Útočníci poznajú vaše výplatné pásky. Mzdové dáta sa stávajú novým cieľom kyberútokov

Informácie o výške miezd, rodinných pomeroch, zdravotnom stave či súkromné kontakty zamestnancov sú lákavým terčom pre mnohých podvodníkov. Útočníci hľadajú cestu do firemných databáz, kde môžu údaje využiť na podvody alebo vydieranie. Dáta zamestnancov už dávno nie sú uzamknuté v kartotékach mzdových oddelení, sú roztrúsené v zdieľaných tabuľkách či personálnych systémoch. Stačí jedno pochybenie a môžu sa stať nástrojom zneužitia pri podvodoch či krádežiach identity. Zneužitie dát o zamestnancoch pritom nie je hrozbou len pre reputáciu firmy, ale môže vážne zasiahnuť aj konkrétneho človeka – poškodiť jeho kariéru, vystaviť ho psychickému tlaku alebo riziku zneužitia identity.

Tip redakcie: Zimné a letné pneumatiky, ALU disky, duše a príslušenstvo

Krádež údajov nie je výnimočná

Najznámejším prípadom bol v minulosti na Slovensku únik citlivých dát Národného centra zdravotníckych informácií (NCZI) v septembri roku 2020. Útočníci získali cez Moje ezdravie osobné údaje viac ako 390-tisíc pacientov testovaných na koronavírus. Dáta obsahovali rodné čísla, mená aj výsledky testov.

„Vo svete je tiež známy prípad spoločnosti Equifax, kde unikli dáta miliónov ľudí vrátane miezd, čo viedlo k obrovským žalobám,“ hovorí Ľubomír Šidlík, špecialista interného rozvoja HR systému Humanet. Dodáva, že aj na Slovensku došlo v posledných rokoch k útokom na verejné inštitúcie, súkromné firmy, či samosprávy.

„Z našej skúsenosti sa počet útokov zväčšuje aj v menších lokálnych firmách. Boli sme súčasťou prípadu, keď slovenská spoločnosť čelila obrovskému ransomware útoku. Všetky systémy jej spadli, no nám sa podarilo udržať v prevádzke mzdy a dochádzku,“ opisuje Ondrej Medvéš, riaditeľ interného rozvoja a bezpečnosti Humanetu.

Útok väčšinou prebieha takýmto scenárom:

1. Infiltrácia: zamestnanec HR oddelenia otvorí infikovanú prílohu, napríklad životopis.
2. Pohyb v sieti: útočník sa potichu dostane k mzdovému softvéru.
3. Exfiltrácia: dáta si stiahne na vzdialený server.
4. Úder: Hacker zašifruje dáta a pošle správu: Zaplaťte, inak zverejníme platy vašich manažérov na internete.

Unikátna kombinácia osobných údajov

Podľa Humanetu sú mzdové údaje zamestnancov pre útočníkov zlatou baňou. Personálne a účtovné databázy totiž obsahujú unikátnu kombináciu dát, ktorú hacker inde pokope nenájde, či už ide o rodné čísla, čísla občianskych preukazov, bankové účty, adresy alebo výšku príjmu.

Dáta sa dajú zneužiť na krádež identity, keď si útočník na meno zamestnanca môže vziať pôžičku alebo založiť „biele“ účty na pranie špinavých peňazí. Ďalšou formou zneužitia týchto údajov je tzv. spear‑phishing, pri ktorom útočník pozná výšku platu či adresu zamestnanca a dokáže tak vytvoriť presvedčivý e‑mail, napríklad v mene banky alebo poisťovne. Obeť mu potom ľahko uverí.

Hrozbou je aj priemyselná špionáž v prospech konkurencie, napríklad snaha získať informácie o platoch kľúčových ľudí. Rovnako vážnou hrozbou je vydieranie formou ransomvéru, keď útočník pohrozí zverejnením citlivých dát a žiada výkupné. Stačí jeden únik a spoločnosti môže hroziť strata dôvery, poškodenie mena či likvidačná pokuta.

Veľmi častým omylom je, že ak sú firmy malé, nikto ich nebude hackovať. Útočníci pritom používajú automatizované skenery, ktoré nerozlišujú medzi nadnárodným korporátom a účtovnou firmou na strednom Slovensku. Hľadajú dieru v systéme a cez menšiu firmu sa potom vedia dostať k jej väčšiemu odberateľovi.

Najčastejšie chyby, ktoré z firiem robia ľahký terč:

• Zdieľané heslá: Účtovníčky v tíme používajú jeden login do mzdového softvéru.
• Posielanie výplatných pások e-mailom: Ak páska nie je zašifrovaná heslom, ide o „otvorenú pohľadnicu“ poslanú internetom.
• Tieňové IT: Personalisti si ukladajú citlivé tabuľky na súkromné cloudy (Dropbox, Google Drive) alebo USB kľúče, aby mohli pracovať z domu.
• Chýbajúce aktualizácie: Mzdový softvér beží na starom serveri, ktorý nebol patrične aktualizovaný.
• Uniknuté heslá z iných portálov: Človek používa jedno heslo naprieč viacerými portálmi, a keď unikne na jednom, útočník sa tak vie dostať aj na iné miesta. Je preto treba priebežne scanovať databázy uniknutých hesiel a upozorňovať užívateľov pri úniku hesla.

Aké kroky by mali podľa Humanetu realizovať aj malé firmy:

• Zabezpečený a certifikovaný cloud: certifikovaný cloud je bezpečnejší než server v zamknutej kancelárii. Ponúka automatické zálohy a šifrovanie a dáta drží v bezpečnej geografii (Slovensko/EÚ)
• Princíp minimálnych oprávnení: k mzdám má prístup len ten, kto ich reálne spracováva.
• MFA (Multi-Factor Authentication): Povinnosť potvrdiť prihlásenie v mobile. Toto opatrenie eliminuje 99 percent útokov na heslá.
• Pravidelné školenia: Najväčšie riziko nie je technológia, ale človek, ktorý klikne na podozrivý odkaz.