对于数字世界带来的所有奇迹和便利，我们绝不能让自己忽略黑客的持续威胁。技术为我们带来了许多新的舒适感-随之而来的是新的危险。的 周五爆发的全球网络攻击 提供了另一个深刻的客体教训。大规模的恶意软件感染困扰了近100个国家/地区的至少75,000台计算机。犯罪者的目标是英格兰的数十家医院，联邦快递等跨国企业和西班牙最大的电信提供商。敦促美国公司提高警惕，并采取预防措施以防止入侵。作为员工队伍的领导者，我们每年将更多的业务信息和员工数据放入计算机中。这意味着如果我们的系统受到威胁，我们将面临更大的损失。我认为现在是讨论我们可以采取措施防止网络攻击的好时机。

网络空间侵略者

专家认为，最新的攻击灵感来自 国家安全局（NSA）工具包 那是去年泄露的。这种称为Wanna Decryptor或WannCry的恶意软件必不可少，可以将用户及其所包含的文件锁定在系统之外，直到向黑客付款为止。正如NBC新闻报道的那样，该恶意软件通过电子邮件网络钓鱼程序传播，并且专门利用Windows操作系统中的一个已知错误：

正是这种袭击的规模震惊了专家。 IT支持公司Managed Networks的首席执行官Ben Rapp说：“它的规模是前所未有的” 告诉NBC新闻的英国合作伙伴ITV新闻。 “医院里有很多勒索软件，但是我上次去看16家医院以及其他人的举报–这可能是我们所见过的最大的勒索软件攻击。”

然而，就数据盗窃而言，2017年4月12日的事件并不是今年的头条新闻。俄罗斯对美国大选的干预，成为影响深远，复杂而后果严重的网络攻击的令人震惊的例子。无论是谁策划了周五的电子勒索活动，迈克尔·苏美尔在《哈佛商业评论》中的文章都表明，随着黑客发展更具侵略性和穿透性的攻击，全球企业必须面对的日益增长的风险。

Sulmeyer的曝光直接检查了 俄罗斯黑客的崛起意味着我们的业务 –并且我们将敏感数据委托给可能比我们怀疑的脆弱的系统。

他解释说：“在地缘政治舞台上，俄罗斯黑客很忙：他们的目标包括 爱沙尼亚 （使用压倒性的拒绝服务攻击）， 佐治亚州 （通过网络运营支持地面运营）， 德国 （以未经授权的方式访问立法机关中的服务器），以及 美国 （窃取了民主党全国委员会的数据和约翰·波德斯塔的电子邮件）。但与美国司法部（DOJ） 起诉四名俄罗斯黑客 由于违反雅虎，美国政府现在在记录中指出，俄罗斯的目标不仅是地缘政治，企业也面临很大的风险。”

为了强调后一点，请看一下震惊雅虎的违规行为的后果。不仅数据集受到损害，后果还导致公司蒙受了巨大的间接成本。 Sulmeyer指出，“ Verizon对其收购Yahoo达成了新的条款，并要求 3.5亿美元的折扣 由于俄罗斯黑客入侵，导致其购买价格上涨。”

网络安全对于员工队伍至关重要

人力资源行业不能免于或不受这些问题的影响。黛安·波雅克（Diane Poljak）在她最近为《新航》（SIA）的《人员编制》节目撰写的文章中叙述了两个悲剧性的故事，这些故事强调了 网络安全对临时劳动力公司的重要性:

以一个内部人员编制员工为例，该人员错误地将数百个人员编制员工W2的副本分发到自动填充到其电子邮件中的电子邮件地址中。这是一个诚实的错误，但是如果这些人员的身份在将来被盗用，这些人员配置公司就会在信用监控方面花费超过75,000美元。

另一个行业例子是，黑客发布了计算机蠕虫，该蠕虫对IT安置公司的整个系统发起了服务攻击。感染导致其计算机系统关闭了48小时。这家IT人员公司花费了大量的成本来修复和恢复其系统，以及业务中断费用，总计超过75万美元。

保护临时劳动力数据

和我们一样 写 在过去的十一月，“当发生数据违规时，问题几乎总是人类所为。它们可能是无意识的错误，例如不合标准，执行不当或过时的安全协议。”当然，它们也可以是故意的。然而，从根本上讲，攻击是因为人而不是机器而成功。好消息是，因为这是人类的问题，所以有了人类的解决方案。

培训信息道德数据使用团队

冯嘉iser ，一位著名的业务分析和数据可视化专家指出，在决策过程中，其他业务需求通常要优先于数据伦理：“经理们在讨论诸如产品创新，用户体验，资源需求，竞争策略和回报回报等主题。投资。”对技术团队进行有关处理数据的道德标准的教育是一个很好的起点。

• 开发或完善入职流程，以包括涵盖数据使用和处理道德的培训。
• 聘请内部或外部法律专家指导团队成员有关数据处理，存储，分析和分发的法律义务和最佳实践。
• 确保所有适用的合同或协议均包含有关数据标准的明确条款和条件，并确保相关的利益相关者对此有所了解。
• 努力促进技术团队的商业文化，鼓励开放，支持性的交流；团队成员必须习惯于讨论或确定与数据道德相关的主题，管理人员必须愿意通过创建安全，无冲击的环境来参与这些对话。

优先排序

正如Sulmeyer在他的文章中观察到的那样，没有一种万无一失的方法来保护我们的所有数据，系统和网络免遭各种形式的网络攻击。进行有力防御的最佳方法是确定必须捍卫的资产高于一切。 Sulmeyer建议数据安全专业人员在制定策略之前确定以下问题的答案：

• 哪些数据至关重要，以至于未经授权的访问会破坏公司的实力？
• 24/7/365必须保留哪些数据？
• 需要存储什么数据？

Sulmeyer警告说：“如果您的答案是‘全部’，则说明您在安全方面做错了。”

为最坏的情况做准备

Sulmeyer听起来可能很可怕，但我们建议我们始终认为自己的系统将被破坏：“假设合规性不完善，而对手已经在利用这种不完善性。”

这是合理可行的建议。既然每个组织都在发展成为一家技术公司，可以这么说，业务领导者应该采用IT人员多年来一直依赖的相同恢复，业务连续性和紧急响应计划。

Sulmeyer写道：“面对针对您的头等大事的网络攻击，提高公司的应变能力至关重要。” “复原力的外观取决于您所做的工作类型和优先级。例如，如果有一个需要24/7/365可用性的特定系统，您是否测试了回退机制和备份？”

这是我们使用的示例大纲，可能会帮助您建立自己的工作基础。

• 阶段1：即时回应步骤
• 阶段2：灾难宣告和沟通流程
• 第三阶段：功能恢复
• 阶段4：“第二天”要求
• 阶段5：恢复正常
• 阶段6：计划分发，测试和维护

在客户站点提供现场覆盖的MSP可能会遇到其他复杂情况。对于使用第三方VMS工具或技术的现场活动，MSP应获取提供商的灾难恢复计划的副本，将这些文档分发给供应商合作伙伴，并在涉及备灾的任何情况下培训其专业人员。

管理网络责任风险

黛安·波雅克（Diane Poljak）在人员编制行业分析师的帖子中，还提供了一些出色的技巧来减轻和控制与网络责任相关的风险。

• 制定并实施适当的网络安全策略。
• 创建用于更新软件，防火墙和防病毒程序的正式流程。
• 保护可能包含敏感的个人，公司，客户或人才数据的移动设备；确保数据已加密。
• 对员工进行有关安全程序和连续性计划的定期培训。
• 保护工作场所中的所有信息，将工资信息和个人可识别的详细信息隔离在网络的单独空间中，并限制访问权限。
• 制定违规应对计划。
• 在外包任何业务功能（例如薪资，网络托管或数据处理）之前，请调查公司的安全措施。
• 购买涵盖网络责任和相关问题的保险单。

保护我们的工作空间免受网络空间的威胁

为了提供用户期望的优质服务，我们有责任确保我们的数据标准和安全性反映我们在产品中拥护的价值观和承诺–并且这些标准适用于每个依赖我们平台的个人：招聘经理，临时雇员劳动力计划负责人，人员提供者，招聘人员，主管和工人。为了回应迈克尔·苏美尔（Michael Sulmeyer）的观点，进步始于我们。我们无法建立坚不可摧的隔离墙或锻造魔弹，但我们可以开发出多种方法，这些方法会随着时间的流逝而发展，以提供更高级别的保护。

Sulmeyer总结说：“网络威胁已经作为当今企业面临的明确而当前的风险而来，而应对它将成为日益增长的经商成本。”