虽然预防是针对网络攻击的最佳良药,但如果组织成为犯罪分子的目标,您必须迅速采取行动。
针对企业、非营利组织甚至政府的网络犯罪呈上升趋势。Check Point Research 数据显示,2022 年,全球网络攻击数量较上年增加 38%。
2022 年,FBI 的网络犯罪投诉中心 (IC3) 收到了大约 80 万起投诉,较 2021 年减少 5%,但总损失从 69 亿美元增长至 102 亿美元。仅 2022 年上半年,全球估计就发生了 2.36 亿起勒索软件攻击。
薪酬首当其冲。
在 ADP 2022 年的一项调研中,大约六成 (61%) 的受访者表示,他们的薪酬管理运营在过去 24 个月内至少遭受过一次网络安全泄漏。或许这就是 44% 的受访者表示数据安全是他们未来几年计划改进项的原因。
薪酬和财务部门尤其容易受到网络攻击,因为犯罪分子的目标是钱。因此,组织必须识别并避免常见的薪酬诈骗,并遵循安全最佳实践,避免遭受损失。定期对员工进行安全培训对预防诈骗和泄漏大有助益。同时,也有助于为最坏的情况做好准备。
需要注意的事项
针对全球薪酬管理部门的威胁可能来自外部(例如黑客攻击或网络钓鱼攻击),也可能来自内部(在职员工或离职员工挪用资金或滥用权限)。以下是针对企业的最常见的诈骗:
- 勒索软件和恶意软件:恶意软件攻击,即使用恶意软件或病毒来感染组织系统,是非常常见但有效的诈骗方式。勒索软件是最常见的恶意软件形式,也是全球薪酬管理部门遭受攻击的最主要方式之一。如果攻击成功,犯罪分子会使用恶意软件加密整个系统,并以公司数据为要挟进行勒索。
- 业务电子邮件欺诈 (BEC):在 BEC 攻击中,黑客会设置一个电子邮件帐户,冒充员工或经理,并用该帐户向薪酬管理员工发送电子邮件。黑客冒充员工或老板,可能会要求薪酬专业人员更改员工的银行详细信息、购买无法追踪的礼品卡或要求与其分享薪酬数据。此外,还有一种新的 BEC 诈骗,黑客可能会在视频通话中冒充首席执行官或首席财务官,使用“深度伪造”音频工具,或声称其音频或视频故障,以说服员工汇款到欺诈帐户。黑客通常会制造紧迫感,迫使员工无视安全协议。
- 网络钓鱼:犯罪分子通常会以薪酬管理或财务人员为目标,努力让他们点击包含恶意软件的链接,从而使其能够访问公司系统。高达 83% 的组织报告在 2022 年遭遇过网络钓鱼攻击。“网络钓鱼案件很难发现,因为犯罪分子会使用真实合法的员工凭证来访问机密数据。”Kaspersky 拉丁美洲研究主管 Fabio Assolini 指出。
- 员工舞弊:对薪酬系统的威胁还可能来自内部,来自离职员工或在职员工。薪酬舞弊是指篡改员工薪酬记录,为非法付款提供便利。其中可能包括向属于虚构员工的未经授权的帐户付款,或将员工错误分类,从而使其获得更高工资。
如何预防网络攻击
对员工进行教育和培训,使其认识到攻击对所有企业的重要性。确保所有员工,尤其是能够访问财务帐户的员工,了解基本的预防措施,例如不要共享密码,不要点击来自未知发件人的链接。通过落实大量预防措施,您可以大幅降低公司系统受到攻击的可能性。具体的步骤包括:
- 投资购买一款优秀的杀毒程序。这一步可能听起来非常基础,但对确保杀毒软件始终运行并定期更新,从而发现复杂且不断演变的恶意软件至关重要。
- 重视培训。员工可能是最脆弱的安全环节;Verizon 数据显示,82% 的数据泄漏涉及人为错误。领先的全球网络安全服务提供商 ERMProtect 创始人 Silka Gonzalez 建议对员工进行持续的安全意识培训。“教授员工网络安全的不同方面是一个持续的过程,这不是一年一次的培训,通过视频或面向全体员工的讲师讲演能够做到的,”她说。定期进行网络钓鱼测试可以帮助确定哪些员工需要额外培训。
- 安全设计:在开发新产品和构建 IT 基础设施时融入安全措施。多重身份验证,即用户必须同时提供密码和第二种验证方式,为攻击者制造了额外的障碍。
- 控制和限制访问。定期审核哪些员工有权访问薪酬数据和功能,以及访问权限级别,确保权限仅授予需要的人。职责和权限分离也有助于防止员工舞弊。确保每位薪酬管理员工都有唯一的登录和密码,并在员工离开组织后尽快删除帐户。
- 确保敏感信息的安全。使用现代化人力资源信息系统 (HRIS) 维护员工记录可以减少薪酬转移的风险。如果需要更改银行信息,员工应始终使用自助服务门户来进行操作。如果收到的电子邮件请求看起来可疑,请务必先与本人当面或通过电话进行核实,然后再更改或分享任何数据。
- 审计第三方合作伙伴的安全。选择技术提供商时需要考虑网络安全策略。要求合作伙伴进行风险评估,确保他们至少保持与贵组织相同的安全级别,并定期进行风险审计。
- 使用数据分析检测不当行为。注册舞弊审查师协会发现,使用主动数据分析的组织报告欺诈损失的数量比不使用数据分析进行反欺诈控制的组织低 33%。
如果最坏的情况发生该怎么办
如果在尽最大努力后,您仍然发现系统遭到勒索软件或恶意软件攻击,最好立即联系取证调查公司,并遵循其建议隔离受感染系统,以便限制损失。数字取证调查员可以帮助确定攻击的程度,尽可能降低攻击影响,并恢复任何被盗或丢失数据。
数字取证调查可能非常昂贵,并且当涉及勒索软件时,不能保证成功。成本包含调查、为加强安全性而采取的措施、任何因数据泄漏而导致的罚款或处罚,以及因无法访问业务关键数据而产生的成本。IBM 数据显示,2022 年,泄漏事件的平均成本为 435 万美元。
薪酬安全是一个复杂的流程,要识别其中的安全漏洞已经十分困难,更不必说填补每个漏洞了。但您可以综合考虑硬件、软件、第三方数据存储和物理数据存储,采用全面的防御性安全方式,提前为最坏的情况做好准备。
您可信赖的合作伙伴
ADP 是《财富》500 强企业中为数不多拥有能够识别并纠正安全漏洞的全球融合性安全计划的公司之一,该计划包括:
- 面向员工和设施的物理安全措施,包括抵御自然灾害的措施
- 威胁搜寻和管理,主动检测网络威胁
- 网络和信息安全,识别安全漏洞并进行纠正
- 第三方管理,识别供应商和第三方安全风险
- 欺诈预防,主动防止欺诈性交易
- 业务韧性,拥有综合性响应和恢复框架
Aishwarya Jagani 常驻印度,是一名独立技术记者,撰写过有关权威技术、气候变化、种族主义和多元化的文章。她曾为《The Postscript》《Bustle》《The Quint》《Unbias the News》和《Secure Futures》等出版物供稿。
