למזער את איום הסייבר החמור ביותר – זה שמגיע מבפנים!

כמעט כל ארגון בימינו חשוף לאיומי סייבר פנימיים, שמקורם בהתקפות מכוונות של אנשים הפועלים בתוך רשת המחשבים של הארגון, כאשר הם מצוידים בהרשאות גישה לרשת. גורמים אלו עשויים להיות עובדי חברה, קבלני משנה, ספקים, שותפים עסקיים ואחרים.

כדי להגן על המידע הארגוני הרגיש בצורה הטובה ביותר, מוטלת אחריות על גורמי הביטחון בארגון לגבש תוכנית להפחתת סיכונים הנובעים ממתקפת סייבר פנימית – גם כדי לעשות הכל כי למנוע התממשות של תרחיש שכזה וגם כדי להפחית את הנזק במידה והתרחיש יתממש. במאמר זה נדון בתוכניות להפחתת הסיכונים – מה הן התוכניות המומלצות, מטרותיהן, מה הם מרכיבי המפתח ומה הן שיטות העבודה המומלצות.

כיצד מנהלים סיכוני סייבר פנים ארגוניים

ניהול סיכונים הוא תהליך הכולל זיהוי, הערכה וצמצום סיכונים פוטנציאליים העומדים בפני הארגון. תהליך זה מאפשר לארגון למזער את הסיכון של התרחיש מלהתממש ולמזער נזקים והפסדים אפשריים.

יישום של תוכנית לניהול סיכונים הוא הכרחי עבור כל ארגון, וקיימות כמה המלצות כיצד להקים תהליכי ניהול סיכונים בארגון. הסטנדרטים המקיפים ביותר לכך נקבעו על ידי NIST, ISO, ו-PMI.

תוכנית למזעור איומי סייבר פנים ארגונים ממפה את כל האפשרויות ואת הפעולות שיש לנקוט בהן כדי לצמצם את ההשפעה והנזק של הסיכון, ושואפת להגדיר את הסיכונים לארגון ואת הסיבות לסיכונים אלו.

יישום התוכנית יכלול כמה שלבים, כאשר השלב הראשון מורכב מזיהוי סיכוני סייבר פנים ארגוניים עם פירוט של כל הסיבות לסיכונים, הזמן והמקום של כל סיכון, ההשפעות האפשריות, המשאבים שיושפעו והגדרת האיומים הבסיסיים.

הערכת הסיכונים באמצעות מטריצת הסתברות הסיכון/השפעה

כל עסק, מקטן ועד גדול, עומד בפני סיכונים רבים מדי מכדי לטפל בהם בעת ובעונה אחת. לכן הארגון צריך לגבש תוכנית פעולה למקרה שאחד מהתרחישים הללו יתממש, ועל מקבלי ההחלטות בארגון להעריך את כל הסיכונים במונחים של הסתברות ואת ההשפעה האפשרית. הדרך היעילה ביותר לעשות זאת היא על ידי יצירת מטריצת הסתברות הסיכון/השפעה.מטריצה זו מהווה שיטה להעריך את ההשפעה של סיכון על הארגון –  מטריוויאלי עד קיצוני. קבוצת הסיכונים באזורי הכתום והאדום דורשת אסטרטגיה ברורה למתן מענה מידי, וכל תיאור של סיכון צריך לכלול את המרכיבים הבאים: קבלני משנה, נכסים מושפעים (למשל, נתונים של לקוחות), תיאור סיכונים, גורם הסיכון, כיצד נדע שהסיכון התממש, תוכנית תגובה, צוות תגובה – המורכב מעובדים האחראים ליישום התוכנית, ממונה על ניטור סיכונים ותגובה, והחשוב ביותר – פעולות הפחתה, המורכבות מסדרה של פעולות להקטנת ההסתברות לסיכון ולצמצום השפעתו האפשרית.

איך מזהים את מקור הסיכון?

קיימות שתי שיטות מקובלות לזהות את המקור לסיכון: להתרכז במי שיש להם את האמצעים לתקוף –  שיטה שלפיה מגדירים למי יש אפשרות להתעסק עם הנתונים הרגישים שלך, ללא קשר לכוונה הסופית של אותו גורם, או, לחלופין, להתרכז במי שיש להם מניע לתקוף – עובדים ממורמרים וכו'. יש  לחלק את כל התוקפים הפוטנציאליים לכמה רשימות בהתבסס על הגישה והסיבות לגניבת נתונים, ולכלול קטגוריות כמו עובדים שפוטרו לאחרונה וקבלני משנה חדשים.

סוגי תקיפות הסייבר הפנימיות הנפוצות כוללות: שימוש לרעה בנתונים – כמו, למשל, גניבת סודות מסחריים כדי לפתוח עסק מתחרה, דיוג – הודעות אי-מייל המתיימרות להיות לגיטימיות עם דרישה לשלוח את פרטי הכניסה כדי לאמת חשבון, ופעולות זדוניות של עובדים, כמו, למשל, העברת הרשאות גישה לצד שלישי עקב מתן טובת הנאה.

זמן = כסף, והרבה כסף, במיוחד כשמדובר באירוע הפרת נתונים

זמן התגובה לאירוע סייבר הינו קריטי, ולמרות זאת, מחקר שנערך על ידי מכון פונמון העלה, כי לוקח בממוצע 197 ימים כדי לזהות אירוע של הפרת נתונים. תוכנית תגובה ברורה יכולה להפחית משמעותית את המספר הזה וצריכה לכלול: תפקידים וחובות של כל חבר בצוות התגובה – צוות הכולל מומחים ממחלקות שונות, כגון מנהלים בכירים, אנשי IT, מומחי אבטחת מידע, משאבי אנוש, יחסי ציבור, משפטנים ושירות לקוחות. צוות עם הרכב נרחב שכזה יאפשר להתמודד עם כל ההיבטים האפשריים והתוצאות של התקיפה.

כלים לזיהוי וניתוח של תקיפת סייבר פנים ארגונית

אין דרך יעילה לשמור על המידע הארגוני מפני איומים פנימיים מאשר לפרוס פתרון הגנה באמצעות ניטור משתמשים, התראות ודיווחים. מערכת EKRAN, למשל, מאפשרת איתור, זיהוי ומניעה כנגד פעילויות פנימיות – זדונית וכאלו שהן תוצאה של טעויות אנוש. EKRAN מאפשרת  למנהלי אבטחת המידע בארגון לעקוב אחר הפעילות של העובדים, הספקים, קבלני משנה, לקוחות ושותפים עסקיים הפעילים ברשת, כולל פעילות של משתמשים חסויים, ומספקת  רשומות של כל הנתונים, רשומות וידיאו עם אינדקס metadata וכן כלים מתקדמים לניהול זהויות ובקרת גישה למערכת.

הכותב הוא מומחה ויועץ של חברת קונסיסט לניהול סיכונים הנובעים מאיום הסייבר הפנים ארגוני.