Sommige beroepen zijn nou eenmaal vatbaarder voor cyberaanvallen dan andere, ongeacht het type bedrijf. Vandaag focussen we op de cyberdreigingen die zijn gericht op professionals die werkzaam zijn in personeelszaken of human resources. De simpelste maar lang niet enige reden is dat de e-mailadressen van HR-werknemers op bedrijfswebsites staan gepubliceerd voor wervingsdoeleinden. Die zijn dus eenvoudig te vinden.
Cyberdreigingen gericht op HR
Binnen personeelszaken bekleden werknemers een nogal ongebruikelijke positie. Ze ontvangen bergen met correspondentie die van buiten het bedrijf afkomstig is, en hebben bovendien ook vaak toegang tot de persoonlijke gegevens die het bedrijf absoluut niet mag lekken.
Inkomende mail
Cybercriminelen penetreren de beveiligingsperimeter doorgaans door een werknemer een e-mail te sturen die een schadelijke bijlage of link bevat. Daarom adviseren we lezers altijd om geen verdachte e-mails met bijlages te openen en om niet op links te klikken die zijn verzonden door onbekenden. Voor een HR-professional zou dat advies natuurlijk belachelijk zijn. De meerderheid van de externe e-mails die ze krijgen, is waarschijnlijk afkomstig van vreemden, en veel daarvan bevatten een bijlage met een cv (en soms een link naar voorbeeldwerk). Als we moeten gokken, zouden we zeggen dat ongeveer de helft van die e-mails er verdacht uitziet.
Bovendien is er soms sprake van portfolio’s of voorbeeldwerk dat in ongebruikelijke indelingen is opgeslagen, zoals zeer gespecialiseerde CAD-programmabestanden. De aard van hun werk vereist dat HR-werknemers de inhoud van zulke bestanden moeten openen en bekijken. Zelfs als we eventjes vergeten dat cybercriminelen het ware doel van een bestand verhullen door de bestandsextensie aan te passen (is het een CAD-bestand, RAW-foto’s, een DOC, een EXE?), zijn niet alle programma’s altijd bijgewerkt en zijn deze niet allemaal grondig op kwetsbaarheden getest. Experts vinden regelmatig veiligheidslekken die willekeurige uitvoering van code toestaan, zelfs in wijdverspreide, regelmatig geanalyseerde software, zoals bijvoorbeeld Microsoft Office.
Toegang tot persoonlijke gegevens
Grote bedrijven beschikken wellicht over een verscheidenheid aan specialisten die verantwoordelijk zijn voor de communicatie met werkzoekenden en voor werk met huidige werknemers, maar bij kleine bedrijven is de kans groot dat ze maar één iemand op personeelszaken hebben werken die dit allemaal voor zijn/haar rekening neemt. Die ene persoon heeft waarschijnlijk toegang tot alle persoonlijke gegevens die het bedrijf bezit.
Als men echter problemen wil veroorzaken, dan is het compromitteren van de mailbox van de HR-specialist vaak al genoeg. Sollicitanten die hun cv opsturen kunnen een bedrijf expliciet of stilzwijgend toestemming geven om hun persoonlijke gegevens op te slaan en te verwerken, maar ze stemmen zeker niet in met het overdragen van deze gegevens aan onbekende buitenstaanders. Cybercriminelen kunnen de toegang tot deze informatie benutten om het slachtoffer te chanteren.
En over chantage gesproken: we moeten ook nog rekening houden met ransomware. Vóór de eigenaar de toegang tot gegevens te ontnemen, worden diezelfde gegevens bij deze laatste variant vaak eerst gestolen. Als dit soort malware op de computer van HR-personeel terecht komt, kan dat betekenen dat de dieven de jackpot van persoonlijke gegevens gewonnen hebben.
Een steunpunt voor overtuigendere BEC-aanvallen
Het vertrouwen op de fouten van goedgelovige of slecht getrainde werknemers is riskant. De moeilijkere maar effectievere business e-mail compromise (BEС)-aanval is nu een grote speler. Dit soort aanvallen is er vaak op gericht om de controle van een mailbox van een werknemer over te nemen, en vervolgens collega’s te overtuigen om geld over te maken of vertrouwelijke informatie door te sturen. Om de kans op succes te vergroten, moeten cybercriminelen het mailaccount van iemand kapen wiens instructies hoogstwaarschijnlijk zullen worden opgevolgd. Vaak gaat het hierbij om een leidinggevende. De actieve fase van de operatie wordt voorafgegaan door de lange en minutieuze taak van het vinden van een hoog genoeg geplaatste werknemer. En in zo’n geval kan een HR-mailbox erg goed van pas komen.
Aan de ene kant, zoals hierboven als is genoemd, is het makkelijker om ervoor te zorgen dat HR een phishing-mail of -link opent. Aan de andere kant is het waarschijnlijk dat werknemers van het bedrijf een e-mail afkomstig van personeelszaken gewoon vertrouwen. HR stuurt regelmatig cv’s van sollicitanten naar afdelingshoofden door. HR stuurt natuurlijk ook nog eens interne documenten naar het hele bedrijf door. Hierdoor vormt een gekaapt HR-mailaccount een effectief platform voor het lanceren van een BEC-aanval én voor zijwaartse bewegingen over het bedrijfsnetwerk.
Zo beschermt u HR-computers
Om de kans op indringers op HR-computers te minimaliseren, raden we aan om de volgende tips in acht te nemen:
- Isoleer HR-computers indien mogelijk op een apart subnet en minimaliseer zo het risico op de verspreiding van dreigingen naar het bedrijfsnetwerk in het geval dat er één computer wordt geïnfecteerd.
- Sla geen persoonlijk identificeerbare informatie op werkstations op. Bewaar deze informatie in plaats daarvan op een aparte server, of beter nog: op ene systeem dat speciaal voor dit soort informatie is ontworpen en dat beschermd is met multifactor-authenticatie.
- Luister naar het advies van HR-professionals met betrekking tot bewustzijnstraining over cybersecurity[KASAP placeholder] voor het bedrijf — en zorg ervoor dat zij als eerste zo’n training bijwonen;
- Spoor HR-medewerkers aan om goed op te letten op de bestandsindelingen van bestanden die door sollicitanten worden verzonden. Recruiters zouden in staat moeten zijn om een uitvoerbaar bestand te spotten en moeten weten dat ze dit niet moeten openen. Het beste is om samen een lijst op te stellen met de acceptabele bestandsindelingen voor cv’s en werkvoorbeelden, en deze informatie bij te voegen bij vacatures voor eerlijke sollicitanten.
En houd u ten slotte altijd aan de fundamentele veiligheidsnormen: pudate software op HR-computers tijdig, handhaaf een strikt en eenvoudig te volgen wachtwoordbeleid (geen zwakke of dubbele wachtwoorden voor interne hulpmiddelen; wijzig alle wachtwoorden regelmatig), en installeer op elk apparaat een beveiligingssysteem dat tijdig op nieuwe dreigingen reageert en pogingen identificeert die kwetsbaarheden in software proberen te benutten.