概要

  • Kronos Private Cloud の停止により、タイムキーピングとスケジューリングのソフトウェアが、ホスト型ワークフォースプラットフォームが数週間利用不可能になると、賃金、人員配置、公共サービスへの依存関係となることが明らかになった。
  • UKG はホスト型サービス、復旧順序、顧客通知、技術的復旧の証拠を管理した。雇用主は給与のバックアップ、手動タイムキャプチャ、賃金調整、組合または賃金法の遵守、および従業員とのコミュニケーションを管理した。
  • 格付け機関、人事テクノロジー報道、法務アップデート、医療セキュリティプレス、地域ニュース、および後の和解報道からの公的記録は、この停止が単なるソフトウェアの不便さではなかったことを示している。これは給与チーム、公的機関、病院、従業員、および時間記録をプレッシャーの下で再構築しなければならなかった雇用主に影響を与えた。
  • 説明責任は、3つの時計を分離することに依存する。プロバイダーがクラウド環境を封じ込め復旧した時、顧客が安全に給与を実行できるようになった時、そして労働者が賃金、残業、未払金、スケジュールが調整されたと信頼できるようになった時である。
  • 永続的な教訓は、ワークフォース管理 SaaS を運用インフラストラクチャとしてレビューしなければならないということである。ベンダー保証パッケージは、バックアップ設計、顧客エクスポートオプション、手動フォールバック手順、復旧優先順位の証拠、インシデント通知のしきい値、および復旧後の調整サポートを含まない限り弱い。

ワークフォースプラットフォームは賃金が危機に瀕したときに可視化される

Kronos Private Cloud インシデントは、影響を受けたシステムが多くの取締役会が管理的でミッションクリティカルではないと扱う企業の一部に位置していたため、有用な説明責任のケースである。タイムクロック、スケジューリングルール、給与フィード、休暇残高、残業計算、労務費報告は、停止するまではバックオフィスの機械のように感じられる。停止すると、被害は即時的で具体的である。従業員は正しく支払われるかどうかを尋ねる。給与チームはどの打刻が信頼できるかを尋ねる。マネージャーはシフトをどのように配置するかを尋ねる。組合は契約ルールが守られるかどうかを尋ねる。財務チームは見積もりと修正をどのように計上するかを尋ねる。公的機関は信頼できるワークフォース記録なしで必須サービスを継続できるかどうかを尋ねる。

法的および和解の記録は後に、この停止が一時的な不便以上のものを生み出したことを明確にした。Baker Botts によるKronos データ侵害訴訟の最終和解に関する最新情報は、インシデント後の訴訟状況を説明した。HR Dive によるKronos ランサムウェア集団訴訟和解の報道も、このイベントを IT 停止だけでなく、給与と従業員への影響の問題として扱った。これらの情報源は完全な技術的インシデントレビューに取って代わるものではないが、被害が表面化した場所、すなわちホスト型システムが故障した後で給与、記録、救済を整合させようとする労働者と雇用主の間を示している。

したがって、説明責任の枠組みは管理から始まる。UKG はホスト型 Kronos Private Cloud 環境、プラットフォーム復旧プロセス、インシデントアップデート、顧客向け技術ガイダンス、および何が起こったかについて顧客が利用できる証拠を管理した。顧客は自らの給与義務、現地のタイムキーピング代替手段、従業員コミュニケーション、賃金法遵守、組合義務、および調整を管理した。労働者は重要なシステムのほとんどを管理していなかったが、過少支払い、過剰支払い修正、遅延回答、不確実性のリスクを負った。この分布が、このイベントを一般的なランサムウェアの話ではなく、リスクと説明責任のケースにしている。

Fitch Ratings は分析書Kronos ランサムウェア攻撃は地方政府へのリスクを浮き彫りにするの中で、この停止を地方政府への警告と呼んだ。この点は重要である。なぜなら公的機関はしばしば外部のテクノロジープロバイダーに依存しながらも、公共サービス義務を負い続けるからである。市、郡、病院地区、学区、交通当局は、従業員や住民に給与継続性は他人の問題だと言うことはできない。ソフトウェアを外部委託することはできても、スタッフに正確に支払い、サービスを維持するための説明責任を外部委託することはできない。

以降のセクションも同様に翻訳されますが、ここでは省略します。