اپنے Hr ٹیک کو سائبرٹیکس سے کیسے بچائیں

جب ہیکرز حملہ کرتے ہیں تو ، انسانی وسائل (HR) ان پہلی جگہوں میں سے ایک ہیں جہاں انھوں نے نشانہ بنایا تھا۔ ایچ آر ایک عمدہ ہدف ہے کیونکہ ڈارٹ ویب پر ڈیٹا تک جو انسانی ملازمت کے نام ، تاریخ پیدائش ، پتے ، سوشل سیکیورٹی نمبر ، اور ڈبلیو 2 کے فارم پر مشتمل ہے ، پر HR کے عملے کی رسائی ہے۔ اس نوعیت کی معلومات پر ہاتھ اٹھانے کے لئے ، ہیکرز داخلی دستاویزات مانگنے والے کمپنی ایگزیکٹوز کی حیثیت سے پوش کرنے سے لے کر ہر چیز کا استعمال کرتے ہیں۔ یہ کچھ ایسی صورت میں ہے کہ "کالنگ وہیل" کی جاسکتی ہے - جو بادل پر مبنی پے رول اور ایچ آر ٹیک خدمات میں خطرات کا استحصال کرتی ہے۔

لڑائی لڑنے کے ل companies ، کمپنیوں کو محفوظ کمپیوٹنگ پروٹوکول پر عمل کرنا ہوگا۔ اس میں ایچ آر لوگوں اور دیگر ملازمین کو گھوٹالوں کے لئے اپنے محافظ پر رہنے کی تربیت ، اعداد و شمار کی حفاظت کرنے والے طریقوں کو اپنانا ، اور کلاؤڈ بیسڈ ایچ آر ٹکنالوجی کے دکانداروں کی جانچ کرنا شامل ہے۔ بہت دور نہیں مستقبل میں ، بایومیٹرکس اور مصنوعی ذہانت (AI) بھی مدد کرسکتی ہے۔

سائبرٹیکس دور نہیں ہورہے ہیں۔ اگر کچھ بھی ہے تو ، وہ خراب ہو رہے ہیں۔ تمام سائز کی کمپنیاں سائبرٹیکس کا شکار ہیں۔ اگرچہ چھوٹے کاروباروں کو سب سے زیادہ خطرہ لاحق ہوسکتا ہے کیونکہ عموما عملے میں ان کی تعداد کم ہوتی ہے جن کا واحد کام سائبر کرائم پر نظر رکھنا ہے۔ بڑی تنظیمیں کسی حملے سے منسلک اخراجات جذب کرنے میں کامیاب ہوسکتی ہیں ، جن میں ان ملازمین کے لئے چند سال کی کریڈٹ رپورٹس کی ادائیگی بھی شامل ہے جن کی شناختیں چوری ہوگئی ہیں۔ چھوٹے کاروباری اداروں کے لئے ، ڈیجیٹل پائلرنگ کے نتائج تباہ کن ہوسکتے ہیں۔

ایچ آر ڈیٹا کی خلاف ورزی کی مثالیں تلاش کرنا مشکل نہیں ہے۔ مئی میں ، ہیکرز نے اپنے ملازمین کے سوشل سیکیورٹی نمبر اور عملے کے دیگر اعداد و شمار کو چرانے کے لئے اے ڈی پی کے صارفین پر سوشل انجینئرنگ اور ناقص حفاظتی طریقوں کا استعمال کیا۔ سیکیورٹی آن سیکیورٹی کے مطابق ، کریکس کے مطابق ، 2014 میں ، ملازمین کا ڈیٹا چوری کرنے اور جعلی ٹیکس گوشوارے جمع کرنے کے لئے ، الٹیمیٹ سافٹ ویئر کے الٹی پرو پرو پےرول اور ایچ آر مینجمنٹ سوٹ کے صارفین کی ایک مقررہ تعداد میں ہیکرز نے لاگ ان اسناد کا استحصال کیا۔

حالیہ مہینوں میں ، متعدد کمپنیوں میں HR محکموں نے W-2 ٹیکس فارم وہیلنگ گھوٹالوں کو ختم کرنے پر کام کیا ہے۔ متعدد مشہور واقعات میں ، محکمہ تنخواہ دار اور دوسرے ملازمین نے ایک جعلی خط موصول ہونے کے بعد ہیکرز کو W-2 ٹیکس کی معلومات دی جو کمپنی کے ایگزیکٹو سے دستاویزات کے لئے جائز درخواست کی طرح دکھائی دیتی ہے۔ مارچ میں ، سیگیٹ ٹکنالوجی نے کہا کہ اس نے نادانستہ طور پر اس طرح کے حملے کے ذریعے "کئی ہزار" موجودہ اور سابقہ ​​ملازمین کے لئے W-2 ٹیکس فارم کی معلومات شیئر کیں۔ اس سے ایک مہینہ پہلے ، اسنیپ چیٹ نے کہا تھا کہ اس کے پے رول ڈپارٹمنٹ میں ایک ملازم نے موجودہ اور سابقہ ​​ملازمین کی "متعدد" تعداد کے لئے پے رول کا ڈیٹا شیئر کرنے والے اسکیمر کے ساتھ شیئر کیا ہے جو سی ای او ایوان اسپیگل کی حیثیت سے موجود ہیں۔ وال اسٹریٹ جرنل کے مطابق ، ویٹ وچرز انٹرنیشنل ، پیروکنیلمر انکارپوریٹڈ ، بل کاسپر گالف ، اور اسپرٹ فارمرز مارکیٹ انکارپوریشن بھی اسی طرح کے ٹوٹ پھوٹ کا شکار ہیں۔

ٹرین ملازمین

ملازمین کو ممکنہ خطرات سے آگاہ کرنا دفاع کی پہلی لائن ہے۔ ملازمین کو ایسے عناصر کی شناخت کے لin تربیت دیں جو کمپنی کے ایگزیکٹوز کے ای میلوں میں شامل ہوں گے یا نہیں ہوں گے ، جیسے کہ عام طور پر وہ اپنے نام پر کیسے دستخط کرتے ہیں۔ اس بات پر دھیان دیں کہ ای میل کیا مانگ رہا ہے۔ سی ایف او کے پاس مالی اعداد و شمار کی طلب کرنے کی کوئی وجہ نہیں ہے ، مثال کے طور پر ، کیونکہ امکانات ہیں ، ان کے پاس موجود ہے۔

اس ہفتے لاس ویگاس میں بلیک ہیٹ سائبرسیکیوریٹی کانفرنس کے ایک محقق نے مشورہ دیا ہے کہ کاروبار اپنے ملازمین کو تمام ای میل پر شک کرنے کو کہیں ، چاہے وہ بھیجنے والے کو جانتے ہوں یا پیغام ان کی توقعات کے مطابق ہو۔ اسی محقق نے اعتراف کیا کہ فشنگ آگاہی کی تربیت بیک فائر ہوسکتی ہے اگر ملازمین انفرادی ای میل پیغامات کے جائز ہونے کو یقینی بنانے کے لئے چیک کرنے میں بہت زیادہ وقت خرچ کرتے ہیں تو اس سے ان کی پیداوری میں کمی واقع ہوتی ہے۔

آگاہی کی تربیت موثر ثابت ہوسکتی ہے ، اگر سائبرسیکیوریٹی ٹریننگ کمپنی نو بی 4 نے جو کام کیا ہے اس کا کوئی اشارہ ہے۔ ایک سال کے دوران ، نون بی 4 نے 300 کلائنٹ کمپنیوں پر مستقل فشینگ اٹیک ای میلز 300،000 ملازمین کو بھیجیں۔ انہوں نے یہ سرخ رنگ کے جھنڈوں کو کس طرح دکھائے جو کسی مسئلے کا اشارہ دے سکتا ہے اس کی تربیت کے لئے یہ کیا۔ تربیت سے پہلے ، 16 فیصد ملازمین نے مصنوعی فشنگ ای میلز کے لنکس پر کلک کیا۔ صرف 12 ماہ بعد ، یہ تعداد 1 فیصد رہ گئی ، نون بی 4 کے بانی اور سی ای او اسٹو سجورمین کے مطابق۔

کلاؤڈ میں ڈیٹا اسٹور کریں

فشنگ یا وہیل حملوں کے خاتمے کا دوسرا طریقہ یہ ہے کہ کمپنی کی معلومات کو ڈیسک ٹاپس یا لیپ ٹاپ پر دستاویزات یا فولڈروں کی بجائے کلاؤڈ میں خفیہ شکل میں رکھیں۔ اگر دستاویزات بادل میں ہیں ، یہاں تک کہ اگر کوئی ملازم فشنگ درخواست کے لئے آتا ہے تو ، وہ صرف ایک فائل کا لنک بھیج رہے ہوں گے ایک ہیکر رسائی حاصل نہیں کر سکے گا (کیونکہ ان کے پاس وہ اضافی معلومات نہیں تھیں جن کی انہیں ضرورت تھی اس کو کھولیں یا ڈیکریپٹ کریں)۔ سان فرانسسکو کی ایک کمپنی ون لوگین ، جو شناختی انتظام کے نظام کو فروخت کرتی ہے ، نے اپنے دفتر میں فائلوں کے استعمال پر پابندی عائد کردی ہے ، ون لوگین کے سی ای او تھامس پیڈرسن نے ایک کارنامے کے بارے میں بلاگ کیا ہے۔

"یہ سیکیورٹی وجوہات کے ساتھ ساتھ پیداواری صلاحیتوں کے لئے بھی ہے ،" ڈیویل میئر ، ون لاگین کے کوفاؤنڈر اور پروڈکٹ ڈویلپمنٹ کے نائب صدر نے کہا۔ "اگر کسی ملازم کا لیپ ٹاپ چوری ہوجاتا ہے تو اس سے کوئی فرق نہیں پڑتا ہے کیونکہ اس میں کچھ نہیں ہے۔"

میئر کاروباری افراد کو ایچ آر ٹیک پلیٹ فارم کی جانچ کرنے کے لئے مشورہ دیتے ہیں جس کے بارے میں وہ یہ سمجھنے کے لئے غور کر رہے ہیں کہ دکانداروں نے کیا سیکیورٹی پروٹوکول پیش کیا ہے۔ ADP حالیہ وقفوں پر تبصرہ نہیں کرے گی جو اپنے صارفین کو متاثر کرتی ہے۔ تاہم ، اے ڈی پی کے ترجمان نے کہا کہ کمپنی سائبر سیکیورٹی کے عام مسائل جیسے فشنگ اور میلویئر سے بچنے کے ل clients بہترین طریقوں سے گاہکوں اور صارفین کو تعلیم ، آگاہی کی تربیت ، اور معلومات فراہم کرتی ہے۔ ترجمان کے مطابق ، جب اے ڈی پی کی مالی جرائم کی نگرانی کرنے والی ٹیم اور کلائنٹ سپورٹ گروپ مؤکلوں کو مطلع کرتے ہیں جب کمپنی دھوکہ دہی کا پتہ لگاتی ہے یا دھوکہ دہی تک رسائی کی کوشش ہوتی ہے تو ، ترجمان کے مطابق۔ سیکیورٹی آن سیکیورٹی کے مطابق ، کریبس کے مطابق ، الٹیمیٹرو سافٹ نے 2014 میں الٹی پرو کے صارفین پر حملوں کے بعد بھی ایسی ہی احتیاطی تدابیر رکھی ہیں۔

آپ کا کاروبار کہاں واقع ہے اس پر منحصر ہے ، آپ کی قانونی ذمہ داری ہوسکتی ہے کہ مناسب حکام کو ڈیجیٹل بریک ان کی اطلاع دیں۔ کیلیفورنیا میں ، مثال کے طور پر ، جب 500 سے زائد ملازمین کے نام چوری ہوچکے ہیں تو کمپنیوں کی اطلاع دینے کی ذمہ داری عائد ہوتی ہے۔ سوجورمین کے مطابق ، یہ جاننے کے لئے کہ آپ کے فرائض کیا ہیں ، کسی وکیل سے مشورہ کرنا اچھا ہے۔

انہوں نے کہا ، "یہاں ایک قانونی تصور موجود ہے جس کے تحت آپ کو اپنے ماحول کی حفاظت کے لئے مناسب اقدامات کرنے کی ضرورت ہے ، اور اگر آپ ایسا نہیں کرتے ہیں تو آپ لازمی طور پر ذمہ دار ہیں۔"

شناخت کا انتظام سافٹ ویئر استعمال کریں

کمپنیاں لاگ ان اور پاس ورڈز کو کنٹرول کرنے کے لئے شناختی مینجمنٹ سوفٹ ویئر کا استعمال کرکے ایچ آر سسٹم کی حفاظت کرسکتی ہیں۔ انٹرپرائز کے پاس ورڈ مینیجر کی حیثیت سے شناخت کے انتظام کے نظام کے بارے میں سوچئے۔ HR عملے اور ملازمین پر انحصار کرنے کے بجائے کہ وہ ہر پلیٹ فارم کے صارف نام اور پاس ورڈ کو یاد رکھیں اور ان کی حفاظت کریں pay جو وہ تنخواہ ، فوائد ، بھرتی ، نظام الاوقات وغیرہ کے لئے استعمال کرتے ہیں ، ہر چیز تک رسائی کے ل a ایک ہی لاگ ان کا استعمال کرسکتے ہیں۔ ہر چیز کو ایک لاگ ان کے تحت رکھنا ان ملازمین کے لئے آسان بن سکتا ہے جو شاید HR سسٹم میں پاس ورڈ بھول جائیں جو وہ سال میں صرف چند بار لاگ ان ہوجاتے ہیں (انھیں کہیں زیادہ لکھنے پر آمادہ کرتے ہیں یا انہیں آن لائن اسٹور کردیتے ہیں جہاں ان کی چوری ہوسکتی ہے)۔

کمپنیاں ایچ آر سسٹم کے منتظمین کے لئے دو عنصر کی شناخت مرتب کرنے کے لئے شناختی انتظام کے نظام کا استعمال کرسکتی ہیں یا لاگ ان کو محدود کرنے کے لئے جیوفینسنگ کا استعمال کرسکتی ہیں تاکہ منتظمین کسی خاص جگہ جیسے دفتر سے ہی سائن ان کرسکتے ہیں۔

ونلوگین کے میئر نے کہا ، "یہ سکیورٹی رسک رواداری کی تمام سطحوں پر مختلف افراد اور مختلف کردار HR سسٹم میں شامل نہیں ہیں۔"

ایچ آر ٹیک فروش اور سائبرسیکیوریٹی کمپنیاں سائبریٹیکس کو روکنے کے لئے دیگر تکنیکوں پر کام کر رہی ہیں۔ آخر کار ، زیادہ ملازمین بائیو میٹرکس جیسے فنگر پرنٹ یا ریٹنا اسکین کا استعمال کرکے ایچ آر اور دوسرے ورک سسٹم میں لاگ ان ہوں گے ، جو ہیکرز کو توڑنے کے ل. سخت ہیں۔ بلیک ہیٹ کانفرنس میں پیش کی جانے والی ایک پیش کش کے مطابق ، مستقبل میں ، سائبرسیکیوریٹی پلیٹ فارمز میں مشین لرننگ شامل ہوسکتی ہے جو سافٹ ویئر کو خود کو کمپیوٹر یا نیٹ ورکس میں نقصاندہ سافٹ ویئر اور دیگر مشکوک سرگرمیوں کا پتہ لگانے کی تربیت دیتی ہے۔

جب تک یہ اختیارات زیادہ وسیع پیمانے پر دستیاب نہیں ہوں گے ، HR محکموں کو اپنی بیداری ، تربیت ملازمین ، دستیاب حفاظتی اقدامات ، اور HR ٹیک فروشوں پر انحصار کرنا ہوگا جن کے ساتھ وہ کام کرتے ہیں تاکہ تکلیف سے بچا جاسکے۔