Fałszywy kandydat w rekrutacji. Jak HR może otworzyć hakerom drzwi do firmy?
Minister Krzysztof Gawkowski ostrzegał niedawno w serwisie Bankier.pl, że grupy APT zaczęły przenikać do firm przez procesy kadrowe. Oszuści coraz częściej wykorzystują sztuczną inteligencję do kreowania profili idealnych specjalistów IT, więc nawet zwykła rozmowa o pracę może stać się początkiem poważnego incydentu bezpieczeństwa.
Dlaczego cyberprzestępcy wchodzą dziś przez proces rekrutacji?
Zwykle łatwiej oszukać rozmówcę na kamerze, niż siłą przełamać zapory sieciowe firmy. Dlatego cyberprzestępcy chętnie stosują tego typu metody, a praca zdalna oraz popularność kontraktów B2B jeszcze bardziej ułatwiają im zadanie.
Jak to wygląda? Napastnicy przygotowują fałszywe CV i na bieżąco używają modeli językowych, żeby bez problemu zaliczać testy kompetencji. Skoro oszust tak sprawnie przechodzi wywiad, szybko zdobywa legalne wejście do systemów - szczególnie gdy nowy pracownik najczęściej już pierwszego dnia odbiera służbowy sprzęt i po prostu loguje się do firmowych zasobów.
Na co powinien uważać HR podczas rozmowy z kandydatem?
Dział kadr musi wychwytywać podejrzane sygnały już w trakcie pierwszego wywiadu wideo - na przykład, gdy aplikant nagle proponuje zmianę platformy na nietypową domenę. Zdarza się również, że kandydat skarży się na jakość dźwięku i przesyła drobną „poprawkę". Kiedy rekruter kliknie taki plik, haker natychmiast przejmuje pełną kontrolę nad jego komputerem.
Podejrzane jest też, gdy druga strona nie chce włączyć kamery, szczególnie przy naborach na wyższe stanowiska. Warto też nasłuchiwać nienaturalnych pauz przed merytorycznymi odpowiedziami, ponieważ zazwyczaj oznaczają one, że rzekomy ekspert w tle czeka na instrukcje od sztucznej inteligencji. Jeśli do tego dojdą jeszcze jakiekolwiek nieścisłości w dokumencie CV, zespół musi obowiązkowo zadzwonić do poprzednich firm aplikanta.
Co powinno się wydarzyć po zatrudnieniu pracownika IT lub specjalisty?
Nawet po udanej rozmowie nowy inżynier lub zewnętrzny konsultant musi otrzymywać dostępy powoli, krok po kroku. Administratorzy powinni od razu wymusić na jego koncie logowanie dwuskładnikowe, a następnie zablokować wejście z prywatnych komputerów. Wtedy na początek będzie miał on wyłącznie uprawnienia niezbędne do wykonania najprostszych zadań. Wówczas nie będzie on mógł ukraść głównego kodu, a analitycy mogą śledzić logi, by poznać jego prawdziwe zamiary.
Dowiedz się więcej: Zero trust dla zarządu: 10 zasad nie ufaj, weryfikuj na start
Jak SOC i SIRP pomagają wykryć podejrzane zachowanie nowego konta?
Wyspecjalizowane systemy potrafią przez całą dobę analizować ruch w sieci i automatycznie odcinać napastnika, gdy tylko spróbuje on wyprowadzić dane. Opierają się one na prostej różnicy w zachowaniu użytkowników. Na przykład zwykły programista po zalogowaniu wykonuje swoje standardowe obowiązki, podczas gdy intruz natychmiast próbuje windować swoje uprawnienia i szuka wejścia do krytycznych zasobów.
Tego typu anomalie wychwytuje SOC, który śledzi infrastrukturę i rozpoznaje podejrzane sytuacje, jak choćby wielkich paczek plików w godzinach nocnych. Następnie do akcji wkracza platforma SIRP, żeby błyskawicznie odpowiedzieć na zagrożenie i zablokować konto oszusta, zanim zdąży on zgrać firmowy kod na swój dysk.
Gdy narzędzia zablokują atak, zespół musi go jeszcze odpowiednio zaraportować.
Czytaj więcej: Czym są incydenty naruszenia cyberbezpieczeństwa? Gdzie je zgłaszać?
Jak przetestować odporność firmy na taki scenariusz?
Warto zacząć ocenę własnego bezpieczeństwa, przygotowując próbne włamanie przez procedury kadrowe. Wystarczy wynająć ekspertów, aby stworzyli profil fałszywego kandydata, a następnie przeprowadzili go przez cały proces zatrudnienia. Rekruterzy zobaczą wtedy na własne oczy, jak oszust manipuluje rozmową, natomiast dział IT od razu sprawdzi swoje systemy ostrzegawcze. Jednocześnie trzeba dokładnie przejrzeć, w jaki sposób organizacja nadaje i odbiera uprawnienia.
Całą tę obronę wzmocnisz też konkretnymi krokami technologicznymi:
- zlecaj cykliczne testy socjotechniczne, żeby na bieżąco wyczulać personel HR na manipulacje;
- zrób rekonesans bezpieczeństwa w infrastrukturze i zmapuj wszystkie zbyt mocno uprzywilejowane konta;
- regularnie skanuj aplikacje służące do rekrutacji, zamykając tym samym luki wykorzystywane przez hakerów.
Trzeba przy tym pamiętać, że intruzi często omijają główny dział kadr i wchodzą do systemów przez słabiej chronione rekrutacje Twoich partnerów biznesowych. Dowiedz się, jak się z tym uporać: Atak na łańcuch dostaw: awaria u dostawcy, straty u Ciebie - jak ograniczyć ryzyko?
Kadry decydują dziś o tym, kto wchodzi do firmowej sieci. Jednak wystarczy dokładnie sprawdzać kandydatów już podczas rozmów wideo, a nowym kontom ucinać początkowe uprawnienia do absolutnego minimum. W ten sposób zablokujesz hakerom najprostszą drogę do Twoich zasobów.
Sprawdź, czy proces rekrutacji, onboarding i nadawanie dostępów w Twojej organizacji nie tworzą niewidocznej furtki dla atakujących.
