Artykuł powstał na podstawie Rekomendacji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa dotyczącej zaleceń w związku z atakami socjotechnicznymi stosowanymi przy rekrutacjach .

Cyberprzestępcy coraz częściej wykorzystują rekrutację, spotkania online i nowe relacje biznesowe do ataków socjotechnicznych. Dotyczy to nie tylko dużych organizacji. Małe i średnie firmy również mogą stać się celem, szczególnie jeśli zatrudniają zdalnie, korzystają z pracy IT lub współpracują z freelancerami.

Zgodnie z rekomendacją, grupy APT coraz częściej próbują przeniknąć do organizacji poprzez osoby rekrutujące się jako pracownicy, a w rzeczywistości działające w imieniu atakujących. Celem może być dostęp do systemów, danych, poczty lub repozytoriów.

To wyraźna zmiana. Kandydat, partner lub freelancer przestaje być wyłącznie uczestnikiem procesu biznesowego. Może być także wektorem ataku.

Weryfikacja kandydata to element bezpieczeństwa

W przypadku rekrutacji zdalnej podstawowe działania nabierają nowego znaczenia.

W praktyce oznacza to:

  1. prowadzenie rozmów z włączoną kamerą
  2. zwracanie uwagi na nienaturalne pauzy lub problemy z dźwiękiem
  3. potwierdzanie historii zatrudnienia u poprzednich pracodawców
  4. weryfikację tożsamości przy rolach podwyższonego ryzyka

Nie chodzi o brak zaufania. Chodzi o dopasowanie poziomu weryfikacji do poziomu dostępu.

Dostępy jako realne ryzyko

Jedną z najważniejszych zasad pozostaje least privilege, czyli minimalne uprawnienia.

Nowy pracownik nie powinien mieć dostępu „na zapas”. Uprawnienia powinny być nadawane stopniowo i odbierane natychmiast po zakończeniu współpracy.

To szczególnie ważne w MŚP, gdzie często dostęp do wielu systemów jest szeroki i nie zawsze formalnie kontrolowany.

Pierwsze tygodnie decydują

Zalecenia wskazują jasno, że pierwsze tygodnie pracy są kluczowe.

Warto obserwować:

  1. nietypowe godziny logowania
  2. próby dostępu do niepotrzebnych systemów
  3. masowe pobieranie danych
  4. instalowanie nieznanych narzędzi

Nie wymaga to zaawansowanych systemów. W wielu przypadkach wystarczy regularny przegląd logów w Microsoft 365, Google Workspace lub systemach firmowych.

Spotkania online jako wektor ataku

Rekrutacja i współpraca często zaczynają się od spotkań online. To także obszar ryzyka.

Zalecenia wskazują m.in.:

  1. weryfikację domen linków do spotkań
  2. unikanie pobierania plików podczas rozmowy
  3. natychmiastowe zakończenie rozmowy przy podejrzanych instrukcjach

Atakujący mogą wykorzystywać scenariusze typu „nie działa dźwięk” i nakłaniać do instalacji oprogramowania lub wykonania poleceń.

Nowi partnerzy i freelancerzy

Kontakt z konferencji czy LinkedIna nie oznacza automatycznie wiarygodności.

Przed nadaniem dostępu warto sprawdzić:

  1. istnienie firmy
  2. wiarygodność domeny
  3. powiązanie osoby z organizacją

Zasada minimalnych uprawnień powinna dotyczyć także partnerów zewnętrznych.

Kluczowy element: świadomość pracowników

Najważniejszy wniosek z zaleceń jest prosty.

To nowe zagrożenie nie dotyczy tylko IT. Dotyczy całej organizacji.

HR, menedżerowie i pracownicy techniczni powinni wiedzieć:

  1. że rekrutacja może być elementem ataku
  2. jak rozpoznawać podejrzane zachowania
  3. kiedy przerwać proces i zgłosić incydent

Właśnie dlatego rośnie znaczenie programów cyber awareness.

Rozwiązania takie jak KnowBe4 pozwalają:

  1. szkolić pracowników w realistycznych scenariuszach
  2. symulować sytuacje socjotechniczne
  3. budować nawyki reagowania
  4. mierzyć poziom podatności organizacji

To szczególnie ważne przy nowych typach ataków, które nie wyglądają jak klasyczny phishing.

Podsumowując...

Dla MŚP najważniejsze są proste zasady:

  1. weryfikacja kandydatów i partnerów
  2. ograniczanie dostępów
  3. ostrożność przy linkach i spotkaniach
  4. obserwacja pierwszych tygodni współpracy

Nie trzeba budować rozbudowanego systemu bezpieczeństwa.

Trzeba przyjąć, że rekrutacja i nowe relacje biznesowe mogą być elementem ataku.

Najlepszą ochroną pozostaje ograniczone zaufanie, minimalne uprawnienia i dobrze przygotowani pracownicy.


Chcesz sprawdzić, czy Twoja organizacja jest przygotowana na takie scenariusze?

W SecurityMindset pomagamy firmom budować świadomość i odporność w praktyce. Od szkoleń i symulacji (KnowBe4), po uporządkowanie procesów bezpieczeństwa.

Skontaktuj się z nami i zobacz, gdzie mogą pojawić się nowe ryzyka w Twojej organizacji.