רועי שיקר

רועי שיקר

מנהל תחום מערכת EKRAN להגנה מהאיום הפנימי

איומי סייבר ו- 4 סימני אזהרה שאתם צריכים לשים לב אליהם, המעידים על חשד לאיום

ככל הנראה כולכם יכולים להסכים שמניעת איומים פנימיים (איומי סייבר) היא משימה לא קלה. האינדיקטורים השונים לאיום פנימי יכולים לעזור לכם לדעת מאיפה האיום הפוטנציאלי מגיע, אבל זו רק חצי הדרך.

איתור התקפה זדונית או איומי סייבר מבפנים יכול להיות קשה מאוד, במיוחד כאשר אתם מתמודדים עם תוקף מחושב או עובד לשעבר ממורמר שיודע את כל הפרטים הקטנים של החברה שלכם. אחת הדרכים לאתר התקפה כזאת היא לשים לב לאינדיקטורים שונים של התנהגות חשודה.

התנהגויות שיכולות להעיד על איומי סייבר פנימיים פוטנציאלים יכולות להשתנות בהתאם לאישיות ולמוטיבציה של התוקף, אבל יש דברים משותפים מסוימים שאתם צריכים להיזהר מהם:

1. עובד ממורמר 

כאמור, כאשר העובדים אינם מרוצים מעבודתם או מרגישים שהחברה עשתה להם עוול, הרבה יותר סביר שהם ירצו לבצע התקפה מבפנים. 

ישנם סימנים רבים היכולים להעיד על עובדים ממורמרים, וחלק גדול מהם קשור לחיכוכים תכופים בין עובדים למנהלים, ביצועים נמוכים ואיחורים באופן כללי (כגון איחור לעבודה, ביצוע טעויות יותר מהרגיל, אי עמידה בדד ליינים, וכו’) כל אלה יכולים להיות אינדיקטורים לא רעים לעובד אומלל.

בנוסף, עובדים שקיבלו הודעה על סיום עבודתם גם מהווים סיכון ויש לעקוב אחריהם ללא קשר להתנהגותם עד שהם עוזבים את העבודה, ובנקודה זו יש לבטל את הגישה שלהם לתשתית הארגונית באופן מיידי.

2. עובדים נלהבים להפליא

לפעמים עובד יביע התלהבות יוצאת דופן על עבודה נוספת. זה יכול לכלול הישארות מאוחרת בעבודה ללא כל בקשות ספציפיות מצד המעסיק, התנדבות חוזרת ונשנית לעשות עבודה נוספת, עבודה בשעות מוזרות, עובדים שמנסים לבצע עבודה מחוץ להיקף המשימות הרגילות שלהם, וכו ‘.

כל הפעולות הללו יכולות להיחשב ניסיון של חלק מהעובדים כדי להרחיב את הגישה שלהם לנתונים רגישים. אמנם לא בהכרח מתוך כוונה זדונית, אבל פעולות כאלה הם אינדיקציה גדולה לכך שאתם צריכים לפקוח עין על העובד ולוודא כי הוא לא מעתיק או משחק עם נתונים רגישים בתוך החברה שלך.

3. נסיעות וחופשות תכופות

לפעמים עובד יתחיל לנסוע ליעדים בחו”ל. נסיעות כאלה עשויות להיות אינדיקציה טובה לריגול תעשייתי. העובד יכול לעבוד עם חברה מתחרה, או אפילו סוכנות ממשלתית, ולהעביר להם את הנתונים הרגישים שלך.

 אינדיקציה נוספת של איומי סייבר פנימיים היא כאשר העובד מבטא נאמנות לאומית מפוקפקת. זה לא בהכרח אומר שהם עובדים עם סוכנים ממשלתיים או חברות מחו”ל, אבל זה כן יכול להעיד על כך שהם באופן כללי נוטים להישאר פחות נאמנים לחברה, והם עשויים לנצל הזדמנות לגנוב או להעתיק נתונים.

מלבד זאת, נסיעות תכופות יכולות גם להצביע על שינוי הנסיבות הפיננסיות, שינוי שלעצמו הוא אינדיקטור טוב לאיום פנימי פוטנציאלי.

.4 שינויים בלתי מוסברים בנסיבות הכספיות

אם העובד משלם באופן בלתי צפוי את חובו או מבצע רכישות יקרות ללא כל מקורות הכנסה נוספים ברורים, זה יכול להיות אינדיקטור נהדר שהם עשויים היו להרוויח את הכסף הזה משימוש לא חוקי בנתונים רגישים.

ישנם מספר תרחישים אפשריים: הם עשויים להיות מרגלים תעשייתיים (עובדים חסרי ביטחון כלכלי הינם פגיעים, אז אתם צריכים להיזהר מהם); הם עשויים להעתיק ולמכור את הנתונים שלכם למטרות רווח; הם עשויים להתחיל עסק מתחרה ולהשתמש בנתונים שלכם, כגון רשימת לקוחות, כדי לקחת את נתח השוק שלכם.

באופן כללי, כל השינויים הבלתי צפויים, כמו כן שינויים פתאומיים בנסיבות הפיננסיות מהווים סיבה לדאגה, ויש להתייחס אליהם כאל אינדיקטור רציני לכך שיש לבצע ניטור צמוד של העובד הנדון.

ראוי גם לציין כי כסף הוא לא הדרך היחידה להניע עובדים, אפילו את הנאמנים שבניהם, לריגול תעשייתי. לפעמים חברות מתחרות ומדינות זרות יכולות לעסוק בסחיטה או באיומים. מידע מזיק, כגון, למשל, התמכרות לסמים בעבר או בעיות עם החוק, הוא כלי שניתן להשתמש בו ביעילות נגד עובד אם הוא נופל לידיים הלא נכונות. אחת הדרכים להגביל את זה היא להשתמש בבדיקות רקע על מנת לוודא כי אין מידע שלא ניתן לגלות ושניתן להשתמש בו עבור סחיטה.

מלבד אינדיקטורים מועילים לחיזוי איום פנימי/התקפות פנימיות, התנהגות המשתמשים יכולות גם לעזור לך לזהות התקפה בהתהוות או התקפה תוך כדי פעולה. ישנם מספר אינדיקטורים המעידים על כך שמשתמשים אוספים נתונים ללא הרשאה. הם כוללים:

  •  הורדה או העתקה בלתי מורשית של נתונים רגישים, במיוחד כאשר הם מנוהלים על ידי עובדים שקיבלו הודעה על סיום
  •  נטילת ושמירת מידע רגיש קריטי בבית
  •  הפעלה של ציוד שהעובד לא מורשה להפעיל (כגון מצלמות, מכשירי הקלטה, מחסנים גדולים, נקודות גישה לאינטרנט וכו’)
  •  עובד המבקש מעובדים אחרים גישה אל האישורים שלהם/ אל נתונים רגישים
  •  גישה לנתונים שאין להם כמעט קשר לתפקיד הנוכחי בחברה

עד כאן דנו בדפוסי התנהגות שונים שיכולים לשמש אינדיקציה של איומי סייבר פנימיים פוטנציאלי. עם זאת, אנחנו רוצים לחזור לנקודה שעשינו בהתחלה – אינדיקטורים כאלה לא צריכים לשמש ככלי יחיד, או אפילו העיקרי לאיתור איומים פנימיים.

האינדיקטורים הללו אמורים לשמש מקור חינם של מידע בשילוב ניטור חכם של פעולות משתמשים – הכלי העיקרי שלכם עבור זיהוי איומים פנימיים. הדרך היחידה לדעת באופן מהימן שארוע כגון זה מתרחש או עומד להתרחש, זו למעשה היכולת לנטר באמצעות תוכנה חכמה את פעילות המשתמשים באמצעות מערכות לניטור והקלטה של שרתים ותחנות קצה, כגון מערכת Ekran.

דילוג לתוכן