רועי לביא

רועי לביא

מנהל תחום מערכת Syteca (לשעבר EKRAN)

יסודות בניהול סיכונים פנים ארגוניים: 10 שיטות אבטחת מידע מומלצות

התדירות והחומרה של אירועי אבטחת מידע והפרת נתונים הנגרמים על ידי מה שמכונה 'האיום הפנימי' עולים בחדות משנה לשנה, וע"פ הדו"ח העולמי של מכון פונמון לשנת 2022, כ- 67% מהחברות חוו בין 21 ל-40 תקריות בשנת 2022, נתון מדאיג בהתחשב בנזק הכספי הגבוה שכל אירוע שכזה לעתים רבות גורר אחריו.

כדי לאפשר לכם – מנהלי אבטחת מידע, מנהלי IT ומנהלי מערכות מידע – למקסם את רמת אבטחת המידע בארגון שלכם ולמזער את הסיכון להתממשות תרחיש סייבר הנובע מהאיום הפנימי, אבחן במאמר זה את היסודות של ניהול סיכונים פנים-ארגוניים, ואפרט שיטות עבודה מומלצות שיעזרו לכם לנהל באופן טוב יותר סיכוני אבטחת מידע פנים ארגוניים.

מהם סיכוני אבטחת מידע פנים ארגונייםי ("האיום הפנימי")?

סיכונים פנים ארגוניים הם השלכות שליליות שהארגון עלול להתמודד איתם כתוצאה מפעולות של אנשים בעלי הרשאות גישה פריבילגית למערכות המחשוב הארגוניות ולמשאבי הידע של הארגון. סיכונים אלו יכולים להיווצר כאשר עובדים, קבלנים או שותפים עסקיים, בזדון או ברשלנות, ניגשים לנכסי הארגון בצורה בלתי מאובטחת, או כאשר גורמים כאלו מנצלים את הרשאות הגישה שלהם כדי לגנוב מידע ולפגוע בארגון ובנכסי הידע שלו. על פי הערכות שונות, כמחצית מאירועי הפרת הנתונים בעולם נגרמים כתוצאה מאיום זה(!) ולא כתוצאה מתקיפה של האקרים מחוץ לארגון.

ההבדל בין "הסיכון הפנימי" ל"איום הפנימי" בהיבט של אבטחת מידע

במידה והארגון לא מתנהל נכון ואינו מנהל בצורה מקצועית את הסיכונים הפנים-ארגוניים, הוא מעלה את הסיכון להתממשות של אירוע סייבר הנובע מהאיום הפנימי. כאן המקום להסביר את ההבדל בין המושגים של "סיכונים פנימיים" ו"איומים פנימיים": סיכון פנימי הוא מושג רחב המכסה את כל מי שמטפל במידע ארגוני רגיש או בכל סוג של תהליך בארגון. כל אדם, ללא קשר לתפקידו וכוונותיו, מהווה למעשה סיכון פנימי. לעומת זאת, רק חלק קטן מן האנשים שמבצעים פעולות זדוניות מהווים איום פנימי. כדי לנהל ביעילות את האיום הפנימי,יעיל יותר אם כן להתמקד בסיכונים פנימיים, שכן שבעוד שלא כל סיכון פנימי הופך לאיום פנימי, כל איום פנימי מתחיל כסיכון פנימי. 

מהן ההשלכות של ניהול לקוי של סיכונים פנימיים?

הפסדים ונזקים פוטנציאליים הנובעים מהתממשות של האיום הפנימי עשויים להיות קשים ולהוביל להשלכות חמורות לארגון. נזקים אלו יכולים להתבטא בהפסדים כספיים משמעותיים בעקבות קנסות, פיצויים ואובדן ימי עבודה;  אובדן קניין רוחני של סודות מסחריים, ידע אודות תהליכים ושיטות עבודה ייחודיות; אובדן אמון ומוניטין מצד הלקוחות; שיבוש של התפעול כתוצאה מכך שהארגון נאלץ להוציא משאבים וכסף כדי לתקן את הנזקים הנובעים מהאירוע, ועוד. ההערכות הן שהנזק הממוצע לכל אירוע סייבר פנים ארגוני הוא כ-700,000 דולר, ותועדו גם מקרים שהנזק היה גבוה בהרבה.

גורמי מפתח התורמים להתממשות סיכונים פנימיים

סיכוני אבטחת מידע פנים-ארגוניים עשויים להיגרם ולהתעצם על ידי מגוון גורמים, החל מסוגי הסביבות בהן פועלים העובדים בארגון ועד למדיניות אבטחת המידע ואמצעי אבטחת המידע שהארגון מיישם. הגורמים השכיחים ביותר התורמים לסיכונים פנימיים כוללים:

  • חוסר נראות של פעילות המשתמשים: במידה ולארגון אין תמונת מצב מלאה של מה שעושים המשתמשים במערכות ובנתונים של ארגון, קשה מאוד לזהות ולהגיב לאירועים חשודים. 
  • הרשאות גישה נרחבות מדי: עובדים, שותפים עסקיים וספקי צד שלישי עם הרשאות גישה למשאבי הארגון מהווים סיכון גבוה לשימוש לרעה בהרשאות הגישה הפריבילגיות שלהם לגרימת נזק לארגון.
  • מדיניות אבטחת סייבר חלשה: מדיניות ונהלי אבטחת מידע רופפים, כמו היעדר מדיניות חזקה של ניהול סיסמאות, עלולים ליצור פגיעויות שתוקפים חיצוניים יכולים לנצל אותם לרעה. במקרים רבים, פגיעויות אלו נותרות בלתי מזוהות עקב אמצעי ונהלי בקרה חלשים. 
  • משטח התקפה מורחב: המגמה המתמשכת של עבודה מרחוק, עבודה היברידית וסביבות עבודה בענן מרחיבה מאוד את משטח תקיפות הסייבר של ארגונים, ופותחות פריצות אשר מגבירות מאוד את פגיעות המערכות והנתונים של הארגון.
  • הנדסה חברתית: טקטיקות של הנדסה חברתית מבצעות מניפולציות על אנשים במטרה לגרום להם לחשוף מידע רגיש או לנקוט בפעולות שעלולות לסכן את אבטחת המידע הארגוני. גורמים בארגון בעלי הרשאות גישה פריבילגיות נפגעים פעמים רבות כתוצאה משיטות אלו והם עלולים להפוך לאיומים לא מכוונים, ולחשוף נתונים קריטיים בפני שחקנים זדוניים. 
  • חוסר מודעות של העובדים: אם הארגון אינו פועל באופן שוטף כדי להעלות את מודעות עובדים לנהלי אבטחת מידע מומלצים וכיצד לזהות איומי סייבר, העובדים עשויים להפוך לפגיעים וליפול קורבן להתקפות הנדסה חברתית.

עקרונות הליבה של ניהול סיכונים פנימיים

ניהול סיכונים פנימיים הוא אוסף של אמצעים, שיטות עבודה וכלים המתמקדים בזיהוי ומזעור סיכונים פנימיים בארגון. המסגרת לניהול סיכונים אלו דוגלת בכך שהארגון חייב להבין באופן מלא מי מהווים איום, מה הם מנסים לעשות (פעילויות איומים), וכיצד לצמצם את פעילות השחקן (יעדי הפחתה). 

מהם סוגי האיומים?

כל סוג של שחקן מהווה רמה שונה של סיכון פנימי לארגון ודורש גישת התמודדות שונה. רוב הסיכונים הפנימיים בארגון מגיעים משלושת הסוגים הבאים של משתמשים פריבילגים. אלו הם סוגי האיומים:

  • משתמשים רשלניים: מדובר בעובדי הארגון, שותפים עסקיים או ספקי צד שלישי שעלולים לפגוע או לסכן את נכסי הארגון שלא במתכוון – בד"כ כתוצאה מרשלנות. על-פי מכון פונמון, רשלנות הייתה הסיבה העיקרית ל-56% מכלל אירועי הסייבר הפנים ארגוניים בשנת 2021. 
  • משתמשים זדוניים: אלו הם משתמשים ברשת המבצעים בכוונה פעילויות שעלולות להזיק לארגון. למשתמשים אלה יכולים להיות מניעים שונים, החל מרווח כספי דרך נקמה בחברה ועד שעמום. על פי אותו דיווח של מכון פונמון, 26% מאירועי הפנים נגרמים על ידי משתמשים אלו.
  • משתמשים שנפגעו: במידה ותוקפים מצליחים לסכן חשבונות ארגוניים לגיטימיים באמצעות הנדסה חברתית (כמו דיוג/פישינג למשל) או כל אמצעי אחר, התוקף החיצוני יכול לפעול בתחפושת של משתמש לגיטימי, ולשהות מספיק זמן ברשת הארגון כדי לגשת לנכסי הידע, לגנוב אותם ולהשתמש בהם לרעה.

מהן המטרות והמניעים הספציפיים של גורמי האיום הפנימיים?

כאשר סיכון פנימי הופך להיות איום פנימי, הוא בדרך כלל מסווג לאחד מהסוגים הבאים של פעילות בלתי חוקית:

  • הונאה: פעילות זדונית שמתרחשת כאשר עובד, שותף עסקי או ספק שירות מנצל עמדת אמון בארגון כדי להרוויח כלכלית או לגרום נזק לארגון ו/או לגורמים אחרים. 
  • גניבת נתונים: פעילות זדונית המתבצעת כאשר משתמשים בעלי הרשאות גישה מעבירים בכוונה נתונים יקרי ערך ו/או מידע רגיש אל מחוץ למערכות הארגון. משתמשים אלו יכולים גם לגנוב נתונים למטרות של רווח אישי או נזק ארגוני. 
  • חבלה: פעילות זדונית המתרחשת כאשר הגורמים הפנימיים משבשים בכוונה את הפעילות העסקית בארגון על ידי מחיקת נתונים חשובים, התקנת תוכנות זדוניות או שימוש באמצעים אחרים.

מטרות הפחתה

חלק זה של ההגנה מהאיום הפנימי מתמקד בהגדרת האמצעים שארגון צריך ליישם כדי למזער סיכונים פנימיים. אמצעים אלה מחולקים לשלוש קבוצות: 

  • הרתעה: העלאת המודעות לאבטחת סייבר בקרב עובדים, שותפים עסקיים וספקים ובהבנת מדיניות אבטחת הסייבר שהארגון חייב ליישם.
  • זיהוי: הקניית כלים וצוות כדי לזהות מיידית כל סימן לפעילות זדונית, דבר שהוא קריטי לאבטחת המידע הארגוני.
  • שיבוש: לאחר זיהוי, יש לבלום ולשבש באופן מיידי כל פעילות זדונית באמצעות כלי תוכנה אמינים ויצירת כללים מותאמים אישית לחסימת משתמשים ותהליכים חשודים.

.

עשר שיטות אבטחה מומלצות לניהול סיכונים פנימיים

1. הערכת ותעדוף קבוע של סיכונים פנימיים: הערכה ותעדוף יכולים לעזור לך לקבוע את נכסי הנתונים ואת אזורי הרשת הפגיעים ביותר של הארגון. הערכת סיכונים פנימיים כרוכה בבחינת ההגנה הנוכחית של הארגון מפני גורמים רשלניים, זדוניים ונפגעים. תוצאות ההערכה והתעדוף מעניקות הבנה ברורה של אמצעי האבטחה הנדרשות לארגון.

2. שליטה בגישה למערכות ונתונים על ידי הענקת הרשאות פנימיות כברירת מחדל: צמצום הסיכונים הפנימיים מחייב צמצום הגישה של עובדים, שותפים וספקים, והגבלתם לגישה הנדרשת לצורך ביצוע תפקידם. מומלץ להוסיף שכבת הגנה נוספת על ידי הטמעת ארכיטקטורת אמון אפס, המחייבת אישור או אימות זהות המשתמש לפני הענקת גישה לנכס קריטי או רגיש. 

3. ניהול שימוש בסיסמאות: כדי להגן על הארגון מפני התקפות דיוג ואחרות, מומלץ לפתח מדיניות ניהול סיסמאות אשר תכלול המלצות שהמשתמשים בארגון חייבים יהיו לעקוב אחריהם, כגון שימוש בסיסמאות שונות לכל חשבון, בחירת סיסמאות ארוכות והחלפת סיסמאות באופן קבוע. 

4. הבטחת אבטחת מידע: שיטת האבטחה הנפוצה ביותר שיכולה להגן על המידע הארגוני מפני גורמים לא מורשים היא הצפנה. שיטה זו עושה שימוש באלגוריתם הצפנה כדי להפוך נתונים בלתי קריאים למשתמשים שאין להם מפתח פענוח מתאים. ביצוע גיבויים מלאים, דיפרנציאליים ומצטברים הוא צעד נוסף להגנה על הנתונים שלך. 

5. מעקב רציף אחר פעילות עובדים, קבלני וגורמי צד-שלישי: מקסם את השקיפות לפעילות המשתמשים ברשת שלך באמצעות פריסת כלים לניטור פעילות משתמשים. כלים אלו יאפשרו לך לצפות בפעילות של משתמשים בזמן אמת ובהקלטה לאחור. כאשר אפשר לגשת ולצפות בכל סשן משתמש של גישה למידע ולשרתים של הארגון, הדבר ממקסם את אבטחת המידע של אותם נכסים. ניטור רציף מספק נראות לפעילות של משתמשים פריבילגים ומאפשר זיהוי מוקדם של פעילות חשודה ותגובה מיידית 

6. עקוב מקרוב אחר משתמשים בעלי הרשאות גישה רחבות: למשתמשים מועדפים יש הרשאות גישה נרחבות ולכן הם עשויים להוות סיכון גבוה יותר ממשתמשים רגילים. חיוני איפה לשים לב במיוחד לפעילות שלהם על ידי מעקב צמוד, ובכך למקסם את האפשרות לאיתור סימנים מוקדמים של פגיעה ברשת ונכנסי הידע של הארגון ובכל שימוש לרעה בהרשאות הגישה הנרחבות. 

7. הבטחת תגובה מהירה לסיכונים אפשריים: מעקב וניתוח אוטומטי של התנהגות משתמשים יכולים להקל על ניהול סיכונים פנימיים על ידי האצת התגובה שלך לפעולות חשודות. כלי שימושי נוסף לניתוח התנהגות משתמשים הוא ניתוח התנהגות של משתמשים ושל ישויות  – או UEBA. כלי טכנולוגי AI זה מנתח את התנהגות המשתמשים ומזהה דפוסי התנהגות חריגים. ברגע שהתנהגות המשתמש חורגת מהדפוס הרגיל, המערכת מספקת התרעה למנהלי אבטחת המידע. 

8. הגבר את המודעות לאבטחת הסייבר של העובדים: רשלנות היא הגורם העיקרי לאירועי אבטחה פנימיים, ולכן הדרכת העובדים בנוגע לשמירה על נהלי אבטחת סייבר צריכה להתקיים באופן מקצועי ושוטף. 

9. בחינה שוטפת ומתמשכת של זכויות הגישה של המשתמשים:  בקרת גישה היא תהליך מתמשך שצריך להתבצע באופן מתמשך ושוטף, ומומלץ שהוא יכלול בדיקה למי יש גישה לאילו שרתים ונתונים והאם גישה זו נחוצה עבור פונקציות העבודה של כל משתמש ומשתמש. 

10. בצע ביקורות רגילות של אבטחה ותאימות IT: ביקורות שיטתיות של אבטחת מידע ותאימות IT יכולות לעזור לך לזהות נקודות תורפה במערכות ה-IT של החברה. ביקורות סדירות מאפשרות לך להעריך עד כמה יעילים אמצעי האבטחה הנוכחיים ולזהות פערים במדיניות אבטחת המידע.

Ekran System יכולה לסייע לך ביישום יסודות ניהול סיכונים פנימיים

Ekran System היא פתרון מקיף לניהול סיכונים פנימיים. המערכת מספקת סט שלם של כלים להגנה מירבית מפני סיכונים פנימיים, לזיהוי איומים ולשיבוש מיידי של כל פעילות חשודה ו/או זדונית. טכנולוגיות ניהול הסיכונים הפנימיים של Ekran כוללות:

  1. ניטור והקלטת פעילות משתמשים: כלים אלו של EKRAN מאפשרים לנטר ולתעד את פעולות המשתמשים ברשת הארגון, כולל את אלו  של העובדים, קבלני משנה, שותפים עסקיים ואחרים. יכולות אלו מאפשרות לצפות בפעילות המשתמשים בזמן אמת וכן באופן מוקלט עם מטא נתונים עשירים המספקים הקשר: יישומים שנפתחו, אתרי אינטרנט שהמשתמש ביקר בהם, פקודות שבוצעו, הקשות מקשים התקני USB מחוברים ועוד.
  2. ניהול זהויות ובקרת גישה: כלים אלו מאפשרים לנהל בצורה יעילה ומרכזית את הרשאות הגישה של המשתמשים הארגוניים תוך אבטחת נקודות קצה קריטיות ברחבי הרשת. כלי הניהול של EKRAN מספקים מגוון רחב של יכולות כדי לשלוט באופן יעיל בהרשאות גישה, החל מניהול זהויות ו-2FA לאימות מאובטח של משתמשים ועד לניהול סודות המהוות גישה מאובטחת והוצאת סיסמאות לשמירה לאישורי כניסה. 
  3. התרעות ותגובה לאירועים:  כלי ההתרעה והתגובה של EKRAN מאפשרים לעקוב ולזהות פעולות חשודות בתוך הרשת הארגונית באופן אוטומטי ולהגיב עליהן באופן מיידי. התרעות הניתנות להתאמה אישית ומודול UEBA המופעל על ידי AI יכולים להתריע על התנהגות חשודה של משתמשים, ולחסום תהליכים או משתמשים ברגע שהכלל שהוגדר כחשוד או מסוכן זוהה. כלי הביקורת והדיווח של EKRAN מספקים את כל הנתונים הדרושים לניתוח מקיף של סביבת  אבטחת הסייבר הנוכחית שלך.
  4.  Ekran מציעה מגוון רחב של דוחות כדי לספק מענה לדרישות ספציפיות. בנוסף, המערכת משתלבת באופן מושלם עם Microsoft Power BI, ומאפשרת להציג נתונים מורכבים בצורה ברורה ומובנת.

לסיכום

ניהול מקצועי ושוטף של סיכונים פנים ארגוניים הנו קריטי לכל ארגון. בעוד שארגונים ממגנים את עצמם באופן נרחב מפני התקפות סייבר חיצוניות, חשוב לזכור כי מחצית מאירועי הסייבר נגרמים כתוצאה של 'האיום הפנימי', ולא תוקף חיצוני כלשהו. 

לצערנו, אין זה נדיר שעובדים, שותפים או קבלנים שאנו סומכים עליהם פוגעים בארגון – אם כתוצאה מרשלנות ואם בזדון. מכיוון שההשלכות של פעולות כאלה עלולות להוביל לנזקים חמורים לארגון, חשוב לנקוט באמצעים יזומים כדי למזער את הסיכוי להתממשות של איום זה.

שילוב של עקרונות בסיסיים של ניהול סיכונים פנימיים ושיטות אבטחה מומלצות עם כלי תוכנה אמינים כמו Ekran יכול לעזור לארגון להתמודד ביתר קלות עם סיכונים פנימיים ולהבטיח שהנכסים הקריטיים שלך יהיו בטוחים ככל שניתן.

דילוג לתוכן