האיום הפנימי בארגון: כיצד להתגונן מפניו?

רוב הארגונים לא חושבים פעמיים כאשר הם נדרשים להגנה על מערכות ה-IT שלהם מפני איומים חיצוניים, מתקפות סייבר למיניהן והאקרים לסוגיהם. אלא שבמקביל, ארגונים נוטים להתעלם מהסיכונים הפנימיים. אלה הם עובדי הארגון שיש להם גישה פריבילגית לנתונים חסויים ואשר פעילותם לא תיחשב כאיום אף שהיא חורגת מהנהלים. מעבר לכך, פעילות זו לעיתים אף לא תזוהה על ידי מערכות אבטחת המידע.

מערכות האבטחה נוטות לזהות איומים חיצוניים ועל ההאקרים לפרוץ את המערכות הללו על מנת לחדור לארגון. האיומים הפנימיים, כשמם כן הם, כבר נמצאים בפנים. הם מכירים יישומים קריטיים, רשתות תקשורת ונקודות מגע אחרות, מה שהופך אותם אפילו ליותר מסוכנים.

על פי אנשי מכון Infosec, האסטרטגיה למלחמה באיום הפנימי ההולך וגדל צריכה להיות משולבת ורב מימדית. לשיטתם, על מלחמה זו להיות שילוב של העלאת רמת המודעות לאיום ובניית מדיניות אבטחת מידע ארגונית לצד הטמעת כלי אבטחת מידע. הם מציעים ארבע דרכים לצמצום הסיכון מצד האיומים הפנימיים.

להגביל את מספר המשתמשים הפריבילגיים

הפעולה הראשונה הנדרשת היא להגביל את מספר המשתמשים הפריבילגיים. ככל שמספרם של אלה יפחת, כך העבודה של מנהל אבטחת המידע בארגון תהיה קלה יותר. משמעות הדבר היא שלא רק יהיו פחות אנשים שיעשו טעויות, אלא גם פחות עובדים יהיו נתונים לפוטנציאל של פעילות זדונית: בעקבות התמרמרות ממקום העבודה או נקמנות לאחר ובגלל פיטורים. כך, יימנע מצב בו עובדים שכאלה יותירו לעצמם גישה לנתונים גם לאחר שעזבו את מקום העבודה.

מהלך שני הנדרש הוא שילוב המודעות לאיום הפנימי במסגרת הדרכות אבטחת מידע תקופתיות. על כל עובדי החברה להפנים כי לעובד המהווה איום פנימי אין תבנית ספציפית של דפוס התנהגות או של הופעה. היכולות הטכנולוגיות שלהם נעות מהבנה בסיסית ועד למתקדמת וגילם נע בין סוף שנות ה-30 ועד קרוב לפרישה לגמלאות.

לכן, ארגונים נדרשים לעדכן את תוכניות ההדרכה שלהם להעלאת המודעות לאיומים הפנימיים לא על ידי בנייה של תכונות ותבניות סטריאוטיפיות, כי אם על ידי ניתוח ההתנהגות של בעלי הפוטנציאל להיות איום פנימי: אחזור מידע קנייני או רגיש במועד הסמוך להתפטרות של העובד; התרברבות של העובד על רמת הגישה הפריבילגית שקיבל מהארגון; ניסיון להשיג אישורי גישה של עמיתים לעבודה תוך ניצול האמון שלהם. על הארגון להדריך את המנהלים והעובדים לזהות מזימות הונאה או ניסיונות למניפולציות.

הגביע הקדוש במלחמה באיום הפנימי המודרני

הפעולה השלישית הנדרשת, לדעת כותבי המאמר, היא ניטור וניתוח פעולות של משתמשים. פעולות אלה מכונות על ידם "תכשיט הכתר", הגביע הקדוש במלחמה באיום הפנימי המודרני. אלגוריתמים לזיהוי איומים מנתחים פעילויות חריגות של המשתמשים כחלק מהמעקב התמידי אחר כלל הפעילויות שלהם והם יכולים לקבוע האם מדובר בשגגה, בפעילות זדונית או שלא קרה דבר.

הפעולה הרביעית והאחרונה הנדרשת היא סינון תוכן על מנת למנוע הוצאה החוצה של מידע ארגני רגיש. חלק ניכר מהפעולות של אנשי האיום הפנימי נעשה מחוץ לחברה באמצעות גישה מרחוק למערכות. הסיבה לכך היא שקשה יותר להיתפס כאשר אתה נמצא מחוץ למקום העבודה. סינון תוכן ב-IM (מסרים מידיים), הודעות דוא"ל ותקשורת מבוססת HTTP, מציינים כותבי המאמר, הוא הדרך הטובה ביותר לשמור על מידע רגיש ולמנוע ממנו לצאת מחוץ לארגון.

המאמר נחתם בקביעה לפיה תדירות ההופעה של האיום הפנימי צפויה לגדול השנה ובשנים שאחריה. זאת, כיוון שיותר ויותר ארגונים פותחים את המערכות שלהם לספקים צד שלישי. לכן, הפרקטיקות המוצעות לשימוש הן הדרך היחידה לצמצם את פוטנציאל הנזק מצד האיום הפנימי.