מחירם של איומי פנים מתפוצץ: כך תנהלו אותו

העלות של איומים פנימיים מתפוצצת: הנה איך לנהל אותם

מאת פיל מונקסטר • 23 אפריל 2024

יש בעיה הולכת וגוברת בלב העמדה של אבטחת סייבר ארגונית. זה לא פושעי סייבר מפוקפקים או האקטיביסטים הנתמכים על ידי המדינה. זו לא המורכבות הבלתי נתפסת של סביבת ה-IT המודרנית. זה המשאב שאף ארגון לא יכול בלעדיו: האנשים שלו.

לפי מחקר אחד, הפרות שנגרמו על ידי מקורבים עולות היום בממוצע 16.2 מיליון דולר - עלייה של 40% בהשוואה לנתון לפני ארבע שנים. עם זאת, אותם ארגונים מוציאים רק 3.2 מיליון דולר בשנה כדי לתקן את הבעיה. משהו חייב להשתנות.

עד כמה חמור האיום הפנימי?

סיכון פנימי יכול ללבוש צורות רבות. מחקר DTEX זה מחלק אותם לשלוש קטגוריות:

מקורבים זדוניים כמו עובדים ממורמרים המבקשים לפגוע בחברה בה הם עובדים. עבור חברות גדולות יותר או חשובות מבחינה אסטרטגית, זה עשוי לכלול אפילו מרגלים תאגידיים או שחקנים ממלכתיים
אנשים שהונמו על ידי הונאות דיוג או טקטיקות אחרות, המאפשרות להאקרים לחטוף את החשבונות שלהם ועוד
גורמים רשלניים שמתעלמים מאזהרות אבטחה ועלולים להגדיר מערכות בצורה שגויה

זהו סוג הסיכון השלישי שסביר להניח שיעלה לארגונים הכי הרבה, על פי הדו"ח. אבל באופן כללי, איומים מבפנים לרוב קשים יותר לזיהוי מאשר אלו המבוצעים מבחוץ הארגון - במיוחד אם מעורבת כוונה זדונית. וזה יכול להיות גורם לזמן, מאמץ ועלויות נוספות בטיפול בהם. על פי IBM, זיהוי ובלימת פרצות זדוניות מבפנים לקח בממוצע 308 ימים בשנה שעברה. והן עלו 4.9 מיליון דולר בממוצע - גבוה ב-9.6% מהעלות העולמית של כלל הפריצות.

נראה שמקרים מופיעים בחדשות בתדירות הולכת וגוברת. בפברואר זה יצא שעובד מועצה לשעבר בבריטניה גנב 79,000 כתובות מייל של תושבים במטרה לקדם עסק חדש. בצד השני של האוקיינוס האטלנטי, ורייזון נאלץ להודיע לאנשים שנפגעו לאחר שגורם פנימי "טפל באופן לא הולם" בתיק המכיל מידע על למעלה מ-63,000 עובדים. ולממשלה יש האשימה עובד לשעבר של גוגל עם גניבת סודות מסחריים.

האם איומים פנימיים סבירים יותר?

ישנן כמה סיבות מדוע CISOs צריכים להיות מודאגים. הראשון הוא עבודה בבית. מאז המגיפה, היא הפכה למאפיין קבוע של ארגונים רבים. יש אומרים בריטניה היא כעת בירת העבודה מהבית של אירופה. עם זאת, הרחק מהמשרד יכול גם להעלות את הסיכון לעוולה או רשלנות מכוונת. מצד אחד, זה עשוי לספק הזדמנויות להסתדר עם נתונים רגישים. מצד שני, עובדי הבית אומרים לפעמים שהם יותר סביר לקחת סיכונים או סותרים את מדיניות הביטחון, מאשר אם הם היו במשרד.

גורם הסיכון השני הוא משבר יוקר המחיה. ככל שהלחצים הפיננסיים מתבססים על העובדים, הם עשויים להיות מוכנים יותר לקחת סיכונים למען רווח אישי. סקר בפברואר של מלכ"ר למניעת הונאה סיפאס מגלה ש-54% מהעסקים בבריטניה מודאגים מכך שצוותים ממוקדים על ידי פושעי סייבר: למשל, לחשוף מידע רגיש בתמורה למזומן. יותר משתי חמישיות (42%) קוראים ספציפית לאיום הפנימי.

מחקר דומה של Bridewell Consulting שנה שעברה מגלה שלמעלה משליש (35%) ממנהיגי האבטחה של תשתיות לאומיות קריטיות (CNI) מאמינים שהשפל הכלכלי מאלץ עובדים לגניבת מידע וחבלה. היא טוענת כי מספר אירועי החבלה של עובדים בחברות CNI גדל ב-62% משנה לשנה.

יש לקבוצות איום כמו Lapsus$ הודה בגלוי הם מחפשים לעקוף הגנות אבטחה בעזרת גורמים פנימיים בארגונים ממוקדים.

ניהול איום האינסיידר

ג'יימי אקטר, מנכ"ל CyberSmart, אומר ל-ISMS.online שבין אם מפחית סיכון פנימי זדוני או רשלני, ארגונים צריכים לנקוט בגישה דומה - שילוב של צעדים מעשיים ואסטרטגיות ממוקדות משאבי אנוש.

"אתה צריך לשלוט בגישה בתוך הארגון שלך. מה שאנחנו מתכוונים בזה הוא שאתה צריך להיות קפדני לגבי חשבונות המשתמשים שיש להם הרשאות אדמין וגישה לנתונים רגישים", הוא מסביר.

"הפעל את כלל האצבע שאף אחד לא צריך לקבל גישה לכל מה שהוא לא צריך כדי לבצע את עבודתו. המשמעות היא גם תהליך ברור ליציאה מהמטוס והסרת גישה מהעובדים העוזבים. לעתים קרובות מדי הפרות נובעות מעובדים שלא אמורה להיות להם גישה למידע רגיש שיש לו".

זה צריך לבוא לצד הכשרה משופרת לאבטחת סייבר כדי לעזור לצוות לזהות ולהימנע מאיומים נפוצים, הוא מוסיף.

"עם זאת, כל זה לחינם אם עובדים מרגישים לא מוערכים מספיק כדי לרצות לנקוט בפעולה או שהם פשוט מושלגים. אחרי הכל, צריך רק איש צוות אחד ממורמר או עמוס מדי כדי לקבל החלטה שעלולה לסכן את כל העסק", טוען אחטר.

"עסקים אכן צריכים להציב אמצעי הגנה מעשיים, אבל הם צריכים גם לגלות אמפתיה ותמיכה לעובדים."

טרייסי קרפנטר, מנהלת איומי פנים ב-Cifas, מתארת חמישה שלבים למניעת סיכון פנימי, החלים על פני תרחישי אבטחת סייבר והונאה. ראשית, יש לקיים מדיניות מיון חזקה לפני העסקה. לאחר מכן, סקור וסגור את הפערים בבקרות.

"אם לעובד יש את המוטיבציה לבצע התנהגות הונאה או שהוא יכול לתרץ את ההתנהגות הלא ישרה שלו, הם יכולים למקד ולנצל את הפערים האלה בבקרות", היא אומרת ל-ISMS.online

ארגונים צריכים גם לזכור להיות פרואקטיביים, לא תגובתיים, היא אומרת. המשמעות היא לא להסתמך על צוות או לקוחות כדי לסמן מקרים של התנהגות לא ישרה פוטנציאלית של עובדים. זכור גם לבצע בדיקות לאורך מחזור חיי העובד, שבמהלכן פרופיל הסיכון של העובד עשוי להשתנות. ולבסוף, עבדו בשיתוף פעולה על ידי שיתוף מודיעין איומים במידת האפשר, היא אומרת.

כיצד ISO 27001 יכול לעזור

תקני שיטות עבודה מומלצות כמו ISO 27001 יכולים גם לעזור. ISO 27001 מחייב תכניות הכשרה לאבטחת סייבר לצוות, שיסייעו לשפר את המודעות לגבי הצורך בתרבות אבטחה ראשית. זה גם דורש בדיקות שוטפות של המדיניות והנוהל.

"ISO27001 כולל דרישה להערכה מתמדת כדי להבטיח שהסיכונים (כולל איומים פנימיים) לארגון מנוטרים באופן רציף ושבקרות ממתן מיושמות ומשופרות בהדרגה", מסביר Akhtar של CyberSmart.

"זה עוזר להתמודד עם איומים פנימיים כי זה עוזר לעסקים להפעיל את התהליכים והצעדים המעשיים כדי להתמודד איתם. יתרה מכך, הוא מעודד ארגונים לחשוב על האיומים שמציבים מקורבים וכיצד לשפר ללא הרף את אמצעי האבטחה שלהם".

עם זאת, תקני אבטחת סייבר ותוכניות כמו יסודות סייבר יכול להשיג רק ארגונים עד כה. הם גם צריכים לשקול את הסיבות הבסיסיות לסיכון פנימי. זה עשוי לדרוש הערכה מחדש בסיסית של תרבות העבודה הארגונית.

"הונאה היא עניין של כולם", מסכם הנגר של Cifas. ארגון שמאמץ הכשרה למניעת הונאות ומתחייב לבנות ולפתח תרבות נגד הונאה מצויד טוב יותר לא רק להתמודד עם האיום הפנימי ההולך וגובר אלא גם להגן על הצוות, לקוחותיו ומחזיקי עניין רחבים יותר".

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.