כאשר עוסקים באירועי סייבר בד"כ חושבים על התקפות חיצוניות של פושעים אשר מנסים להפיל את הארגון. מפתיע לגלות כי מאחורי רוב הכותרות המפוצצות יש מישהו בתוך הארגון שעזר לאירוע להתרחש.
במכוון, ברשלנות או מחוסר מודעות, עובדים יכולים להפוך בקלות לאיום של ממש.
קוראים לזה האיום הפנימי!!!
אמנם זה נושא קצת רגיש ויש ארגונים שיטענו ש "אצלי אין דבר כזה", אבל כשמדובר בבני אדם, כל אחד ואחת יכולים לטעות. וזה יכול להיות כל אחד, אפילו המנכ"ל.
צריך לזכור כי עובדים פנימיים יכולים לעבור את מנגנוני ההגנה של הארגון כי חייבת להיות להם גישה לכלי עבודה. הם מכירים את התהליכים, הדמויות הפועלות ולפעמים את החורים בהגנה של הארגון.
עובדים יכולים לנצל את המצב לטובתם האישית או טובת מכרים.
לצערנו, משבר כספי, תסכול במשרד, חשש מפיטורים או כל משבר אחר בחיים הפרטיים
יכולים לגרום לעובדים לפעול כנגד החברה בה הם עובדים.
לא תמיד מישהו שמהווה איום מודע לכך בכלל ולפעמים עובדים נסחטים לבצע פעולות נגד הארגון.
עובדים יכולים לבצע טעויות שיובילו לתקלות, אירועי פישינג, דליפת מידע ועוד...
כן ולא.
נחלק את זה לשניים
העובדים ה"טובים" – כאלה שקמים בבוקר ולא רוצים להזיק לארגון שלהם. אבל הם עדיין יכולים:
העובדים ה"רעים" – כאלה שינסו להזיק לחברה ע"י ניצול הגישה שלהם. רוצים לראות דוגמאות, נטפליקס לשירותכם...
אז אלו עובדים הכי מסוכנים?
רצוי שתהיה בארגון תוכנית לניהול האיום הפנימי.
ה – CISO בארגון יכול לנהל את התוכנית אך היא חייבת להיות בתאום עם כל המחלקות בארגון.
חשוב לשלב אנשים שמבינים בתהליכים, אנשים ובצד העסקי של החברה.
התוכנית אמורה לכלול את דרכי ההתמודדות באספקט של אנשים, תהליכים וטכנולוגיה.
בקצרה:
אנשים
צריך לזכור שמדובר בנושא רגיש. אף אחד לא רוצה להיחשב כאיום.
לכן, לפני הכול מודעות!!!
עובדים מודעים עושים פחות טעויות וקשה יותר לעקוץ אותם.
דוגמה אישית של המנהלים היא כלי חיוני בהקניית תרבות ארגונית מכוונת סייבר.
מודעות לאורך זמן יוצרת תרבות אשר יותר סובלנית לאמצעי אבטחה בארגון.
כמובן שצריך לשים לב לאנשים בארגון שיכולים להוות איום.
תהליכים
ארגון ללא תהליכים חזקים הוא מתנה לכל פושע סייבר אשר ינסו לנצל את החורים בתהליכים כדי להטעות או לסחוט עובדים.
כאשר יש תהליכים מבוקרים קשה יותר לטעות ולהטעות.
ניהול הרשאות, ניהול זהויות, מנגנוני בקרה ועוד יסודות באבטחת המידע שלובים בניהול האיום הפנימי.
חשוב שיהיו תהליכים המקדמים את התוכנית כמו איך מדווחים על איום פנימי או איך מנהלים אירוע פנימי.
טכנולוגיה
ישנם פתרונות טכנולוגים בעלי יכולת ניטור, בקרה ,מניעה של פעולות משתמש.
הפתרונות מנסים לעקוב אחר פעולות המשתמש כדי למנוע אירוע סייבר.
פתרונות טובים יסייעו למחלקת האבטחה לקבל מידע רלבנטי לגבי אירוע פנים ארגוני.
יש פה קונפליקט חזק בין פרטיות העובדים לפרטיות הלקוחות של החברה.
מצד אחד אנחנו רוצים לשמור על המידע של הלקוחות אבל כדי לעשות זאת אנחנו פוגעים בפרטיות העובדים.
ארגונים יכולים לכייל את הטכנולוגיה בהתאם לתרבות בארגון שלהם.
רצוי להודיע לעובדים שהם מנוטרים ולשתף את המניע להקלטה.
אפשר לקבוע מתי לנטר, את מי, למה ומי יכול לצפות בהקלטות.
מילת המפתח היא מידתיות והשימוש בפתרונות הטכנולוגיים חייב להיות מותאם לתהליכים הרלבנטיים.
כמובן שאין פתרון טכנולוגי שיכול לעצור את כל המתקפות.
האיום הפנים ארגוני הוא נושא מורכב החורג מההתנהלות הרגילה של מחלקת האבטחה.
מדובר פה באנשים שעובדים בשביל הארגון ולצערנו כל אחד יכול להפוך לאיום.
אז לפני הכול מודעות והסברה.
הבניית תהליכים מבוקרים.
יש טכנולוגיות שיכולות לעזור וחשוב לאזן אותן.
חשוב להתחיל במשהו. לא לפחד להתחיל בקטן, לא יוצרים תרבות ברגע!