulmak için keşif yaparlar. Bu noktada bir İK çalışanının posta kutusu son derece kullanışlı olabilir.

Yukarıda söz ettiğimiz gibi, insan kaynakları çalışanının bir kimlik avı e-postasını veya bağlantısı açmasını sağlamak nispeten kolaydır. Öte yandan, şirket çalışanlarının insan kaynaklarından gelen bir e-postaya güvenmeleri de muhtemeldir. Örneğin İK departmanı, iş başvurusu yapanların özgeçmişlerini düzenli olarak bölüm müdürlerine gönderir. Ayrıca İK, çalışanlara şirket içi iletişim dahilinde bazı belgeler de gönderir.

Bu gibi durumlar, ele geçirilen bir İK posta hesabını BEС saldırısı başlatmak ve şirket ağı boyunca yanal hareket için etkili bir basamak haline getirir.

İK çalışanlarının hesapları nasıl daha güvenli hale getirilir?

İK departmanının bilgisayarlarına izinsiz giriş yapma olasılığını en aza indirmek için şu ipuçlarını izlemenizi öneririz:

• Mümkünse İK bilgisayarlarını ana ağdan ayrıyeni bir alt ağda izole edin. Bu yöntem bir bilgisayarın güvenliğinin ihlal edilmesi durumunda bile tehditlerin şirket ağına yayılma olasılığını en aza indirir.
• Kişisel verileri iş istasyonlarında saklamayın. Bunun yerine, ayrı sunucuda ya da daha iyisi, bu tür bilgiler için yapılmış ve çok faktörlü kimlik doğrulama ile korunan güçlü bir sistemde saklayın.
• İK uzmanlarının şirket için siber güvenlik farkındalığı eğitimi konusundaki tavsiyelerine kulak verin ve onları bu eğitim için önceliklendirin.
• İK temsilcilerini, başvuranlar tarafından gönderilen dosyaların biçimlerine daha fazla dikkat etmeleri konusunda uyarın. İşverenler, yürütülebilir bir dosyayı tespit edebilmeli ve onu çalıştırmamaları gerektiğini bilmelidir. İdeal olarak, özgeçmişler ve iş örnekleri için kabul edilebilir dosya biçimlerinin bir listesini hazırlamak için İK ile birlikte çalışın ve bu bilgileri iyi niyetli başvuru sahipleri için listeleyin.
• İK bilgisayarlarındaki güvenlik yazılımlarının zamanında güncellenmesi konusunda titiz davranın. Katı ve takip edilmesi kolay bir parola politikası uygulayın ve her bilgisayara yeni tehditlere anında yanıt veren ve yazılımdaki güvenlik açıklarından yararlanma girişimlerini tanımlayan bir güvenlik çözümü kurun.