Cyberbezpieczeństwo to kluczowa kwestia, zwłaszcza w obecnych czasach.  Dziś mówi się, ze informacja jest cenniejsza niż złoto. Mimo rosnącej świadomości w tym zakresie, wielu z nas przynajmniej raz w życiu spotkało się z próbą wyłudzenia danych na portalach społecznościowych lub dostał podejrzaną wiadomość na e-mail. Nadal jest też głośno o oszustwach ‘na rekrutację’. Tworzone są fałszywe ogłoszenia o pracę z bardzo atrakcyjnymi warunkami, ale w intencji wyłudzenia danych osobowych od kandydatów. Jednak czy w kontekście rekrutacji tylko kandydaci mogą paść ofiarami oszustw? Jak zadbać o Cyberbezpieczeństwo i chronić się przed zagrożeniami?

Bezpieczna firma to świadomi pracownicy.

Każda firma posiada własną specyfikę i powinna przygotować wewnętrzną politykę bezpieczeństwa. Dokument ten nie tylko pomoże w razie kontroli Urzędu Ochrony Danych Osobowych, ale ułatwi też budowanie świadomość pracowników, mających kontakt z danymi wrażliwymi. Warto uświadamiać zespół nie tylko regulaminami czy procedurami. Znakomitym uzupełnieniem mogą okazać się ciekawe szkolenia z zakresu cyber awareness dla pracowników biurowych. Takie szkolenia ostatnio odbyły się w Transition Technologies PSC (prowadzone przez firmę Altkom Akademia) i dały do myślenia, z pewnością nie tylko mnie.

Dział IT dysponuje zabezpieczeniami w postaci zapory sieciowej lub filtrowaniem heurystycznym i analizą ruchu sieciowego, które mają nas chronić przed atakami i zapewniać cyberbezpieczeństwo. Należy jednak pamiętać, że nie daje to 100% gwarancji ochrony przed kradzieżą danych. Nadal niezbędne jest zachowanie czujności przez samego pracownika. Jedną z komórek organizacyjnych, bardziej narażonych na ataki, są pracownicy HR. W szczególności rekruterzy, zostawiający do siebie namiary kontaktowe na niezliczonej ilości portali ogłoszeniowych, facebookowych grupach, czy w wiadomościach indywidualnych na LinkedIn. Prawda jest taka, że kreatywność przestępców jest nieograniczona, a w rekrutacjach gonią terminy, co może się przekładać na uśpienie czujności.

Na każdym etapie rekrutacji możemy paść ofiarą oszusta.

Poniżej postanowiłam przedstawić kilka przykładów hipotetycznych sytuacji lub takich z którymi spotkałam się osobiście.

Wysłanie na maila rekrutera niebezpiecznej zawartości.
Jedna z najczęstszych sytuacji. Na mail grupowy praca lub indywidualny, jakiś człowiek zgłasza swoją kandydaturę do wzięcia udziału w rekrutacji. Nie podaje informacji o jaką rekrutację mu chodzi ani o jaką lokalizację. Zachęca tylko do zapoznania się z załącznikami, w których znajduje się jego CV.
Inną sytuacją może być otrzymanie wiadomości z linkiem, który rzekomo ma nas przekierować do dokumentów aplikacyjnych. Otrzymać też możemy plik w formie ZIP (z hasłem w tym samym mailu). Wszystko to może okazać się niebezpieczną pułapką.
Oczywiście do takiej sytuacji może dojść nie tylko na pierwszym etapie rekrutacji. Załóżmy, że kandydat przeszedł proces rekrutacji. Nie sprawdzaliśmy go przecież „z dowodem osobistym”. Pod pretekstem przesłania skanów dokumentów niezbędnych do zatrudnienia może nam przesłać zainfekowany plik.
Wiadomością z niebezpieczną zawartością może również okazać się reklama szkoleń czy portali ogłoszeniowych w bardzo atrakcyjnych cenach.

Warto pamiętać:
Wiadomość z odpowiednio spreparowanym załącznikiem to jedna z najpopularniejszych form dystrybuowania wirusów lub innego niebezpiecznego oprogramowania. Mogą to być pliki PDF, graficzne lub wiele innych. Zachowaj czujność i nigdy nie otwieraj plików nieznanego pochodzenia. Nie ocenisz wiarygodności linku po jego otwarciu – wtedy już może być za późno. Żeby zminimalizować ryzyko, zawsze trzymaj się wewnątrzfirmowych procedur bezpieczeństwa. Sprawdzaj kto jest nadawcą wiadomości, a jeśli masz chociaż cień wątpliwości, skonsultuj się z lokalnym Działem IT.

Cyberbezpieczeństwo nie tylko w sieci

Podłączenie niebezpiecznego urządzenia.
CV łatwo można przygotować tak, żeby idealnie spełniało wymogi ogłoszenia (profil na LinkedIn również). Dane osobowe z CV też nie muszą być prawdziwe. Oszustowi zazwyczaj zupełnie nie zależy na tym by przejść przez rekrutację, tylko dostać się do budynku. Rynek oferuje mnóstwo urządzeń szpiegujących, których zainstalowanie np. w salce konferencyjnej zajmie dosłownie kilka sekund. Urządzenia te mogą przechwytywać nie tylko dźwięki, ale też obraz, gdy będą podłączone pod kabel projektora lub monitora. Do sytuacji może dojść, jeśli zostawimy oszusta na chwilę samego w salce konferencyjnej chcąc np. zrobić mu kawę. Oszust pod pretekstem chęci pójścia do toalety może zainstalować urządzenie w salce/pokoju innym niż prowadzona będzie rozmowa rekrutacyjna. Być może szklanka wody w trakcie rozmowy „niechcący” się przewróci, pojawi się tu dodatkowy czynnik stresowy. Wtedy to my rekruterzy, opuścimy salkę w celu ratowania sytuacji.

Niebezpiecznym nośnikiem nie musi być wcale specjalne urządzenie szpiegowskie. Może to być każde urządzenie przenośne jak np. pendrive, karta pamięci, a nawet spreparowany hub USB, który dostaniemy na targach pracy jako niewinny gadżet.

Miałam kiedyś sytuację, gdy kandydat poproszony o przyniesienie niezbędnych dokumentów przed zatrudnieniem, przyniósł mi tylko pendrive, na którym miały być ich skany. Oczywiście nośnik nie został podłączony, a zatrudnienie zostało przesunięte. Mogłam stracić kandydata, ale mogłam też stracić dużo więcej.

Warto pamiętać:
Nigdy nie podłączaj urządzeń nieznanego pochodzenia do komputera. Bądź wyczulony/-ona na sytuacje, gdy może zrobić to ktoś spoza Twojej organizacji. Wirus może się automatycznie aktywować już w momencie podłączenia urządzenia. Nawet jeśli zawartość nie wygląda niepokojąco, system mógł już zostać zainfekowany.

Świadomość to podstawa.

Tak jak na e-mailu prywatnym, tak na skrzynce firmowej może się trafić wiadomość z niebezpieczną zawartością. Codziennie otrzymujemy dziesiątki maili. Niektóre z nich mogą nie być naprawdę od „Administratora systemu”, czy rzekomego kandydata zainteresowanego ofertą pracy u nas. Pod wpływem zmęczenia, łatwiej nam bagatelizować zagrożenie, a przestępcy właśnie na to liczą. Nieuwaga i brak doświadczenia pracowników tylko ułatwia im zadanie, a jedno kliknięcie może narazić firmę na ogromne straty.

Jeśli chcesz wiedzieć jak dbamy o cyberbezpieczeństwo na co dzień, we wszystkich procesach, zajrzyj do tego artykułu. 

_Udostępnij

Opublikuj komentarz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *