כמעט כל ארגון בימינו חשוף לאיומי סייבר פנימיים שמקורם בפעולות של אנשים הפועלים בתוך רשת המחשבים של הארגון, המצויידים בהרשאות גישה לשרתים השונים. גורמים אלו עשויים להיות עובדי חברה, קבלני משנה, ספקים, שותפים עסקיים ואחרים. הפגיעה בארגון ובמידע החיוני עשויה להיגרם כתוצאה מטעות אנוש או מפעולה מכוונת בזדון.

משבר הקורונה והמעבר המאסיבי לעבודה מרחוק החריפו את האיום, והגידול המשמעותי באירועי סייבר הנובעים מהאיום הפנימי שחווים ארגונים בעולם כולו ממחיש את היקף הבעיה.  מחקר של מכון פונמן מצביע על גידול משמעותי באירועי הפרת נתונים שמקורם בגורם פנים ארגוני בשנתיים האחרונות. מתוך מאות הארגונים בארה"ב שהשתתפו במחקר, כ-60% אחוז חוו יותר מ-30 אירועי אבטחת מידע כאלו בשנה!

כדי להגן על המידע הארגוני הרגיש, מוטלת אחריות על גורמי הביטחון בארגון לגבש תכנית להפחתת סיכונים הנובעים ממתקפת סייבר פנימית – גם בכדי למנוע התממשות של תרחיש שכזה וגם כדי להפחית את הנזק במידה והתרחיש יתממש בפועל. במאמר זה נדון בתוכניות להפחתת הסיכונים – מהן התוכניות המומלצות, מטרותיהן, מהם מרכיבי המפתח  ומהן שיטות העבודה המומלצות.

ניהול סיכוני סייבר פנים-ארגוניים

ניהול סיכונים הנו תהליך הכולל זיהוי, הערכה וצמצום סיכונים פוטנציאליים העומדים בפני הארגון. תהליך זה מאפשר לארגון למזער את הסיכון של התרחיש מלהתממש ולמזער נזקים והפסדים. יישום של תכנית לניהול סיכונים הנה הכרחית עבור כל ארגון, וקיימות מספר המלצות כיצד להקים תהליכי ניהול סיכונים בארגון. הסטנדרטים המקיפים ביותר לכך נקבעו על ידי NIST  ,ISO ו-PMI.

 שלב א'- גיבוש תוכנית למזעור האיומים

תוכנית למזעור האיומים ממפה את האפשרויות ואת הפעולות בהן יש לנקוט כדי לצמצם את ההשפעה והנזק של הסיכון. התכנית שואפת:

• להגדיר את הסיכונים לארגון ואת הסיבות לסיכונים אלו.
• להעריך את ההשלכות וההפסדים האפשריים במידה ואחד או יותר מהסיכונים יתממש.
• לזהות משאבים (כולל משאבי אנוש) הנמצאים תחת איום ואשר עלולים להוות מקור לאיום.
• לפתח מערכת כלים ופעולות למקרה שסיכון מסוים יהפוך למוחשי.
• להקים תהליכי ניהול סיכונים מתמשכים בחברה.

קיימות מספר דרכים כדי ליישם תוכנית שכזו:
ניתן ליצור מסמך עצמאי המוקדש לאיומים פנימיים ולהקטנת אפשרות של זליגה או גניבת מידע, או לחילופין, ליישם תוכנית שכזו כחלק ממדיניות הגנה מפני איומים פנימיים רחבה יותר או כפרק משנה של מדיניות ניהול סיכונים כלל-ארגונית. ניתן למצוא תבניות רבות של תוכניות שכאלו באינטרנט, אך חשוב להתאים אותן לצרכים הספציפיים של הארגון.
כאשר איום היפותטי מתממש והופך לריאלי, תגובה מיידית ונכונה הנה קריטית כדי למנוע נזקים רחבי-היקף. לכן, הארגון חייב להיות מוכן לכל מצב אפשרי ולגבש תוכנית תקפה לניהול סיכונים הנובעים מהאיום הפנימי. תכנית שכזו:

• תמנה את האיומים פוטנציאליים.
• תעריך את הסכנות.
• תיצור תוכנית סדורה למזעור סיכונים.

שלב ב' – סקירה של שיטות העבודה המומלצות ליישום התכנית

זיהוי סיכוני סייבר פנים-ארגוניים – שישה שלבים עיקריים:

• גיבוש מפרט לתבנית אשר תכלול את כל הפרמטרים.
• פירוט של כל הסיבות לסיכונים.
• פירוט של הזמן והמקום של כל הסיכונים.
• ההשפעות האפשריות.
• המשאבים המושפעים.
• הגדרת האיומים הבסיסיים, קיום סיעור מוחות וניתוח SWOT כדי לגלות סכנות פוטנציאליות.
  
  

זיהוי מפורט

בשלב זה, תוצאות הסקר הופכות בסיס למחקר מעמיק יותר לגילוי סיכונים נסתרים. ראיונות עם אנשי צוות וסקירה של הפרויקט בטכניקה קבוצתית יכולים לספק תובנות נוספות על הנושא.
בדיקה צולבת חיצונית: עד כאן, כל המחקר בוצע בתוך צוות ייעודי. עכשיו הגיע הזמן להתחיל דיון עם מחלקות אחרות בחברה כדי לקבל השקפה חלופית על הנושא.
בדיקה צולבת פנימית: רשימת הסיכונים משקפת את כל תוצאות הדיונים. כאן יש להשלים את הדוחות ולהפוך את תוצאות המחקר למסמכים פורמליים באמצעות התבנית שיצרת בשלב הראשון.

הערכת סיכוני סייבר פנים-ארגוניים

כל עסק, מקטן ועד גדול, עומד בפני סיכונים רבים מדי מכדי לטפל בהם בעת ובעונה אחת, כיוון שתמיד יש אפשרות של שיטפון או רעידת אדמה או אירוע סייבר. לכן הארגון צריך לגבש תוכנית פעולה למקרה שאחד מהתרחישים הללו יתממש, ומקבלי ההחלטות בארגון צריכים להעריך את כל הסיכונים במונחים של הסתברות ואת ההשפעה האפשרית. הדרך היעילה ביותר לעשות זאת היא על ידי יצירת מטריצת הסתברות הסיכון/השפעה.

מטריצה שכזו היא גרף עם שני צירים. הציר האופקי מעריך את ההשפעה של סיכון על הארגון שלך מטריוויאלי עד קיצוני, ואילו הציר האנכי מייצג את ההסתברות לאירוע, בין נדיר לסביר מאוד.בהתאם לתא שבו הסיכון נוחת, הוא מקבל עדיפות נמוכה עד בינונית עד גבוהה.

קבוצת הסיכונים באזורי הכתום והאדום דורשת אסטרטגיה ברורה למתן מענה מיידי. כאמור, ניתן לחפש תבנית לתוכנית כזו באינטרנט או ליצור אחת משלך, אך שים לב שכל תיאור סיכון צריך לכלול את המרכיבים הבאים:

• קבלני משנה.
• נכסים מושפעים – למשל: נתוני לקוחות, מידע אישי של העובדים ועוד.
• תיאור סיכונים – שלב זה כבר בוצע בעת תהליך הזיהוי.
• גורם סיכון – כיצד נדע שהסיכון התרחש.
• תוכנית תגובה – קישור למערך מפורט של פעולה..
• צוות תגובה – עובדים האחראים ליישום התכנית.
• אדם אחראי – עובד (בדרך כלל קצין ביטחון) הממונה על ניטור סיכונים ותגובה.
• פעולות הפחתה – סדרה של פעולות להקטנת ההסתברות לסיכון ולצמצום השפעתו האפשרית.
  
  

זיהוי איומי סייבר פנימים

על-פי הערכות, למעלה מ-50% מהעסקים הקטנים והבינוניים למעשה כבר חוו התקפת סייבר. אבל גם ארגונים גדולים נמצאים בסיכון, ופריצות בשנת 2018 התרחשו, לדוגמא, בטסלה, פייסבוק, קוקה קולה ועוד. הבה נבחן אסטרטגיות כדי להפחית את האיום הזה ודוגמאות לאיומים פנימיים. כל האיומים הפנימיים יכולים להיות מזוהים על ידי המקור שלהם.

קיימות שתי שיטות לזהות את המקור לסיכון:

להתרכז על מי שיש להם את האמצעים לתקוף – זוהי שיטה מבוססת גישה
הגדר למי יש אפשרות להתעסק עם הנתונים הרגישים שלך, ללא קשר לכוונה הסופית שלהם.

להתרכז על אלה שיש להם מניע – שיטה זו מבוססת על התנהגות
ניטור משתמשים אשר עשוים להיות ממורמרים על החברה או כאלו המציגים התנהגות חשודה: פעילות זדונית יכולה להתבצע על ידי כל אדם בעל גישה לרשת שלך, כולל עובד מן המניין, עובד עם גישה מועדפת (כמו מנהל מערכת למשל), ספק של צד שלישי או שותף עסקי.

• התחל עם לימוד הסוגים הנפוצים ביותר של גורמים זדוניים, המניעים שלהם ואינדיקטורים של כוונות מזיקות.
• לאחר מכן יש לחלק את כל התוקפים הפוטנציאליים למספר רשימות בהתבסס על הגישה והסיבות לגניבת נתונים.
• אל תשכח לכלול קטגוריות כמו עובדים שפוטרו לאחרונה וקבלני משנה חדשים. נוהג טוב הוא גם להקים מערכת ניטור חשבון חסוי כדי לפקוח עין על העובדים המהימנים ביותר.
• חקר הסטטיסטיקה והביטחון מאפשר לנו להתוות כמה מן ההתקפות הפנימיות הנפוצות ביותר. אסטרטגיות להתמודדות עם אלה הם חובה עבור כל תוכנית טובה להגנה מפני האיום הפנימי.

להלן סוגי המפתח של התקפות סייבר פנימיות:

• שימוש לרעה בנתונים: כל עובד עשוי להשתמש בנתונים רגישים של החברה מסיבות אישיות (למשל, קבלת מידע על חברים ובני משפחה או גניבת סודות מסחריים כדי לפתוח עסק עצמאי).
• דיוג – PHISHING: הודעת אימייל שמתיימרת להיות מפייסבוק או מבנק עם דרישה לשלוח את פרטי הכניסה שלנו כדי לאמת חשבון. למרות מספר אזהרות לא לפעול בחופזה, אנשים רבים עדיין לוחצים על הודעות דוא"ל שכאלה. באמצעות דיוג, בשנת 2018 האקרים פרצו בניו יורק למחלקת אונקולוגיה-המטולוגיה והשיגו נתונים פרטיים של יותר מ- 128,400 חולים ועובדים.
• פעולות זדוניות של עובדים: לחלק מהעובדים בארגון שלך יש גישה מועדפת לנתוני החברה, ופרטי השימוש עלולים להיות מועברים לצד שלישי עקב מתן טובת הנאה וכו'.
• קבלני משנה של החברה מהווים קבוצת סיכון ניכרת, שכן יש להם גישה לנתונים רגישים: בשנת 2018, איבדה בריטיש איירווייס נתונים כספיים ונתונים אישיים של 380,000 לקוחות בשל תקיפה של צד שלישי שבוצעה באמצעות JavaScript באתר האינטרנט שלה.
  
  

שלב ג' – תוכנית תגובה לאיום הסייבר הפנימי

כפי שהזכרנו, כאשר מדברים על איומי אבטחת מידע, זמן התגובה הנו קריטי. מחקר שנערך על-ידי מכון פונמון העלה כי לוקח בממוצע 197 ימים כדי לזהות אירוע של הפרת נתונים. תוכנית ברורה לתגובת אירועים ותגובות מאומצות לתקרית יכולה להפחית משמעותית את המספר הזה.

תוכנית תגובה מתוכננת היטב צריכה לכלול:

• תפקידים וחובות של כל חבר בצוות התגובה – הצוות צריך לכלול מומחים ממחלקות שונות: הנהלה בכירה, מומחי IT ואבטחת מידע, מנהלי משאבי אנוש, אנשי יחסי ציבור, משפטנים ומנהלי שירות לקוחות. הרכב שכזה יאפשר לך להתמודד עם כל ההיבטים האפשריים והתוצאות של התקפה.
• מידע על חינוך והעלאת מודעות העובדים לאיומים. מסמך זה צריך להוות בסיס לתהליך של העלאת מודעות מתמשכת כדי לשמור על צוות התגובה שלך מעודכן בכל מה שקשור לסוגים חדשים של איומים.
  
  

שלב ד' – כלים לזיהוי וניתוח של תקיפת סייבר פנים-ארגונית

הבנה ברורה של מה שקרה ואיזה סוג של נתונים נפגעו הנה חיונית לפעולות תגובה. הדרך הטובה ביותר להישאר מעודכנים היא לפרוס פתרון הגנה מפני איומים פנימיים באמצעות ניטור משתמשים, התרעות ודיווחים.

הנחיות תקשורת:

כאשר הנתונים של מישהו נפגעים, תקנות ה- IT מחייבות אותך להודיע לכל האנשים המעורבים. אלו יכולים להיות לקוחות של הארגון, עובדים, שותפים ועוד. גבש כמה תמפלטים של הודעות ותכנן ערוצי תקשורת עבור כל סוג של התקפה, כדי שלא לבזבז זמן.

שלב ה' – פרוס מערכת הגנה שתמיד פוקחת עין על המתרחש ברשת

EKRAN – מערכת לניטור, זיהוי ובקרת גישה להגנה מפני איומים פנימיים מספקת לך דרך אמינה לצמצם את הנזק לארגון ומאפשרת:

• לנהל זהות ובקרת גישה של עובדים: השתמש במאפיינים של שני גורמים ואימות משני כדי להבטיח שמשתמשים שנכנסו למערכת שלך הם באמת מי שהם טוענים שהם.
• לנהל תרחישי גישה קריטיים עם סיסמאות חד-פעמיות המאפשרות לך ליצור סיסמה גישה ייחודיות לשרתים ולנתונים רגישים.
• לוודא יישום של פונקציונליות PAM, כגון חשבון מועדף וניהול פעילויות באתר (PASM) המספק אישורים זמניים עבור פעולות שיוזמנו מהשרת שלך.
• לעקוב אחר פעילות המשתמשים: אדם הפועל מבפנים עלול לתקוף בכל רגע ולכן אתה חייב מערכת המבצעת ניטור רציף של הפעילות בכל תחנות הקצה והשרתים בארגון. זה אמור לספק לך מבט מלא על כל מה שקורה ברשת.
• להגדיר התרעות על כל סוג של פעילות חשודה/חריגה ולנתח רשומות כדי לראות אם היתה כוונה זדונית. במידה והאבטחה נפרצה, רשומות הפעלה מקיפות מאפשרות לך להעריך את הנזק.
• להפיק ולנתח דוחות וסטטיסטיקות.
  
  

סיכום 

• איומים פנימיים מהווים סיכון חמור עבור כל חברה. 
• שכיחות התקיפות המתבצעות על-ידי גורם הפועל מתוך הארגון גדלו מאוד בתקופת משבר הקורונה עקב המעבר המאסיבי לעבודה מרחוק.
• כדי לנהל את הסיכונים בצורה מיטבית, יש לגבש תוכנית להפחתת הסיכון מותאמת באופן ייעוי לארגון
  
  

התכנית צריכה לכלול מספר צעדים חשובים:

• זיהוי ותיעדוף של כל האיומים הפנימיים.
• הפחתת הסיכון והרכבת צוות תגובה.
• והכי חשוב – פריסת מערכת EKRAN לניטור, הקלטה והתרעה, כדי לאפשר לך לדעת על כל דבר שקורה בתוך הרשת שלך.

לפרטים נוספים אודות EKRAN ולהדגמת המערכת, צרו קשר עם רועי שיקר, מנהל מוצר EKRAN בקונסיסט. 054-801-6802, או הקליקו כאן כדי להשאיר פרטים ונחזור אליכם.