Connect with us

ืœืžื” ืžืขืจื›ื•ืช HR ืžื‘ื•ืกืกื•ืช ืขื ืŸ ื”ื•ืคื›ื•ืช ืœืžื˜ืจื•ืช ืจืืฉื•ื ื•ืช ืœืชื•ื›ื ื•ืช ื›ื•ืคืจ

ืžื ื”ื™ื’ื™ ื“ืขื”

ืœืžื” ืžืขืจื›ื•ืช HR ืžื‘ื•ืกืกื•ืช ืขื ืŸ ื”ื•ืคื›ื•ืช ืœืžื˜ืจื•ืช ืจืืฉื•ื ื•ืช ืœืชื•ื›ื ื•ืช ื›ื•ืคืจ

mm
Published
Updated

במשך זמן רב, פלטפורמות HR נתפסו כמערכות back-office. חשובות, כן, אבל לעיתים רחוקות נחשבו ביטחוניות מבחינת עמדת ביטחון. התפיסה הזו אינה משקפת עוד את המציאות.

מערכות HR מודרניות הן פלטפורמות מבוססות ענן, AI-מסייעות שמניעות העסקה, תשלום, ניהול ביצועים וניתוחי כוח אדם. הן פועלות ברציפות, משולבות עם עשרות שירותים של תאגיד ואוכסנות חלק מהנתונים האישיים והפיננסיים הרגישים ביותר שארגון מחזיק. בשקט, הן הפכו לתשתית דיגיטלית חיונית.

מודלי ביטחון, עם זאת, לא תמיד שמרו קצב עם המעבר הזה. ככל שתוכנות האינטליגנציה המלאכותית משתלבות עמוקות בזרימת עבודה של HR, הפער בין ה way אלו מערכות פועלות וכיצד הן מוגנות ממשיך להתרחב. הפער הזה הופך להיות מושך יותר ויותר לתוקפים.

מערכות HR אינן עוד רק ‘back office’

פלטפורמות HR של היום פועלות כמנועי החלטה. מודלים של AI בוחנים קורות חיים, דורגים מועמדים, מסמנים אנומליות ותומכים בתכנון כוח אדם. מחקרים בתחום AI במקום העבודה מתייחסים יותר ויותר למערכות אלו כסביבות סוציו-טכניות מורכבות ולא רק שכבות אוטומציה פשוטות, מה שמדגיש את השלכות הביטחון והפרטיות.

גיוס וניהול כישרונות אינם עוד תהליכים ליניאריים. מחקרים ארגוניים מראים כי הם כוללים כיום מספר שלבים, שירותים ובעלי עניין, המתואמים דרך מערכות AI משולבות ולא רק יישומים בודדים.

המעבר הארכיטקטוני הזה חשוב. ככל שמערכות HR הופכות למשולבות יותר ופועלות ברציפות, הן מזכירות יותר ויותר צורות אחרות של תשתית דיגיטלית קריטית. תשתית קריטית מושכת תשומת לב מאויבים.

למה התוקפים מתעניינים

קבוצות כופר כיום לא רק רודפות אחרי נפח. הן רודפות אחרי השפעה.

מערכות HR מציעות בדיוק את זה. הן מרכזות נתוני זהות, מידע על שכר, היסטוריית עבודה ורשומות ציות לרגולציה למקום אחד. הפרעה להן יכולה לעצור גיוס, לעכב תשלומי משכורות ולחשוף ארגונים לתוצאות רגולטוריות. אף דפרטמנט לא מרגיש כאב מהיר יותר.

AI מגביר את ההשפעה הזו. זרימות עבודה אוטומטיות אומרות כי רכיב שלם אחד יכול להשפיע על מספר פונקציות HR בו-זמנית. בסביבות ענן, שבהן שירותים נאמנים זה לזה בעיצוב, תוקפים לא צריכים שליטה מלאה כדי לגרום להפרעה משמעותית.

מנקודת מבטו של תוקף, מערכות HR אינן עוד פריפריאליות. הן מרכזיות.

הגבולות של ביטחון סטטי בסביבות HR מבוססות ענן

רבים מבקרי הביטחון עדיין מניחים יציבות. קונפיגורציות קבועות. תנועה צפויה. גבולות ברורים.

מערכות HR מבוססות ענן מפרות את כל ההנחות האלו. הן מסתעפות דינמית, תלויות במיקרו-שירותים ומשולבות באופן רציף עם שירותים חיצוניים לבדיקות רקע, הערכות, ניתוחים ואימות זהות. כלים ביטחון התלויים בבסיסי סטטיים מתקשים לעמוד בקצב.

מחקרים על מערכות עבודה מאופרות AI מדגישים את האי-התאמה הזו. מערכות דינמיות המוגנות עם הנחות סטטיות יוצרות נקודות עיוור, במיוחד כאשר נתוני אדם וחובות רגולטוריות מעורבים.

גיבויים ותוכניות השבה נותרים חיוניים, אך הם מתייחסים למה שקורה אחרי אירוע. בסביבות HR, השבה לבדה אינה מספיקה. תשלום משכורות לא יכול פשוט להיעצר. צינורות גיוס לא יכולים להישאר קפואים לנצח. גילוי שבא מאוחר מדי הוא לעיתים קרובות בלתי ניתן להבדלה מכישלון.

AI משנה את מודל האיום למערכות HR

AI עושה יותר מאשר אוטומציה של משימות HR. הוא משנה את הדרך בה מערכות חושבות, פועלות ובוטחות בקלט.

רבות מזרימות העבודה של HR המונעות על ידי AI תלויות בנתונים לא מובנים המסופקים על ידי משתמשים חיצוניים. קורות חיים, תיקים ומסמכים נעובדים אוטומטית ולעיתים קרובות נחשבים כתמימים על ידי שירותים המשולבים. מחקרים על הזרקת פרומפטים ותקיפות הוראות עקיפות מראים כיצד ניתן לנצל הנחה זו, מטשטש את הגבול בין נתונים ללוגיקת בקרה.

זהו לא חשש תיאורטי. נתוני מודיעין איומים מראים כי הפרות נתונים הקשורות ל-AI גנרטיבי גדלו פי שניים בשנה אחת, בעיקר בגלל שימוש לרעה, תצורה לא נכונה וחוסר בקרות זמן ריצה.

כאשר מערכות AI משולבות במערכות HR, הסיכונים האלו מתפשטים במהירות. קלט מושחת יכול להשפיע על החלטות אוטומטיות, להפעיל זרימות עבודה או לחשוף רשומות רגישות ללא הפעלה של אזעקות מסורתיות.

מערכות HR כתשתית ביצועית

מעבר אחר שאינו מוערך הוא שמערכות HR הופכות לקובעות החלטות, ולא רק מציעות. סוכני AI יכולים להפעיל זרימות עבודה, לאשר גישה, לתזמן ראיונות ולהפעיל מערכות המשולבות אוטומטית.

תקריות אחרונות שבהן מערכות AI נמניפולציות לביצוע פעולות בלתי מכוונות מדגימות כיצד התנהגות זמן ריצה הפכה לדאגה ביטחונית עלית.

בסביבות HR, זה אומר שתוקפים לא תמיד צריכים לפרוץ ישירות לתשתית. השפעה על התנהגות מערכת במהלך פעילות רגילה יכולה להיות מספיקה כדי לגרום להפרעה, חשיפת נתונים או כישלונות מבצעיים.

חשיבה מחדש על הגנה: מבקרי ביטחון סטטיים לארכיטקטורות דינמיות

אם מערכות HR הן דינמיות, AI-מונעות ופועלות ברציפות, ארכיטקטורות ביטחון צריכות לשקף את המציאות הזו.

גוף הולך וגדל של עבודה אקדמית טוען לאסטרטגיות הגנה אדפטיביות שמשנות תנאים של מערכת במהלך הזמן, מקטינות את קומפורמיות התוקף ואת אמינות הניצול. גישות אלו מדוברות לעיתים קרובות תחת מושג הגנת מטרה ניידת, המדגישה שינוי רציף במקום קשיחות סטטית.

מה שהופך גישות אלו לרלוונטיות במיוחד למערכות HR הוא יכולתן לפעול במהלך זרימות עבודה חיות. במקום לאלץ זמן השבתה או התערבות ידנית, הגנות אדפטיביות מטרות למגביל את הנזק תוך כדי ששירותים נותרים זמינים.

מחקרים ביקורתיים אחרונים הראו כי אסטרטגיות הגנה דינמיות יכולות לצמצם באופן משמעותי את התפשטות תוכנות כופר במערכות HR מבוססות ענן, על ידי עצירת מנגנוני תנועה והישרדות לטרון.

הלקח הוא לא שטכניקה אחת מחליפה את כולן. הוא שמודלי ביטחון הבנויים על צפיות מתקשים בסביבות עוצבו לשינוי רציף.

מה שמנהיגי תאגידים צריכים לשאול

ככל ש-AI הופך ליסודי לפלטפורמות HR, ארגונים צריכים לחשוב מחדש על הנחותיהם. כמה שאלות שוות שווי בדיקה עכשיו:

  • האם מערכות HR מוגנות כתשתית קריטית או עדיין נחשבות כתוכנות מנהליות
  • האם בקרי ביטחון יכולים להסתגל במהלך פעילות חיה ולא רק לסגור אחרי שאזעקות מופעלות
  • כיצד גבולות האמון נוהלים בין רכיבי AI וקלטים חיצוניים
  • האם הגנות פועלות בלי להפריע לזרימות עבודה של תשלום משכורות, גיוס או ציות

אלו הן שאלות ארכיטקטוניות ושלטון כמו גם טכניות.

ביטחון HR הוא כעת בעיה של ביטחון AI

המיזוג של ענן, AI ו-HR יצר פלטפורמות חזקות, יעילות שגם חשופות יותר. פורצי כופר הבחינו.

הגנות סטטיות, עוצבו למערכות צפויות, מתקשות להגן על פלטפורמות המתפתחות באופן רציף בזמן ריצה. ככל שארגונים שותפים AI עמוק יותר לניהול כוח העבודה, הבטחת ביטחון מערכות HR לא יכולה עוד להיות עניין של אחרי.

ביטחון HR הוא עכשיו בעיה של ביטחון AI, בעיה של ביטחון ענן, ולבסוף בעיה של עמידות. השאלה האמיתית אינה עוד האם מערכות אלו יותקפו, אלא האם הן עוצבו לעמוד בתקיפות בלי להביא להפסקת פעילות עסקית.

Related Topics:
mm

Jay Barach ื”ื•ื ืกื’ืŸ ื ืฉื™ื ืœืžื‘ืฆืขื™ื ื•ื’ื™ื•ืก ื‘ Systems Staffing Group, Inc. (PA, USA), ื•ื—ื•ืงืจ AI ื•ืื‘ื˜ื—ืช ืกื™ื™ื‘ืจ ื”ืžืชืžื—ื” ื‘ืืจื›ื™ื˜ืงื˜ื•ืจื•ืช ืื‘ื˜ื—ื” ืื“ืคื˜ื™ื‘ื™ื•ืช, ืขืžื™ื“ื•ืช ืชื•ื›ื ื•ืช ื›ื•ืคืจ ื•ื ื™ืชื•ื—ื™ ื›ื•ื— ืื“ื ื”ืฉื•ืžืจื™ื ืขืœ ืคืจื˜ื™ื•ืช. ื”ื•ื ื—ื‘ืจ ื‘ื›ื™ืจ ื‘ IEEE ื•ื—ื‘ืจ ื‘ ACM, PMI, CSE, ื• NAASE, ืขื ืคืจืกื•ืžื™ื ื‘ IEEE, ACM, Springer ื•ื‘ืืชืจื™ื ืืงื“ืžื™ื™ื ืื—ืจื™ื. ื‘ืฉื ืช 2025, ืขื‘ื•ื“ืชื• ื‘ืชื—ื•ืžื™ AI, ืื‘ื˜ื—ืช ืกื™ื™ื‘ืจ ื•ื˜ื›ื ื•ืœื•ื’ื™ื™ืช HR ืงื™ื‘ืœื” ื›ื‘ื•ื“ ื‘ื™ื ืœืื•ืžื™ ืžืจื•ื‘ื™ื ืขื‘ื•ืจ ื—ื“ืฉื ื•ืช ื•ื”ื ื”ื’ื” ื‘ื›ื™ืจื”.