2021 年 9 月 22 日

雇主是否应对员工身份盗窃负责?

答案是肯定的,这就是为什么实施良好的网络风险管理很重要的原因。

网络窃贼喜欢员工人事记录。利用他们从社会安全号码、出生日期、工作经历、银行账户信息和健康信息中窃取的信息,他们可以造成很多伤害并“赚”很多钱。

作为雇主,您有责任保护这些信息。事实上,州和联邦法律要求雇主保护这些数据。如果你不这样做,当信息被盗时,你可能要承担责任。

雇主需要此信息进行背景和信用检查。因此,通常由人力资源 (HR) 部门来确定风险并找出最佳防线。

窃贼的目标是什么

了解窃贼正在寻找什么类型的信息会很有帮助。例如,窃贼可以使用被盗的财务信息建立新账户,并使用它们从受害者现有账户中窃取资金。员工信息也可以出售给无证工人,以提供虚假的工作历史。

窃贼有时会使用电子邮件冒充公司高管索取员工 W-2 表格的副本。如果收到请求的员工未能验证请求的合法性并转发 W-2,窃贼可以使用它来创建和提交虚假纳税申报表或打开信用额度。

内部危险

人力资源管理协会 (SHRM) 是一个专业的人力资源会员协会,它报告说 30% 到 50% 的身份盗窃始于办公室。许多员工和管理层可以访问 HR 记录,这使得执行适当的安全协议变得更加困难。此外,如果员工使用不安全的网络或成为网络钓鱼骗局的牺牲品,则可以访问存储在云中的数据。心怀不满的员工也有可能被引诱出售密码数据。

联邦法律

如果雇主的行为或疏忽导致身份盗用,则《公平和准确信用交易法》和《公平信用报告法》要求雇主承担责任。此外,未能充分保护与健康相关的信息或医疗记录会使雇主根据《美国残疾人法案》或《健康保险流通与责任法案》承担责任。

但是,没有一项联邦法律涵盖身份盗窃。适用的法律取决于所犯罪行的类型。

州法律

各州已率先制定雇主责任法,但各州之间没有统一或一致性。一些州有数据隐私立法,而几乎所有州都有数据泄露通知法。这些法律通常对雇主如何使用、存储和传输员工信息施加额外的要求和限制。

最佳实践

第一步是制定全面的网络安全计划。与您的 IT 部门和管理层合作,制定一份文件,概述处理、存储和访问员工个人数据的最佳策略。您将需要解决:

  • 公司将如何加密包含敏感数据的文件
  • 硬拷贝可以安全存放的地方——最好是在一个上锁的地方
  • 您将如何以及何时进行内部风险评估
  • 哪些员工信息应该存储在网络上
  • 谁将被允许查看或编辑敏感的员工数据
  • 什么情况下可以共享员工信息
  • 如何存储和加密这些数据
  • 谁来监督培训
  • 是否聘请顾问来评估您的网络漏洞
  • 谁将负责监督安全并作为问题的代言人
  • 如果敏感数据受到损害,公司将如何处理违规行为。

制定计划后,就新程序对您的经理和员工进行培训。让员工了解窃贼获取他们或公司信息的各种方式也很重要。例如,控制受害者社交媒体帐户的网络犯罪分子可以诽谤和诽谤雇主,并欺骗组织的客户、合作伙伴、供应商和客户。

培训应包括以下方面的重要性:

  • 了解网络窃贼用来攻击员工和公司的策略,例如网络钓鱼电子邮件
  • 使用更强的密码并保护信息
  • 立即就潜在的数据泄露向经理、人力资源和 IT 部门发出警报
  • 使用更安全的网络
  • 不从公共 Wi-Fi 访问公司信息。

最后,为您的公司提供网络责任保险是一个好主意。

文章由 SmartsPublishing.com 提供