האיומים מגיעים מבפנים: איך מונעים מעובדים לפגוע במערכות?

הכול התחיל כשאחד מעובדי טסלה פתח בתמימות הזמנה להשלמת פערים בבר מאחד העובדים הקודמים של החברה. לאחר מספר מפגשים שכללו אוכל ושתייה, המכר מהעבר הבהיר מהן כוונותיו האמיתיות: הוא הציע לעובד הנוכחי מיליון דולר כדי להחדיר נוזקה לרשת המחשבים של יצרנית הרכבים, כחלק מתוכנית שהייתה מאפשרת לשרשרת שלמה של פושעי סייבר לגנוב מידע חיוני מטסלה ולדרוש ממנה כופר, אם הייתה מצליחה.

למרבה המזל, הקנוניה הזאת נכשלה לאחר שהעובד עשה את הדבר הנכון – דיווח על ההצעה למעסיק שלו ועבד יחד עם ה-FBI כדי להעמיד את המכר הוותיק לדין.

אך למרות התוצאה החיובית של המקרה הספציפי הזה, חשוב לזכור שהוא יכול היה להתפתח בכיוון אחר לחלוטין בקלות רבה. ניסיון המתקפה הזה היה תזכורת לכך שעובדי הארגון הם לא רק הנכס הכי חשוב שלו, אלא גם סיכון הסייבר הכי גדול שלו – ובמקרים רבים הסיכון הזה אינו מקבל את תשומת הלב המגיעה לו.

אולי כמה סטטיסטיקות יעזרו לנו להבין עד כמה הסיכון הזה גדול. על פי דוח חקירות הדלפות המידע של חברת Verizon משנת 2023, 19% מתוך 5,200 הדלפות המידע שנבדקו כחלק מהמחקר נגרמו ע״י גורמים פנימיים. באופן דומה, מכון Ponemon ערך סקר בקרב 1,000 מומחי IT ואבטחת IT בארגונים שחוו תקריות אבטחה שנבעו מגורם פנימי, וגילה שמספר תקריות האבטחה הקשורות לגורמים פנימיים עלה ב-44% בתקופה קצרה של שנתיים בלבד.

משטח ההתקפה גדל, גם עבור איומים פנימיים

בחברת אבטחת המידע ESET מסבירים כי איומי סייבר חמורים כמו מתקפות על תוכנות הקשורות לשרשרת האספקה, הונאות הדלפת הודעות דוא״ל עסקיות (BEC – Business Email Compromise), יחד עם כופרות ומתקפות אחרות שנעזרות במודל העסקי המשגשג של ״פשיעת סייבר כשירות״, הביאו את אבטחת הסייבר לסדר היום של ישיבות הנהלה בחברות רבות.

עם ההתנפלות על הטרנספורמציה הדיגיטלית, המעבר לסידורי עבודה גמישים מבוססי-ענן וההתבססות ההולכת וגדלה על ספקים חיצוניים, משטח ההתקפה של כל ארגון וארגון גדל במידה משמעותית. מרחב אבטחת הסייבר מורכב יותר מאי פעם, ומכיוון שהתוקפים מנסים לרתום את יתרונותיה של המורכבות הזאת ללא הרף, הגדרת הסיכונים הקריטיים ביותר וקביעת סדר עדיפויות ביניהם הן אינן משימות פשוטות.

ואם לא העכרנו את האווירה עד עכשיו, חשוב לציין שחסימה של תוקפים חיצוניים מגישה לרשתות ולמחשבים היא רק חצי מהקרב. במרבית המקרים איומים פנימיים לא מגיעים לראש סדר העדיפויות, אף על פי שההשלכות של תקרית אבטחה שנגרמה מגורם פנימי הן יותר חמורות מאלה של תקריות שנגרמו ע״י גורם חיצוני בלבד.

ממש מתחת לאף שלכם

איום פנימי הוא איום שמגיע ממעמקי הארגון, כשברוב המקרים הכוונה היא לעובד או קבלן (בהווה או בעבר) שעשוי לגרום נזק לרשתות, מערכות או נתוני החברה.

איומים פנימיים מתחלקים ברוב המקרים לשני סוגים – מכוונים ולא-מכוונים, כשאת הלא-מכוונים ניתן לסווג לשתי תת-קטגוריות: איומים הנובעים מטעות ואיומים הנובעים מהתרשלות. מחקרים מראים שמרבית האיומים הפנימיים נובעים כתוצאה מהתרשלות או חוסר-אכפתיות, ולא מכוונות זדוניות של ממש.

האיומים יכולים להופיע בצורות רבות, כמו גניבה או שימוש לרעה בנתונים מסווגים, גרימת נזק למערכות פנימיות, מתן גישה לגורמים זדוניים וכו׳. המוטיבציה לאיומים כאלה נובעת בדרך כלל ממספר גורמים – רווח כספי, נקמה, אידיאולוגיה, רשלנות או כוונות זדוניות של ממש.

האיומים האלה יוצרים אתגרי אבטחה ייחודיים מכיוון שהם קשים לזיהוי ואף קשים יותר למניעה, בעיקר מכיוון שלגורמים פנימיים יש חלון הזדמנויות גדול בהרבה מזה של תוקפים חיצוניים. מטבע הדברים, עובדי החברה זקוקים לגישה רחבה יותר למערכות ונתוני החברה כדי לבצע את עבודתם, כך שהאיום לא יזוהה עד לרגע שבו המתקפה מתרחשת בפועל, או אפילו רק לאחר שנגרם נזק. לגורמים פנימיים יש הכרות טובה יותר עם אמצעי ותהליכי האבטחה של המעסיק שלהם ויכולים לעקוף אותם בקלות רבה יותר.

בנוסף, גם אם סיווג האבטחה הראשוני כולל בדיקות רקע של העובדים, הוא לא יכול לקחת בחשבון את המצב הנפשי והרגשות האישיים של העובד, שיכולים להשתנות עם הזמן.

אך למרות זאת, ישנם מספר צעדים שארגון יכול לנקוט בהם כדי לצמצם את הסיכון של איומים פנימיים. הם מסתמכים על שילוב בין אמצעי אבטחה ובין תרבות של מודעות לאבטחה וביזור של כלים, תהליכים ואנשים.

צעדים מניעתיים לצמצום הסיכונים של איומים פנימיים

בחברת אבטחת המידע ESET מסבירים כי האמצעים האלה לא יבטיחו הגנה מושלמת מאיומי סייבר פנימיים, אך הם יכולים לסייע רבות בהגנה על ארגונים מפני איומים כאלה.

1. הטמיעו כלים לבקרת גישה: הטמעת כלים לבקרת גישה כמו בקרת גישה מבוססת תפקיד (RBAC – Role-Based Access Control) יכולה לסייע בהגבלת הגישה לנתונים ולמערכות רגישות כך שרק העובדים שזקוקים להם כדי למלא את חובותיהם יוכלו לגשת אליהם. באמצעות מתן גישה רק לעובדים הזקוקים לגישה הזו, החברה יכולה לצמצם משמעותית את מידת החשיפה שלה לאיומים פנימיים. בנוסף, חשוב לבצע בקרה על הרשאות הגישה, כך שרמות ואפשרויות הגישה יהיו תואמות לתפקידיהם של העובדים.
2. ניטור פעילויות עובדים: הטמעת כלי ניטור למעקב אחר פעילויות העובדים במכשירי או רשתות החברה יכולה לסייע בזיהוי התנהגות חשודה שעשויה להצביע על איום פנימי. ניטור כזה יכול לסייע גם בזיהוי של העברות נתונים לא שגרתיות או תבניות אבנורמליות של גישה למערכות ונתונים רגישים. כמובן, חשוב לוודא שהכלים האלה תואמים לתקנות המקומיות ויוצרים כללים ברורים הנוגעים למעקב, כדי להזים חששות הנוגעים לפרטיות.
3. בצעו בדיקות רקע: ביצוע בדיקת רקע לכל העובדים, הקבלנים והספקים לפני מתן גישה לנתונים רגישים ומסווגים עשוי לסייע בזיהוי סיכונים פוטנציאליים כלשהם. ניתן להשתמש בבדיקות האלה כדי לוודא שמועמד חדש אכן אומר את האמת בנוגע לעבר התעסוקתי והפלילי שלו.
4. קבעו פגישת הכשרה בנוגע למודעות לאבטחה: הכשרות קבועות בנוגע למודעות לאבטחה יבטיחו שהעובדים יגבירו את מידת ההבנה שלהם בנוגע לסיכוני אבטחת סייבר וההתמודדות איתם. זה יכול לסייע בצמצום הסיכוי להתרחשותו של איום פנימי בשגגה, כמו נפילה בהונאת פישינג.
5. מניעת אובדן נתונים: הטמעת מערכת למניעת אובדן נתונים (DLP – Data Loss Prevention) יכולה לסייע לכם במניעת אובדן או גניבת נתונים באמצעות ניטור, זיהוי וחסימה של העברה או שיתוף של נתונים רגישים. כך תוכלו לצמצם את האיומים הפנימיים, אך גם להגן על נתונים מסווגים.

חשוב לציין – אף אחד מהאמצעים האלה אינו חסין לחלוטין בפני עצמו, ואין אף פתרון בודד שיכול למנוע לחלוטין איומים פנימיים. עם זאת, הטמעה של כמה מהפתרונות האלה במקביל, יחד עם בחינה ועדכון מתמידים של מדיניות האבטחה, יאפשרו לעסקים לצמצם באופן משמעותי את החשיפה שלהם לאיומים פנימיים.

לפני הכל: הכשרה בנוגע למודעות לסיכוני אבטחה

מבין כל האמצעים שתוארו מעלה, זה האמצעי החשוב ביותר, ויש לכך מספר סיבות. ראשית, ההכשרות האלה עוזרות לעסקים לחסוך כסף באמצעות צמצום הסיכון של איומים פנימיים לא-מכוונים.

במרבית המקרים, העובדים פשוט אינם מודעים לסיכוני אבטחת סייבר מסוימים, ולוחצים על קישור שמוביל לעמוד פישינג, מורידים נוזקה או משתפים נתונים פנימיים מסווגים ללא חשש, מה שמוביל להדלפות נתונים או לתקריות אבטחה אחרות.

הכשרת העובדים באופן קבוע יכולה לסייע במניעת תקריות כאלה, ותצמצם את העלויות הקשורות לטיפול באיום הפנימי ואת אובדן המוניטין והקשיים המשפטיים הקשורים בתקריות אבטחה כאלה.

בנוסף, הכשרות בנוגע למודעות לאבטחה עשויות לשפר את היגיינת הסייבר האישית ואת דירוגי האבטחה הכלליים של החברה, מה שיוביל לעלייה ביעילות ובפרודוקטיביות. העובדים יוכשרו לזהות תקריות אבטחה ולדווח עליהן, וכך יוכלו לסייע בזיהוי איומים וטיפול מוקדם יותר, מה שיוביל לצמצום ההשפעה של האיום ושל העלויות הכרוכות בטיפול בו.

עם זאת, חושב לציין שהטמעה של כמה אמצעים במקביל, בהתאם לצרכים הספציפיים של החברה, היא עדיין הגישה הטובה ביותר ללחימה באיומים פנימיים ולצמצום עלויות בטווח הארוך.

פוליסת ביטוח סייבר להגנה מקסימלית

ביטוח סייבר הוא ביטוח אשר מטרתו העיקרית היא להעניק פתרון מיידי לכל יזמי הייטק אשר חווים מתקפות סייבר ופגיעות זדון שונות. במרבית המקרים, ביטוח סייבר ממוצע יכלול כיסוי ביטוחי שמגן על הארגון מפני תביעות צד שלישי שיכולות להגיע מצדם של לקוחות אשר מידע אישי אודותם דלף במהלך מתקפת סייבר.

במרבית המקרים ביטוח סייבר מעניק כיסוי מסוים לבית העסק מפני נזק שנגרם לו עקב המתקפה, כאשר במרבית המקרים מדובר על ירידה בהכנסות, הוצאות מוגברות עקב התנהלות עם משבר ועוד. אין ספק כי ביטוח סייבר הוא לא רק בחירה מומלצת, אלא חובה של ממש, שכן כאשר אתם מנהלים עסק ב תמיד תרצו לוודא כי הארגון מוגן וכך גם אתם

בנוסף לכיסוי אובדן רווחים ונזקי התקפת סייבר, עסקים המבוטחים בביטוח סייבר גם מצמצמים את הסיכון תודות לדרישות האבטחה של חברות הביטוח המבטחות אותם. זאת בנוסף לסיוע מיידי של מומחי אבטחת מידע במקרה התקפה, הפועלים מטעם חברת הביטוח, שתפעל ככל שביכולתה על מנת לצמצם את הנזק.