কীভাবে আপনার এইচআর প্রযুক্তিটি সাইবারেটট্যাক্স থেকে রক্ষা করবেন

যখন হ্যাকাররা আক্রমণ করে, মানবসম্পদ (এইচআর) হ'ল তারা প্রথম যে স্থানে আঘাত করেছে of কর্মচারীদের নাম, জন্ম তারিখ, ঠিকানা, সামাজিক সুরক্ষা নম্বর এবং ডাব্লু 2 ফর্ম সহ ডার্ক ওয়েবে এইচআর কর্মীদের প্রবেশযোগ্য ডেটা অ্যাক্সেসের কারণে এইচআর একটি জনপ্রিয় লক্ষ্য। এই জাতীয় তথ্যে তাদের হাত পেতে, হ্যাকাররা ফিশিং থেকে শুরু করে অভ্যন্তরীণ নথিগুলির জন্য জিজ্ঞাসা করা কোম্পানির আধিকারিক হিসাবে পোজ করা থেকে শুরু করে - যা ক্লাউড-ভিত্তিক বেতনভোগী এবং এইচআর টেক পরিষেবাগুলিতে দুর্বলতার শোষণ করার জন্য কিছু কল "তিমি" ফিশিংয়ের এক প্রকার।

লড়াইয়ে লড়াই করার জন্য, সংস্থাগুলি নিরাপদ কম্পিউটিং প্রোটোকল অনুসরণ করতে হবে। এর মধ্যে রয়েছে এইচআর লোক এবং অন্যান্য কর্মচারীদের কেলেঙ্কারীর জন্য তাদের পাহারায় থাকতে প্রশিক্ষণ দেওয়া, ডেটা সুরক্ষার অভ্যাস অবলম্বন করা এবং ক্লাউড-ভিত্তিক এইচআর প্রযুক্তির ভেন্ডারদের পরীক্ষা করা। খুব বেশি দূরের ভবিষ্যতে, বায়োমেট্রিক্স এবং কৃত্রিম বুদ্ধিমত্তা (এআই) এছাড়াও সহায়তা করতে পারে।

সাইবারেট্যাকগুলি চলে যাচ্ছে না; যদি কিছু হয় তবে তারা আরও খারাপ হচ্ছে। সমস্ত আকারের সংস্থাগুলি সাইবারেট্যাক্সের জন্য সংবেদনশীল। ছোট ব্যবসাগুলি, তবে সবচেয়ে বেশি ঝুঁকির কারণ হতে পারে কারণ তাদের কর্মীদের মধ্যে সাধারণত কম লোক রয়েছে যাদের একমাত্র কাজ সাইবার ক্রাইমের দিকে নজর রাখা। বড় সংস্থাগুলি আক্রমণের সাথে জড়িত ব্যয়গুলি শোষিত করতে সক্ষম হতে পারে, যার পরিচয় চুরি হয়েছে এমন কর্মীদের জন্য কয়েক বছরের মূল্যবান ক্রেডিট রিপোর্ট প্রদান করে। ছোট উদ্যোগের জন্য, ডিজিটাল পাইলফারিংয়ের পরিণতিগুলি ধ্বংসাত্মক হতে পারে।

এইচআর ডেটা লঙ্ঘনের উদাহরণ খুঁজে পাওয়া শক্ত নয়। মে মাসে, হ্যাকাররা তাদের কর্মীদের সামাজিক সুরক্ষা নম্বর এবং অন্যান্য কর্মীদের ডেটা চুরি করতে এডিপি গ্রাহকদের কাছে সামাজিক প্রকৌশল এবং দুর্বল সুরক্ষা পদ্ধতি ব্যবহার করে used সিকিউরিটির ক্রেবস অনুসারে, 2014 সালে, হ্যাকাররা কর্মচারীদের ডেটা চুরি করতে এবং জালিয়াতি ট্যাক্স রিটার্ন দাখিল করতে চূড়ান্ত সফ্টওয়্যারের আলটিপ্রো বেতনভিত্তিক এবং এইচআর ম্যানেজমেন্ট স্যুটের নির্ধারিত সংখ্যক গ্রাহকদের একটি নির্ধারিত সংখ্যায় লগ-ইন শংসাপত্রগুলি ব্যবহার করেছিল, সাম্প্রতিক মাসগুলিতে, বহু সংস্থার এইচআর বিভাগগুলি ডাব্লু -২ ট্যাক্স ফর্ম তিমি কেলেঙ্কারির সমাপ্তির শেষ হয়েছে। বেশ কয়েকটি সুপরিচিত উদাহরণে বেতন-বিভাগ এবং অন্যান্য কর্মচারীরা একটি স্পুফ চিঠি পাওয়ার পরে হ্যাকারদের ডাব্লু -২ ট্যাক্সের তথ্য দিয়েছিল যা কোনও কোম্পানির নির্বাহীর কাছ থেকে নথিপত্রের বৈধ অনুরোধের মতো দেখায়। মার্চ মাসে সিগেট টেকনোলজি জানিয়েছিল যে তারা অবিচ্ছিন্নভাবে এই ধরনের হামলার মাধ্যমে "কয়েক হাজার" বর্তমান এবং প্রাক্তন কর্মচারীদের জন্য ডাব্লু-টু ট্যাক্স ফর্মের তথ্য ভাগ করে নিয়েছে। তার এক মাস আগে, স্ন্যাপচ্যাট বলেছিল যে তার বেতন বিভাগের একজন কর্মচারী বেতনভিত্তিক ডেটা ভাগ করেছেন "বহু সংখ্যক" বর্তমান এবং প্রাক্তন কর্মচারীর সাথে স্ক্যামার সিইও ইভান স্পিজেল হিসাবে উপস্থিত। ওয়াল ওয়াচারারস ইন্টারন্যাশনাল, পারকিনএলমার ইনক।, বিল ক্যাস্পার গল্ফ এবং স্প্রাউটস ফার্মার্স মার্কেট ইনক.ও একই ধরণের ক্ষতির শিকার হয়েছে বলে ওয়াল স্ট্রিট জার্নাল জানিয়েছে।

ট্রেন কর্মচারী

কর্মীদের সম্ভাব্য বিপদ সম্পর্কে সচেতন করা প্রতিরক্ষা প্রথম লাইন। কর্মীদের এমন উপাদানগুলি সনাক্ত করতে প্রশিক্ষণ দিন যা সংস্থার নির্বাহীদের ইমেলগুলিতে অন্তর্ভুক্ত হবে বা হবে না, যেমন তারা সাধারণত তাদের নাম কীভাবে স্বাক্ষর করে। ইমেলটি যা চাচ্ছে তাতে মনোযোগ দিন। সিএফওর কাছে আর্থিক তথ্য জিজ্ঞাসা করার কোনও কারণ নেই, উদাহরণস্বরূপ, কারণ সম্ভাবনা রয়েছে, তাদের কাছে এটি ইতিমধ্যে রয়েছে।

এই সপ্তাহে লাস ভেগাসে ব্ল্যাক হ্যাট সাইবারসিকিউরিটি কনফারেন্সের একজন গবেষক পরামর্শ দিয়েছেন যে ব্যবসায়ীরা তাদের কর্মীদের সমস্ত ইমেল সম্পর্কে সন্দেহজনক হতে বলে, এমনকি তারা প্রেরককে চেনেও বা বার্তাটি তাদের প্রত্যাশার সাথে মানিয়ে যায় কিনা। সেই একই গবেষক স্বীকার করেছেন যে ফিশিং সচেতনতা প্রশিক্ষণটি যদি কর্মীরা স্বতন্ত্র ইমেল বার্তাগুলি বৈধ কিনা তা নিশ্চিত করার জন্য যদি এত বেশি সময় ব্যয় করে যে এটি তাদের উত্পাদনশীলতা হ্রাস করে তবে তা ফিরিয়ে দিতে পারে।

সচেতনতা প্রশিক্ষণ কার্যকর হতে পারে, যদি কাজ সাইবারসিকিউরিটি প্রশিক্ষণ সংস্থা ননবি 4 করেছে তবে তার কোনও ইঙ্গিত পাওয়া যায়। এক বছর ধরে, ননবি 4 নিয়মিত ভিত্তিতে 300 ক্লায়েন্ট সংস্থায় 300, 000 কর্মচারীদের সিমুলেটেড ফিশিং অ্যাটাক ইমেল প্রেরণ করেছিল; কোনও সমস্যা সংকেত দিতে পারে এমন লাল পতাকাগুলি কীভাবে চিহ্নিত করা যায় তা প্রশিক্ষণের জন্য তারা এটি করেছিল did প্রশিক্ষণের আগে, 16 শতাংশ কর্মচারী সিমুলেটেড ফিশিং ইমেলের লিঙ্কগুলিতে ক্লিক করেছিলেন। মাত্র 12 মাস পরে, এই সংখ্যাটি 1 শতাংশে নেমে গেছে, ননবি 4 এর প্রতিষ্ঠাতা এবং প্রধান নির্বাহী কর্মকর্তা স্টু সিজউম্যানের মতে।

ক্লাউডে ডেটা সঞ্চয় করুন

ফিশিং বা তিমি আক্রমণগুলি প্রায় শেষ করার আরেকটি উপায় হ'ল ডকুমেন্টস বা ল্যাপটপের ডকুমেন্টস বা ফোল্ডারগুলির পরিবর্তে ক্লাউডে এনক্রিপ্ট করা আকারে কোম্পানির তথ্য রাখা। যদি দস্তাবেজগুলি মেঘে থাকে, এমনকি যদি কোনও কর্মচারী ফিশিংয়ের অনুরোধের জন্য পড়েও থাকে তবে তারা কেবল একটি ফাইলের একটি লিঙ্ক প্রেরণ করতে চাইলে হ্যাকার অ্যাক্সেস করতে সক্ষম হবেনা (কারণ তাদের প্রয়োজনীয় অতিরিক্ত তথ্য না থাকলে তাদের কাছে তথ্য থাকবে না) এটি খুলুন বা ডিক্রিপ্ট করুন)। ওয়ানলোগিন, সান ফ্রান্সিসকো সংস্থা যা পরিচয় ব্যবস্থাপনা সিস্টেম বিক্রি করে, তার অফিসে ফাইল ব্যবহার নিষিদ্ধ করেছে, ওয়ানলোগিনের সিইও টমাস পেদারসেন ব্লগ করেছেন একটি কৃতিত্ব।

ওয়াললোগিনের কফাউন্ডার এবং পণ্য বিকাশের ভাইস প্রেসিডেন্ট ডেভিড মেয়ার বলেছিলেন, "এটি সুরক্ষার কারণের পাশাপাশি উত্পাদনশীলতার জন্যও রয়েছে।" "যদি কোনও কর্মচারীর ল্যাপটপ চুরি হয়ে যায়, তবে কিছুই নেই কারণ এতে কিছুই নেই""

মায়ার ব্যবসায়ীরা এইচআর টেক প্ল্যাটফর্মগুলি যাচাই করার পরামর্শ দিচ্ছেন যাতে তারা বিক্রেতারা কী কী সুরক্ষা প্রোটোকল অফার করে তা বোঝার জন্য তাদের পরামর্শ দেওয়ার পরামর্শ দেয়। এডিপি তার গ্রাহকদের ক্ষতিগ্রস্থ সাম্প্রতিক ব্রেক-ইনগুলিতে মন্তব্য করবে না। তবে এডিপির একজন মুখপাত্র বলেছেন, সংস্থাটি ফিশিং এবং ম্যালওয়ারের মতো সাধারণ সাইবারসিকিউরিটি সম্পর্কিত সমস্যাগুলি রোধ করার জন্য ক্লায়েন্ট এবং গ্রাহকদের সর্বোত্তম অনুশীলনের উপর শিক্ষা, সচেতনতা প্রশিক্ষণ এবং তথ্য সরবরাহ করে। মুখপাত্রের মতে সংস্থাটি যখন জালিয়াতি সনাক্ত করে বা প্রতারণামূলক অ্যাক্সেসের চেষ্টা করেছে তখন একটি এডিপি আর্থিক অপরাধ তদারককারী দল এবং ক্লায়েন্ট সহায়তা গোষ্ঠী ক্লায়েন্টকে অবহিত করে। সিকিউরিটির বিষয়ে ক্রেবস জানিয়েছে, ২০১৪ সালে আলটিপ্রো ব্যবহারকারীদের উপর হামলার পরে আলটিমেট সফ্টওয়্যারও অনুরূপ সতর্কতা রেখেছিল, গ্রাহকদের জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ স্থাপন সহ, ক্রেবস অন সিকিউরিটি।

আপনার ব্যবসা কোথায় অবস্থিত তার উপর নির্ভর করে আপনার যথাযথ কর্তৃপক্ষকে ডিজিটাল ব্রেক-ইন রিপোর্ট করার আইনী বাধ্যবাধকতা থাকতে পারে। ক্যালিফোর্নিয়ায়, উদাহরণস্বরূপ, 500 টিরও বেশি কর্মচারীর নাম চুরি হয়ে গেলে সংস্থাগুলির প্রতিবেদন করার বাধ্যবাধকতা রয়েছে। স্যুওয়ারম্যানের মতে আপনার কর্তব্যগুলি কী তা সন্ধানের জন্য একজন আইনজীবীর সাথে পরামর্শ করা ভাল।

"এখানে একটি আইনী ধারণা রয়েছে যা আপনার পরিবেশ রক্ষার জন্য আপনার যথাযথ ব্যবস্থা গ্রহণের প্রয়োজন, এবং যদি আপনি তা না করেন তবে আপনি মূলত দায়বদ্ধ" তিনি বলেছিলেন।

আইডেন্টিটি ম্যানেজমেন্ট সফটওয়্যার ব্যবহার করুন

সংস্থাগুলি লগ-ইনগুলি এবং পাসওয়ার্ডগুলি নিয়ন্ত্রণ করতে পরিচয় পরিচালনা সফ্টওয়্যার ব্যবহার করে এইচআর সিস্টেমগুলি সুরক্ষা দিতে পারে। এন্টারপ্রাইজের পাসওয়ার্ড পরিচালক হিসাবে পরিচয় ব্যবস্থাপনার সিস্টেমগুলি ভাবেন। এইচআর স্টাফ এবং কর্মচারীদের উপর নির্ভর করার পরিবর্তে তারা যে সমস্ত প্ল্যাটফর্মের জন্য বেতন-বেনিফিট, সুবিধা, নিয়োগ, সময়সূচী ইত্যাদির জন্য ব্যবহার করে তাদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড মনে রাখবেন - এবং সুরক্ষা দিন, সমস্ত কিছু অ্যাক্সেস করার জন্য তারা একক লগ-ইন ব্যবহার করতে পারেন। সমস্ত কিছুকে একটি লগ-ইনের আওতায় আনা এমন কর্মচারীদের পক্ষে সহজ হতে পারে যেগুলি এইচআর সিস্টেমে পাসওয়ার্ড ভুলে যেতে পারে তারা কেবল বছরে কয়েকবার লগইন করে (তাদের আরও কোথাও লিখে রাখার প্রতি ঝোঁক তৈরি করে বা যেখানে সেগুলি চুরি হতে পারে সেখানে অনলাইনে সঞ্চয় করে)।

সংস্থাগুলি এইচআর সিস্টেম প্রশাসকদের জন্য দ্বি-গুণক সনাক্তকরণ সেট আপ করতে একটি সনাক্তকারী ব্যবস্থাপনার সিস্টেম ব্যবহার করতে পারে বা লগ-ইনগুলি সীমাবদ্ধ করতে জিওফেন্সিং ব্যবহার করতে পারে যাতে প্রশাসকরা কেবলমাত্র অফিসের মতো নির্দিষ্ট স্থান থেকে সাইন ইন করতে পারে।

ওয়ানলোগিনের মায়ার বলেছেন, "বিভিন্ন লোকের জন্য এই সমস্ত ঝুঁকি সহনশীলতা স্তর এবং এইচআর সিস্টেমে বিভিন্ন ভূমিকা বিভিন্ন বৈশিষ্ট্য নয়।"

এইচআর টেক বিক্রেতারা এবং সাইবারসিকিউরিটি সংস্থাগুলি সাইবারেট্যাক্স রোধে অন্যান্য কৌশল নিয়ে কাজ করছে। অবশেষে, আরও কর্মচারী এইচআর এবং অন্যান্য ওয়ার্ক সিস্টেমে লগইন করবেন বায়োমেট্রিকগুলি যেমন ফিঙ্গারপ্রিন্ট বা রেটিনা স্ক্যানগুলি ব্যবহার করে যা হ্যাকারদের ক্র্যাক করা শক্ত are ব্ল্যাক হ্যাট সম্মেলনে উপস্থাপনা অনুযায়ী, ভবিষ্যতে সাইবারসিকিউরিটি প্ল্যাটফর্মে মেশিন লার্নিং অন্তর্ভুক্ত থাকতে পারে যা কম্পিউটার বা নেটওয়ার্কগুলিতে দূষিত সফ্টওয়্যার এবং অন্যান্য সন্দেহজনক ক্রিয়াকলাপ সনাক্ত করতে সফ্টওয়্যারকে প্রশিক্ষণ দেয়।

এই বিকল্পগুলি আরও ব্যাপকভাবে উপলভ্য না হওয়া পর্যন্ত এইচআর বিভাগগুলি তাদের নিজস্ব সচেতনতা, প্রশিক্ষণ কর্মীদের প্রশিক্ষণ, উপলব্ধ সুরক্ষা ব্যবস্থা এবং এইচআর টেক বিক্রেতাদের উপর ঝামেলা এড়াতে তাদের উপর নির্ভর করতে হবে।