Работодателям необходимо подготовить планы безопасности W-2

ФБР и Агентство кибербезопасности и безопасности инфраструктуры недавно опубликовали тревога компаниям критической инфраструктуры, предупреждающим их о новом злоумышленнике-вымогателе. Рекомендации агентств заключались в следующем:

1. Безопасные инструменты удаленного доступа.
2. Ограничьте протокол удаленного рабочего стола и другие службы удаленного рабочего стола.
3. Защитите PowerShell и/или ограничьте использование.
4. Обновляйте программное обеспечение до последней версии и регулярно применяйте обновления.

Даже если вы не работаете в сфере критической инфраструктуры, это хороший совет.

А поскольку мы быстро приближаемся ко времени W-2, также было бы неплохо оценить ваши меры кибербезопасности и усилить протоколы безопасности W-2 для вашего персонала, отдела кадров, сотрудников и высшего руководства.

Для вашего персонала и высшего руководства

Специалисты по расчету заработной платы добились огромного успеха, когда они быстро пресекли фишинговую аферу W-2, когда фишер выдавал себя за сотрудника высшего руководства и просил отправить им по электронной почте информацию W-2 сотрудников.

Но старые аферы не умирают, они просто дремлют. Два сотрудника, работавшие в Северной Каролине, подали в суд на своего работодателя в соответствии с законодательством штата за халатность, нарушение подразумеваемого договора и нарушение Закона штата о недобросовестной и обманной торговой практике, связанное с кражей их личной идентифицирующей информации после того, как W-2 компании были фишинговыми. Федеральный суд первой инстанции удовлетворил ходатайство работодателя о вынесении упрощенного решения по большинству исков.

Хотя этот работодатель уклонился от ответственности, другим работодателям повезло меньше. Разница: Законы разных штатов предоставляют истцам множество возможностей подать в суд и выиграть дело.

Дело в том Сэвидж против Pharm-Save, Inc..

К счастью, исправить это легко.

• Переобучите своих сотрудников обращаться к высшему руководству до того, как они выполнят такой запрос, чтобы убедиться в его подлинности.
• Если это законный запрос, вежливо напомните руководству, что эта информация будет отправлена ​​по факсу на их компьютер. Если высшее руководство возражает, помощник может забрать бумажную копию из офиса. начисление заработной платы отделение.
  

Для HR и сотрудников

После того как афера с W-2 провалилась, фишеры обратились к порталам самообслуживания сотрудников. Порталы ESS сейчас распространены, и хранящийся там кладезь информации — это кошачья мята для мошенников. Мошенничество работает, потому что сотрудники получают электронное письмо, предположительно от отдела кадров, о проблеме с их порталом ESS.

Эти исправления тоже не так сложны.

• Сообщите сотрудникам, что любое сообщение от отдела кадров или расчета заработной платы относительно их портала ESS будет подтверждено отправителем.
• Если оставить в стороне неудобства, сейчас самое время ввести многофакторную аутентификацию и потребовать от всех сотрудников сменить пароли портала ESS.

Для ваших сторонних поставщиков

Комиссия по ценным бумагам и биржам (SEC) теперь требует от публичных компаний определить свои меры кибербезопасности. Некоторые из требований SEC так же хорошо работают и при взаимодействии со сторонними поставщиками, например поставщики заработной платы и 401(k) сторонние администраторы.

Вот вопросы, которые вы должны задать любому третьему лицу, которое может получить доступ к личным данным сотрудников:

• Как ваши процессы кибербезопасности интегрированы в вашу общую систему или процессы управления рисками?
• В какой степени вы привлекаете оценщиков, консультантов, аудиторов или другие третьи стороны в связи с вашими процессами кибербезопасности?
• Кто контролирует и выявляет риски, связанные с угрозами кибербезопасности, связанными с вашими сторонними поставщиками?
• Какие риски, связанные с угрозами кибербезопасности, включая любые предыдущие инциденты кибербезопасности, существенно повлияли или могут существенно повлиять на вашу бизнес-стратегию, результаты деятельности или финансовое состояние?

Если вы хотите получить всю информацию от SEC, укажите в браузере здесь.