70 proc. firm już miało incydent cyberbezpieczeństwa. Czy twoja jest następna?

Z raportu wynika, że aż 70 proc. organizacji doświadczyło incydentu związanego z cyberbezpieczeństwem w obszarze listy płac w ciągu ostatnich dwóch lat. To wyraźny wzrost względem poprzedniej edycji badania, gdy odsetek ten wynosił 57 proc.

Jednocześnie tylko 41 proc. firm posiada kompleksowy plan reagowania na cyberatak w całej organizacji, a niemal połowa wdrożyła takie procedury jedynie częściowo. Co trzecia firma deklaruje, że bezpieczeństwo danych to dziś kluczowy obszar inwestycji – jednak praktyka pokazuje, że wdrożenia często nie nadążają za deklaracjami.

Dane HR – najbardziej wartościowy cel dla hakerów

Działy HR i payroll przechowują jedne z najbardziej wrażliwych danych w organizacji. To właśnie tam znajdują się informacje, które mogą zostać szybko wykorzystane finansowo:

• numery PESEL i dokumentów tożsamości,

• adresy zamieszkania,

• dane rachunków bankowych.

Ich wyciek może prowadzić do kradzieży tożsamości, oszustw finansowych czy prób przejęcia kont. Poszkodowani pracownicy często doświadczają również zwiększonej liczby prób wyłudzeń, phishingu czy ataków na konta bankowe i społecznościowe.

Dla firm konsekwencje są równie poważne – od kar administracyjnych (do 20 mln euro lub 4 proc. globalnego obrotu), przez koszty operacyjne i audyty IT, aż po trudne do odbudowania straty wizerunkowe.

Najczęstsze przyczyny wycieków danych

Do naruszeń bezpieczeństwa dochodzi najczęściej w wyniku prostych, ale skutecznych metod:

• phishingu – fałszywych maili podszywających się pod współpracowników lub instytucje,

• błędów ludzkich, np. wysłania danych do niewłaściwego odbiorcy,

• nieodpowiedniego przechowywania danych w chmurze bez kontroli dostępu,

• utraty nośników zawierających wrażliwe informacje.

Choć wiele firm eliminuje podstawowe błędy, cyberprzestępcy stale rozwijają nowe techniki ataku.

– Firmy istniejące na rynku już od pewnego czasu, zatrudniające sporo pracowników, unikają tak prostych błędów, a jednak nadal padają ofiarą wyłudzeń danych. Hakerzy szukają nowych sposobów, zakładając, że efektywniej jest zaatakować organizację przechowującą dane co najmniej kilkudziesięciu osób, a nie kilku – mówi Mariusz Koczwara, head of sales w ADP Polska. – Ułatwieniem dla nich jest przechowywanie i przetwarzanie danych przez różne, rozproszone systemy. Konsolidacja ich w jednej, szyfrowanej platformie znacząco redukuje tzw. powierzchnię ataku. Pozwala to zespołom IT na błyskawiczne wychwycenie anomalii, jak na przykład logowanie z egzotycznej lokalizacji czy masowe pobieranie danych. W rozproszonych, lokalnych systemach jest to niemal niemożliwe do zauważenia w czasie rzeczywistym – dodaje.

Jak firmy mogą zwiększyć bezpieczeństwo danych?

Eksperci wskazują, że kluczowe znaczenie ma centralizacja systemów, wdrażanie procedur reagowania na incydenty oraz regularne szkolenia pracowników. Bez tego nawet najlepsze technologie nie zapewnią skutecznej ochrony.

W dobie rosnącej liczby cyberataków cyberbezpieczeństwo w HR przestaje być wyłącznie kwestią IT – staje się jednym z najważniejszych elementów zarządzania ryzykiem w firmie.