Фишинг в HR: кибербезопасность и персональные данные
HR-фишинг — это вид кибератаки, направленный на сотрудников кадровых служб или рядовой персонал с целью хищения доступов к системам КЭДО, банковским данным или базам персональных данных компании. Поддельные сообщения могут имитировать запросы от государственных органов или руководства.
Меры защиты и правовая ответственность
- Обязательное обучение: Инструктаж по кибергигиене стал частью программы обучения по охране труда в компаниях с высокой степенью цифровизации.
- Технические барьеры: Использование двухфакторной аутентификации для доступа к кадровым документам и блокировка внешних ссылок в корпоративной почте.
- Дисциплинарная ответственность: Переход сотрудника по сомнительной ссылке, приведший к утечке данных, может рассматриваться как несоблюдение инструкций по безопасности.
Работодатель обязан уведомлять Роскомнадзор о случаях фишинговых атак, приведших к компрометации данных сотрудников, в течение 24 часов. Защита от цифрового мошенничества — это общая обязанность сторон: компания создает безопасную среду, а работник соблюдает регламенты использования ИТ-ресурсов. Несоблюдение мер цифровой безопасности приравнивается к халатности при обращении с вверенным имуществом.