16.11.2020
Jagten er gået ind på HR-cheferne
Af Thomas Wong, Business Manager for audit & advice hos Nixu Denmark
Efteråret er jagtsæson, det ved de fleste. Men at det er HR-chefer, der i år er byttet, er nok nyt for de fleste – især for HR-cheferne. Men ifølge en ny trusselsvurdering fra Center for Cybersikkerhed (CFCS) forholder det sig ikke desto mindre sådan. Når vurderingen kommer fra CFCS, betyder det desværre, at ordet jagt skal opfattes i den negative betydning – ikke, som man måske kunne håbe, at HR-cheferne var blevet en endnu mere efterspurgt ressource på jobmarkedet. Nej, HR-cheferne er blevet det, man populært kalder for VAPs eller Very Attacked Persons – altså en populær målgruppe for hackere. Tidligere har de fleste hacker-angreb været rettet mod CEOs og CFOs, fordi de vurderede, at det var dem, der udgjorde den korteste vej til virksomhedens følsomme data. Men hackerne har nu fundet ud af, at HR-afdelingen også har adgang til mange af virksomhedens følsomme data. Og ergo er HR-cheferne nu også blevet jaget vildt.
Sådan bliver du ramt
Angrebene kan foregå på flere måder. En af de mest oplagte er, at hackerne sender en ansøgning på en opslået stilling og vedhæfter en fil, der angiveligt indeholder et CV. Men filen indeholder ikke et CV men derimod en form for malware, der via HR-chefens computer spreder sig til resten af virksomheden. En anden, men lige så anvendt, metode er, at man sender en uopfordret ansøgning og et sted i teksten får indsneget et link for eksempel til noget, der umiddelbart ligner en LinkedIn-profil eller lignende. Idéen er så, at HR-chefen klikker på linket og dermed giver hackerne adgang til virksomhedens systemer.
Men hvordan skal jeg som HR-medarbejder så kunne udføre mit arbejde, hvis jeg ikke længere må åbne ansøgninger, CV’er og anbefalinger, spørger du nok. Godt spørgsmål, for normalt siger man jo, at man bør være varsom med fremmede og udefrakommende mail. Men i HR-sammenhæng er alle mails jo i sagens natur fremmede og udefrakommende. Der findes desværre ikke nogen anti-hacker knap, man bare lige kan trykke på. Men der er en række ting, man kan forbedre og ændre på. Nogle kræver en investering, mens andre snarere handler om uddannelse og ændring af vaner og holdninger.
It-afdelingen kan hjælpe
Hvis man ikke allerede benytter et rekrutteringsværktøj, bør man måske overveje, om tiden er inde til at udskifte den klassiske ansøgningsprocedure, hvor man benytter mails og vedhæftede dokumenter og i stedet overgå til en et nyt rekrutteringssystem, hvor ansøgeren uploader sin ansøgning, CV med mere. Her vil pdf’er typiske ikke blive åbnet lokalt men bare vist som billeder, hvilket betyder, at de er helt ufarlige for virksomhedens it-system. Det betyder desuden, at det bliver lettere at overholde GDPR, da alle persondata opbevares samlet i rekrutteringsværktøjet i stedet for at blive sendt rundt i organisationen i talrige mails. Når det drejer sig om uopfordrede ansøgninger, behøver man heller ikke slække på sikkerheden. Også her kan man henvise ansøgere til at benytte virksomhedens rekrutteringssystem, da man på den måde har bedre kontrol med vedhæftninger og som en ekstra bonus lettere kan overholde GDPR, hvilket jo også er i ansøgernes egen interesse.
En anden mulighed er at isolere en pc i HR-afdelingen til håndtering af indkomne ansøgninger dvs. en pc, der udelukkende bliver brugt til det ene formål - at modtage ansøgninger og CV’er, og som ikke har adgang til virksomhedens andre it-systemer. Når rekrutteringsprocessen er overstået, bliver alle data slette igen. Et alternativ er at begrænse adgangen til hvilke data, HR-afdelingen har adgang til, således at et eventuelt angreb ikke spredes uforholdsmæssigt langt omkring i virksomheden. Det sidste kan dog være svært at gennemføre uden at begrænse HR-afdelingens råderum og dermed lægge afdelingen unødige forhindringer i vejen.
Hjælp til selvhjælp
Så langt så godt. Alle de ovennævnte tiltag er ting, it-afdelingen kan styre for dig. Men det er jo også rart selv at være i kontrol, og der er også ting, du selv kan gøre. Jo mere du ved om, hvordan hackere tænker og handler, jo bedre rustet er du til at modstå angreb. Derfor handler en meget stor del af forsvarsarbejdet om at uddanne HR-medarbejdere i Dos & Don’ts i forbindelse med hacker-angreb og it-sikkerhed. Man kan uddanne sig i at vide ting som, hvornår man skal være på vagt. Hvordan man gennemskuer et phishing-forsøg. Hvordan man skal agere, hvis uheldet er ude, og man alligevel er kommet til at klikke på et link eller åbne en fil og så videre.
Uddannelse, uddannelse og atter uddannelse – det er så vigtigt, at man ikke kan sige det for tit. Men det ved HR-chefer og andre medarbejdere HR-stillinger jo bedre end nogen.