ФБР и Агентство кибербезопасности и безопасности инфраструктуры недавно опубликовали тревога компаниям критической инфраструктуры, предупреждающим их о новом злоумышленнике-вымогателе. Рекомендации агентств заключались в следующем:
- Безопасные инструменты удаленного доступа.
- Ограничьте протокол удаленного рабочего стола и другие службы удаленного рабочего стола.
- Защитите PowerShell и/или ограничьте использование.
- Обновляйте программное обеспечение до последней версии и регулярно применяйте обновления.
Даже если вы не работаете в сфере критической инфраструктуры, это хороший совет.
А поскольку мы быстро приближаемся ко времени W-2, также было бы неплохо оценить ваши меры кибербезопасности и усилить протоколы безопасности W-2 для вашего персонала, отдела кадров, сотрудников и высшего руководства.
Для вашего персонала и высшего руководства
Специалисты по расчету заработной платы добились огромного успеха, когда они быстро пресекли фишинговую аферу W-2, когда фишер выдавал себя за сотрудника высшего руководства и просил отправить им по электронной почте информацию W-2 сотрудников.
Но старые аферы не умирают, они просто дремлют. Два сотрудника, работавшие в Северной Каролине, подали в суд на своего работодателя в соответствии с законодательством штата за халатность, нарушение подразумеваемого договора и нарушение Закона штата о недобросовестной и обманной торговой практике, связанное с кражей их личной идентифицирующей информации после того, как W-2 компании были фишинговыми. Федеральный суд первой инстанции удовлетворил ходатайство работодателя о вынесении упрощенного решения по большинству исков.
Хотя этот работодатель уклонился от ответственности, другим работодателям повезло меньше. Разница: Законы разных штатов предоставляют истцам множество возможностей подать в суд и выиграть дело.
Дело в том Сэвидж против Pharm-Save, Inc..
К счастью, исправить это легко.
- Переобучите своих сотрудников обращаться к высшему руководству до того, как они выполнят такой запрос, чтобы убедиться в его подлинности.
- Если это законный запрос, вежливо напомните руководству, что эта информация будет отправлена по факсу на их компьютер. Если высшее руководство возражает, помощник может забрать бумажную копию из офиса. начисление заработной платы отделение.
Для HR и сотрудников
После того как афера с W-2 провалилась, фишеры обратились к порталам самообслуживания сотрудников. Порталы ESS сейчас распространены, и хранящийся там кладезь информации — это кошачья мята для мошенников. Мошенничество работает, потому что сотрудники получают электронное письмо, предположительно от отдела кадров, о проблеме с их порталом ESS.
Эти исправления тоже не так сложны.
- Сообщите сотрудникам, что любое сообщение от отдела кадров или расчета заработной платы относительно их портала ESS будет подтверждено отправителем.
- Если оставить в стороне неудобства, сейчас самое время ввести многофакторную аутентификацию и потребовать от всех сотрудников сменить пароли портала ESS.
Для ваших сторонних поставщиков
Комиссия по ценным бумагам и биржам (SEC) теперь требует от публичных компаний определить свои меры кибербезопасности. Некоторые из требований SEC так же хорошо работают и при взаимодействии со сторонними поставщиками, например поставщики заработной платы и 401(k) сторонние администраторы.
Вот вопросы, которые вы должны задать любому третьему лицу, которое может получить доступ к личным данным сотрудников:
- Как ваши процессы кибербезопасности интегрированы в вашу общую систему или процессы управления рисками?
- В какой степени вы привлекаете оценщиков, консультантов, аудиторов или другие третьи стороны в связи с вашими процессами кибербезопасности?
- Кто контролирует и выявляет риски, связанные с угрозами кибербезопасности, связанными с вашими сторонними поставщиками?
- Какие риски, связанные с угрозами кибербезопасности, включая любые предыдущие инциденты кибербезопасности, существенно повлияли или могут существенно повлиять на вашу бизнес-стратегию, результаты деятельности или финансовое состояние?
Если вы хотите получить всю информацию от SEC, укажите в браузере здесь.
2023-10-24 13:00:00
1698178378
#Работодателям #необходимо #подготовить #планы #безопасности