在今年早些时候致客户的一封公开信中,苹果表示®首席执行官蒂姆·库克写道:“所有这些信息都需要受到保护,防止黑客和犯罪分子在我们不知情或未经许可的情况下访问、窃取和使用。”
 |
由山姆Karson
如果你关注最新的网络安全新闻,你肯定知道苹果和fbi在加州的法律纠纷。这场纠纷涉及所谓的iphone“后门”,以及试图“入侵”安全移动设备。虽然联邦政府与苹果公司的争端已经得到解决(目前),但犯罪分子和其他不劳而获的人通过黑客攻击、“破解”和利用后门窃取我们的私人信息的威胁仍在公众的脑海中挥之不去。
事实上,今年4月,美国国土安全部(DHS)的计算机应急准备小组(Computer Emergency Readiness Team)就苹果QuickTime Windows软件的新漏洞发布了警报®用户。最近,黑客开始瞄准人力资源专业人士,以获取员工的机密信息。
不要忽视前门
虽然了解关于破解(侵入电脑获取犯罪利益)和后门漏洞的最新情况很重要,但人力资源专业人员必须专注于前门。我说的“前门”是什么意思?想要获取公司私人信息,尤其是员工信息的骗子不必诉诸复杂的技术手段。
许多电脑犯罪分子使用“恶搞”电子邮件来欺骗员工,让他们通过象征性的前门。这就是所谓的“网络钓鱼”。常见的网络钓鱼骗局包括欺诈者给人力资源员工发电子邮件,而该员工的联系信息被发布在公司网站或该员工的LinkedIn账户上®.欺诈者创建一个与公司高管(其联系信息也在线)的电子邮件地址相似或相同的电子邮件地址。这名罪犯在伪造的电子邮件中加入了公司标志,目的是让毫无防备的人力资源员工相信自己是公司高管。欺诈者要求提供专有的商业信息或员工的个人信息,如果HR员工相信这封欺骗的电子邮件是来自高管的真实请求,她可能会提供这些信息。在最近的一次网络钓鱼案中,欺诈者伪装成公司高管,索要员工的W-2表格,其中包括可能被用来窃取员工身份的敏感信息。
你的员工信息被窃取。现在怎么办呢?
如果你的员工信息泄露了,你应该做的第一件事就是联系专家。您如何应对数据泄露将对您的公司的责任和由此造成的损害产生重大影响。必须通知员工违规行为。让员工在整个过程中保持更新,这样他们就可以采取措施保护自己的身份不被窃取。
下一步是评估数据泄露的范围。根据被窃取或访问的信息种类以及有多少员工受到影响,您可能需要通知州政府和信用报告服务机构。大多数州都有法律要求公司在发生数据泄露时通知州总检察长办公室和信用报告机构。每个州的通知法在触发通知要求的违约类型和通知中必须包含的信息方面都是不同的,所以熟悉您操作的州的通知法是很重要的。最好是这样之前发生数据泄露事件。此外,如果医疗信息被破解,《健康保险携带与责任法案》(HIPAA)可能要求您通知受影响的员工。
最后,与您的IT人员一起修复系统漏洞并改进您的系统安全性。
山姆·卡森是律师助理Brann &艾萨克森(http://www.brannlaw.com),他是《纽约时报》的一名撰稿人缅因州就业法信函(http://store.hrhero.com/meemp).他目前正在杜克大学攻读法学博士学位。
明天我们将更多地讨论计算机安全问题。