Lönesystem innehåller enorma mängder data såsom information om företagets löneprocesser, anställdas namn, adresser, bankkonton, personnummer och lönebesked. Det är en riktig guldgruva för den som vill stjäla någons identitet eller använda informationen för olika former av ekonomisk brottslighet.

– Tyvärr hanteras lönesystem oftast av HR- eller ekonomiavdelningar med begränsat cyberskydd. Företagens IT-system, affärssystem och informationssystem omfattas vanligtvis av strängare säkerhetskrav. Det innebär att lönesystem ofta saknar säkerhetskontroller som tvåfaktorsautentisering, realtidsövervakning och kontinuerliga säkerhetsuppdateringar. Detta gör dem till ännu mer attraktiva mål för cyberbrottslingar, konstaterar Will Jackson som är vd för cybersäkerhetsföretaget C2 Cyber Ltd och lönebyrån The Leppington Group

Skydda stor byrå

Will Jackson, som har lång erfarenhet som cybersäkerhetsexpert inom lönehantering, rekommenderar att större byråer avsätter cirka tio procent av omsättningen till olika cybersäkerhetsåtgärder. ISO 27001, en internationell standard för informationssäkerhet, är ett bra verktyg som kan hjälpa större företag kontrollera sin informationssäkerhet, menar han.

Skydda mindre byrå

För en byrå med ett fåtal anställda är det viktigaste att stärka gränssnittet mellan byrån och dess större kunder.

– En liten byrå tjänar inte tillräckligt med pengar för att vara värd en direkt attack; cyberbrottslingar är mer intresserade av att få tillgång till stora företag. Därför måste gränssnittet mellan den mindre byrån och den stora kunden säkras. Det är dessutom ett bra försäljningsargument för små byråer att ha den säkerheten, säger Will Jackson och fortsätter:

– Små byråer kommer långt med att införa multifaktorautentisering, säker lösenordshantering och ha uppdaterade kopior av system och data off-line för sin egen säkerhet. Tar gärna hjälp av en konsult som kan rekommendera lämpliga åtgärder. Ta alltid reda på om konsulten får provision för att rekommenderar en viss leverantör eller produktlösning och ta med det i beräkning innan du fattar ditt beslut.

Vanliga metoder

Under årets GPA Awards i Warszawa i juni höll Will Jackson ett seminarium med rubriken ”What the Cyber Criminals Don’t Tell You About Payroll”. Under seminariet gav han konkreta exempel på hur cyberbrottslingar har attackerat lönesystem och fått tillgång till affärskritisk information. BBC och British Airways är två drabbade företag.

Dessa metoder är vanligast:

• Ransomware. Företagets data låses in tills företaget betalar brottslingarna en lösensumma för att få tillgång till sin information igen.
• Phishing. Falska mejl leder till falska inloggningssidor. Där ”fiskas” lösenord, eller annan information som ger tillgång till systemen, upp.
• Mejlhackning. Mejlkonversationer läses och informationen används för att pressa eller lura företag att betala pengar.

Utbildning av personalen är viktigt

Will Jackson konstaterar att ett vanligt sätt för cyberbrottslingar att få tillgång till ett företags datasystem är genom anställda som gör misstag på grund av inkompetens, slarv eller ren missnöjdhet med sin arbetsgivare.

– En personalgrupp som kontinuerligt utbildas i cybersäkerhet, trivs på jobbet och vill skydda företaget är lika bra för säkerheten som motsatsen är dålig. Som alltid lönar det sig att investera i personalen, säger Will Jackson och avslutar:

– Personligen vill jag se en offentlig certifiering av lönekonsulter. Den skulle bland annat omfatta kompetens inom cybersäkerhet. Det skulle höja yrkets och branschens status ytterligare och vara av stort värde för näringslivet som helhet.