אירועי אבטחת סייבר קשים לעתים קרובות לזיהוי ונוטים להישאר בלתי מאותרים למשך זמן רב מדי. הם גם מורכבים לחקירה, שכן איסוף ראיות וקישור עובדות עשוי להימשך חודשים ואפילו שנים. לדוגמה, אתר העיצוב הגרפי הפופולרי בישראל Canva גילה את גניבת פרטי הגישה של כמעט מיליון חשבונות רק שבעה חודשים לאחר האירוע עצמו. לכן, עדיף להשקיע מאמצים במניעת אירועים במקום להתמודד עם תוצאותיהם.
הדרך הטובה ביותר להימנע מפרצות אבטחת סייבר היא ללמוד על סוגי הפגיעויות הנפוצים ביותר ולחזק באופן שוטף את ההגנה על התשתית הארגונית. במאמר זה נחקור את סוגי ההפרות וההשלכות של אירועי אבטחת סייבר, ונתמקד במיוחד באיומים פנימיים. בנוסף, נציג כיצד להגיב לאירועי דליפת מידע ונספק שיטות מומלצות לזיהוי, צמצום ומניעה של אירועי אבטחה הנגרמים על ידי גורמים פנימיים זדוניים או רשלניים.
הפרות אבטחת סייבר: הגדרה, סוגים והשלכות
הפרת אבטחת סייבר היא אירוע אבטחה המוביל לגישה בלתי מורשית למערכות ולמידע המוגן של ארגון. מדובר בפגיעה ראשונית שעלולה להוביל לתוצאות חמורות כמו נזק למערכת ואובדן מידע.
המונחים "הפרת אבטחה" ו"דליפת מידע" משמשים לעתים קרובות לחילופין, מכיוון שאירועים אלה בדרך כלל מתרחשים יחד. הפרת אבטחת סייבר מתרחשת תחילה כאשר גורם לא מורשה עוקף את אמצעי האבטחה כדי לחדור למערכת המוגנת ולהשיג גישה לחשבונות החברה, קניין רוחני ומידע אישי של לקוחות ועובדים. לאחר מכן, מתרחשת דליפת מידע כאשר הגורם הלא מורשה גונב מידע סודי ומסכן אותו.
ההשלכות של הפרות אבטחה:
- גניבת מידע — תוקפים יכולים לגנוב מידע רגיש, כולל נתונים אישיים של לקוחות ועובדים וקניין רוחני של הארגון.
- הפסדים כספיים — העלות של דליפת מידע תלויה במגוון גורמים כגון מיקום החברה, סוגי המידע שנגנב והיקף הפרצה. לפי דו"ח עלות הפרת מידע של IBM לשנת 2020, העלות הממוצעת של אירוע דליפת מידע בישראל עומדת על כ-4 מיליון שקלים.
- פגיעה במוניטין — בהתאם להשפעת האירוע ולסיקור התקשורתי שלו, חברה עלולה לאבד את אמון הלקוחות, בעלי העניין והשותפים שלה.
- קנסות רגולטוריים — הפרת הוראות הרשות להגנת הפרטיות או חוק הגנת הפרטיות בישראל עלולה להוביל לקנסות כבדים ולסנקציות נוספות.
ישנן עשרות דרכים לפרוץ את מערכות האבטחה של ארגון, כולל התקפות תוכנות זדוניות שונות, הודעות פישינג, והתקפות מניעת שירות מסוגים שונים. עם זאת, אירועי אבטחת סייבר אינם קורים רק בגלל פולשים מחוץ לארגון.
גורמים פנימיים זדוניים יכולים להשתמש בזכויות הגישה החוקיות שלהם כדי לפגוע במכוון במידע רגיש ולהזיק לחברה. בנוסף, אירועי אבטחת סייבר עלולים להיגרם גם על ידי עובדים בתום לב, עקב טעויות אנוש.
דוגמאות לאירועי אבטחת סייבר שנגרמו על ידי גורמים פנימיים
אירועי אבטחה שנגרמים על ידי גורמים פנימיים מתרחשים מדי שנה במגוון ארגונים, כולל חברות גדולות, עסקים קטנים וארגונים ממשלתיים. להלן כמה דוגמאות:
- בשנת 2018, עובדת לשעבר במערכות המידע של מערכת החינוך בשיקגו גנבה מידע רגיש של 70,000 עובדים, מתנדבים וספקים. המידע שנגנב כלל מספרי זיהוי עובדים, כתובות, מספרי טלפון ורישומים פליליים.
- עובד לשעבר של קבוצת דז'ארדין, קואופרטיב פיננסי קנדי, שיתף את המידע האישי של כ-2.7 מיליון אנשים ו-173,000 עסקים.
- לחברת DoorDash לשליחויות מזון לקח כמעט חמישה חודשים לגלות דליפת מידע שהשפיעה על 4.9 מיליון לקוחות, עובדים, שליחים וסוחרים. המידע שנגנב כלל כתובות דוא"ל, כתובות משלוח, מספרי טלפון וסיסמאות מוצפנות. DoorDash טענה שספק שירותים צד שלישי גרם לדליפה.
- דליפת מידע משמעותית אחרת שנגרמה על ידי צד שלישי התרחשה ב-2019 ב-Capital One. עובד לשעבר של Amazon Web Services, ספק שירותי הענן של Capital One, גנב גישה ליותר מ-100 מיליון חשבונות לקוחות ובקשות לכרטיסי אשראי. המידע שנגנב כלל מספרי ביטוח לאומי, מספרי חשבונות בנק, שמות, כתובות ומידע על כרטיסי אשראי.
- בישראל, היו מספר מקרים של דליפות מידע בשנים האחרונות, כולל דליפת מידע רפואי רגיש מקופות חולים ובתי חולים, שבחלקם היו מעורבים עובדים שניצלו את גישתם למערכות.
מדוגמאות אלה ואחרות, ניתן להסיק כי הפרות פנימיות הן לעתים קרובות הרסניות ומאתגרות לזיהוי. ככל שנדרש יותר זמן לזהות אותן, כך גדל הנזק שהן עלולות לגרום. בנוסף, אירועים כאלה גורמים לעתים קרובות לקנסות משמעותיים בגין אי-ציות לתקנות אבטחת מידע.
סכנת האיומים הפנימיים
לפי CERT (צוות תגובה לאירועי מחשב), איום פנימי הוא הפוטנציאל של אדם שיש לו או שהייתה לו גישה מורשית למשאבי הארגון, להשתמש בגישה זו, במכוון או בשוגג, באופן שעלול להזיק לארגון.
גורמים פנימיים יכולים להזיק לארגון בכוונה (גורמים זדוניים) או בטעות על ידי ביצוע שגיאות שונות (גורמים רשלניים).
דו"ח חקירת פרצות מידע של Verizon לשנת 2020 גילה כי ב-30% מההפרות שהתרחשו ב-2019 היו מעורבים גורמים פנימיים. אירועים כאלה מתרחשים בכל הענפים, אך חלקם פגיעים יותר מאחרים.
גורמים פנימיים זדוניים מהווים את האיום הגדול ביותר עבור ממשלות, מערכות בריאות, מוסדות פיננסיים ומוסדות חינוך, שכן ארגונים אלה מחזיקים במידע רגיש ויקר שניתן למכור. דו"ח עלויות האיומים הפנימיים לשנת 2020 של IBM מציין כי הענפים עם שיעורי הגידול הגבוהים ביותר באיומים פנימיים בין 2018 ל-2019 היו קמעונאות, עם עלייה של 38% בעלות, ושירותים פיננסיים, עם עלייה של 20% בעלות.
מדוע איומים פנימיים מסוכנים כל כך?
ישנם שלושה גורמים עיקריים שהופכים את האיומים הפנימיים למסוכנים במיוחד:
1. התקפות פנימיות קשות לזיהוי
כל אדם שיש לו גישה חוקית למידע רגיש ולתשתיות הארגון יכול להפוך לגורם פנימי מזיק. היקף הגישה למידע קריטי קובע את רמת הסיכון שהעובד מציב. אם לעובדים יש גישה בלתי מוגבלת למידע רגיש, קשה מאוד להבחין בין הפרות אבטחה פוטנציאליות לבין שגרת העבודה הרגילה שלהם. כתוצאה מכך, עלול לקחת חודשים ואפילו שנים לזהות שימוש לרעה בהרשאות או גניבת מידע על ידי עובדים שעוזבים את הארגון או על ידי גורמים פנימיים אחרים.
2. התקפות פנימיות יקרות לתיקון
גם אם דליפת המידע מתגלה מיד, תיקונה עלול להיות יקר מאוד בשל:
- עלויות הודעה לכל הצדדים המושפעים
- קנסות ועונשים על אי-ציות לתקנות אבטחת מידע
- נזק ליחסי ציבור
- עלויות ביצוע חקירות
- הוצאות משפטיות
- השקעות בשיפור אבטחת הסייבר
ככל שהאירוע נשאר בלתי מזוהה למשך זמן רב יותר, כך עולות עלויות אלה. אם ההתקפה מצליחה, התוקף בדרך כלל נשאר במערכת וממשיך לפגוע במידע, מה שמגביר את עלויות התיקון.
3. התקפות פנימיות קשות לחקירה
העובדה שהתקפות פנימיות כה קשות לזיהוי תורמת לקושי בחקירתן. בנוסף, לאדם פנימי עם גישה מורשית ומיומנויות טכניות עשוי להיות קל יותר לטשטש את עקבות השימוש לרעה שלו. גם אם העבריינים נתפסים, הם תמיד יכולים להכחיש כוונה זדונית ולטעון שמה שקרה היה טעות לא מכוונת.
ארבעה סוגים של הפרות אבטחת סייבר שנגרמות על ידי גורמים פנימיים וכיצד להתמודד איתן
ישנם תרחישים רבים להפרות פנימיות, ואין אפשרות להיות מוכנים לכל תרחיש. עם זאת, נוכל להגדיר סוגים של אירועים שמתרחשים לעתים קרובות ומשפיעים על חברות בענפים שונים, כך שהם נחשבים פחות או יותר אוניברסליים.
להלן ארבעה סוגים של אירועים הקשורים לגורמים פנימיים. על ידי יישום אמצעי בקרה המכסים את ארבעת המקרים האלה, תוכלו להגן על המערכות שלכם מרוב האיומים הפנימיים, ללא קשר לענף או לגודל החברה שלכם.
1. שימוש לרעה במידע על ידי משתמשים בעלי הרשאות מיוחדות
משתמשים בעלי הרשאות מיוחדות הם הגורמים הפנימיים המסוכנים ביותר מכיוון שיש להם זכויות גישה מורחבות ויותר הזדמנויות להדליף מידע בטעות, לעשות בו שימוש לרעה או לגנוב מידע רגיש יותר מכל אדם אחר בחברה.
אחת התוצאות השכיחות ביותר של התקפה פנימית על ידי משתמשים בעלי הרשאות מיוחדות היא הונאה באמצעות שימוש לרעה במידע. עובדים לעתים קרובות מחפשים מידע אישי של לקוחות ומוכרים אותו, מנצלים אותו לרווח אישי או משתמשים בו לביצוע עסקאות הונאה.
השיטות המומלצות למניעה וצמצום של שימוש לרעה במידע על ידי משתמשים בעלי הרשאות מיוחדות:
הגבלת מספר המשתמשים בעלי הרשאות מיוחדות
ככל שמספר המשתמשים בעלי גישה למידע רגיש קטן יותר, כך קל יותר להגן על החברה שלכם מפני התקפות פנימיות. לכן, יש להשתמש בעקרון ההרשאות המינימליות כדי להגביל את מספר ההרשאות הניתנות, ולהעניק למשתמשים את רמת הגישה המינימלית הנדרשת להם כדי לבצע את המשימות היומיומיות שלהם.
ניטור פעולות המשתמשים
חשוב להיות מסוגלים לראות בבירור מה עושים המשתמשים בעלי הרשאות מיוחדות עם המידע הרגיש של החברה. תוכנת ניטור פעולות משתמשים מספקת הקלטות וידאו מלאות של פעילות המשתמשים, מה שמאפשר לכם לראות בדיוק מה קורה ולפעול מיד כאשר מזוהה פעילות חשודה.
שליטה בגישה למידע רגיש
ודאו שאתם מעניקים גישה למידע רגיש ולמשאבים רק למשתמשים מאומתים. שקלו ליישם ניהול גישה מיוחד בזמן כדי למזער את הסיכויים שגורמים פנימיים זדוניים יפגעו במידע רגיש. בצעו סקירות גישה למשתמשים באופן קבוע כדי להעריך מחדש את תפקידיהם, זכויות הגישה וההרשאות שלהם. כמו כן, תמיד מומלץ להקים שכבת הגנה נוספת על כניסות. לדוגמה, ניתן להשתמש באימות דו-שלבי כדי לשפר את אימות המשתמש ולזהות משתמשים של חשבונות משותפים.
2. דליפות מידע על ידי ספקי צד שלישי
בדומה למשתמשים בעלי הרשאות מיוחדות, גם לקבלני משנה וספקים חיצוניים יש לעתים קרובות גישה מרחוק (והם עלולים לעשות בה שימוש לרעה) לתשתיות החברה ולמידע רגיש.
גם אם קבלני המשנה שלכם הם אנשים ישרים ואמינים, אין דרך לשלוט במה שקורה אצלם. לכן, אינכם יכולים להיות בטוחים שקבלן משנה מקיים סטנדרטים גבוהים של אבטחה.
השיטות המומלצות למניעת התקפות פנימיות על ידי קבלני משנה וספקי צד שלישי:
הערכת אבטחת ספקי צד שלישי
בצעו מחקר מקיף לפני שכירת ספקי צד שלישי. זה צריך לכלול סקירה מלאה של בקרות האבטחה של הספק ובדיקת תעודות אבטחה רלוונטיות. בנוסף, כללו את הציפיות שלכם בנוגע לאבטחת סייבר בחוזה עם ספק צד שלישי. הגדרה פורמלית של סטנדרטים ונהלי אבטחה בהסכם כתוב מאפשרת לכם לאכוף אותם בעתיד.
ניטור פעילות צד שלישי
חשוב מאוד לדעת מה עושים קבלני המשנה וצדדים שלישיים עם המידע הרגיש של החברה שלכם, והדרך האמינה ביותר לעשות זאת היא באמצעות שמירת הקלטות מלאות של כל פעילותם, זמינות לבדיקה בעת הצורך.
הענקת גישה זמנית למשאבים רגישים
דרך נוספת להגביל דליפות פוטנציאליות של אבטחת סייבר מצד קבלני משנה היא להגביל את הגישה שלהם לתשתית שלכם ככל האפשר. לשם כך, ניתן להשתמש בפתרונות גישה זמניים כמו סיסמאות חד-פעמיות כדי להעניק לצדדים שלישיים גישה רק כאשר הם זקוקים לה. מנהל מערכת יכול לאשר כל חיבור באופן ידני, או שניתן להגדיר אישור אוטומטי עבור תרחישים מסוימים.
3. ריגול תעשייתי
ריגול תעשייתי הוא אמצעי בלתי חוקי ובלתי אתי לאיסוף מידע של חברה (קניין רוחני, סודות מסחריים, מידע על לקוחות, נתונים פיננסיים, או סודות שיווקיים) ושימוש בו כדי להשיג יתרון תחרותי או אישי.
ריגול תעשייתי יכול להתבצע על ידי גורמים פנימיים זדוניים או עובדים לשעבר. זו הסיבה שחשוב לעקוב אחר עובדים שקיבלו הודעת פיטורים או שהחליטו לעזוב מרצונם. עובדים כאלה לעתים קרובות חושבים שאין להם מה להפסיד ועלולים לרצות לנצל את השבועות האחרונים שלהם בארגון כדי לעשות שימוש לרעה במידע או לפגוע בו.
השיטות המומלצות למניעת ריגול תעשייתי ודליפות אבטחת סייבר קשורות:
- ביטול זכויות גישה ואישורי משתמש מיד כאשר עובדים מפסיקים לעבוד בחברתכם
- ניטור צמוד של כל פעולות העובדים שעומדים לעזוב את הארגון
- שימוש בתוכנות לניטור משתמשים כדי להשיג תובנות ברורות לגבי אופן השימוש של עובדים מפוטרים בגישתם למידע רגיש בשבועות האחרונים שלהם בארגון
- הפעלת כלים לניתוח התנהגות משתמשים וישויות (UEBA) שיכולים לזהות אוטומטית פעילות חשודה ולהודיע למפקחי אבטחה או למנהלי מערכת.
לעתים, עובדים עשויים לבצע ריגול תעשייתי בגלל בעיות אישיות, סכסוכים עם עמיתים ומנהלים, או שחיקה בעבודה. בעיות כאלה יכולות להתגלות על ידי מנהלי משאבי אנוש במהלך פגישות שגרתיות או באמצעות כלים לניתוח התנהגות משתמשים.
4. דליפות מידע בלתי מכוונות
לא כל דליפת מידע הקשורה לגורמים פנימיים נגרמת על ידי פעולה זדונית. עובדים לעתים עושים טעויות כמו לחיצה על קישורים בהודעות פישינג. ישנן דוגמאות רבות לטעויות אנוש באבטחת מחשבים שמובילות בסופו של דבר לדליפות מידע.
הגישה הטובה ביותר היא לזהות טעויות במהירות ולתקן אותן בהקדם האפשרי. לעתים, העובדים עצמם אינם מבינים שעשו טעויות. במצב זה, טכניקות זיהוי איומים פנימיים מסורתיות יכולות להיות יעילות.
השיטות המומלצות למניעת שימוש לרעה במידע ואיומים בלתי מכוונים מצד גורמים פנימיים:
זיהוי פישינג
האקרים משתמשים בהודעות פישינג כדי להדביק מחשבים בתוכנות זדוניות, מה שמאפשר להם גישה קלה לארגון ולמידע רגיש. הודעות כאלה משמשות לעתים בשילוב עם הנדסה חברתית כדי להונות עובדים ולגרום להם לחשוף את פרטי הגישה שלהם לתוקף. ניתן לצמצם את הסיכויים להצלחת אירועים כאלה על ידי הגדרת מסננים לדואר זבל ושמירה על עדכון כל התוכנות בארגון.
יצירת מדיניות אבטחת סייבר חזקה
מדיניות אבטחת סייבר אוכפת מערכת כללים רשמית שהעובדים צריכים לפעול לפיה. מדיניות כתובה מפחיתה את כמות השגיאות בגלל אי-הבנות ומגבירה את היעילות של אמצעי האבטחה הקיימים.
הדרכת עובדים
ודאו שהעובדים מבינים את החשיבות של נהלי אבטחת סייבר נכונים. על ידי הסברת היתרונות של שמירה על כללי אבטחת הסייבר, אתם הופכים את העובדים לנכס במאבק להגנה על מידע. מודעות לאבטחת סייבר בקרב העובדים לא רק תפחית טעויות אלא גם תסייע לכם לזהות מהר יותר גם הפרות זדוניות וגם בלתי מכוונות של מידע.
ניטור פעולות משתמשים לזיהוי דליפות ופישוט חקירות
ניטור פעילויות משתמשים הוא הדרך הטובה ביותר לזהות כל דליפת מידע שמקורה בארגון שלכם. פתרונות ניטור פעילויות יכולים לזהות פעילות חשודה ולהתריע מיידית בפני צוות האבטחה. כלי להקלטת פעילות משתמשים יכול לשמש גם להקלטת פעולות בפורמט שאינו ניתן לשינוי, כדי לאפשר לכם לחקור אירועים ולהראות באופן ברור אם הפרת האבטחה נגרמה על ידי פעולה זדונית או בשוגג.
התמודדות עם איומים פנימיים בישראל
ארגונים ישראליים ניצבים בפני אתגרים ייחודיים בתחום אבטחת הסייבר. כמדינה המובילה בתחום הטכנולוגיה והחדשנות, ישראל היא גם יעד מועדף להתקפות סייבר, הן מצד גורמים פנימיים והן מצד גורמים חיצוניים. נתוני המערך הלאומי להגנת הסייבר מראים כי בשנים האחרונות חלה עלייה משמעותית במספר האירועים שבהם היו מעורבים גורמים פנימיים.
מאפיינים ייחודיים לישראל:
- רגולציה והנחיות מקומיות – בישראל פועלים גופים רגולטוריים כמו הרשות להגנת הפרטיות, מערך הסייבר הלאומי ורשות ניירות ערך, שכל אחד מהם מפרסם הנחיות ודרישות בנושאי אבטחת מידע. ארגונים ישראליים נדרשים לעמוד בדרישות אלה בנוסף לתקנות בינלאומיות הרלוונטיות לתחום פעילותם.
- תעשיית סייבר מפותחת – ישראל ידועה כמעצמת סייבר עולמית, עם אקוסיסטם עשיר של חברות אבטחת מידע וסייבר. פתרונות ישראליים רבים מתמחים בזיהוי ומניעת איומים פנימיים, ומציעים טכנולוגיות מתקדמות כמו ניתוח התנהגות משתמשים מבוסס בינה מלאכותית.
- מודעות גבוהה – בשל האיומים הבטחוניים הייחודיים, קיימת בישראל מודעות גבוהה יותר לסוגיות אבטחה. עם זאת, זה לא תמיד מתורגם למדיניות אבטחה יעילה בכל הארגונים, במיוחד בעסקים קטנים ובינוניים.
המלצות מותאמות לארגונים ישראליים:
- שיתוף פעולה עם גופי הסייבר הלאומיים – המערך הלאומי להגנת הסייבר מפרסם התראות והנחיות שוטפות בנוגע לאיומים עדכניים. שיתוף פעולה עם גופים אלה יכול לסייע בהתמודדות עם איומים חדשים.
- התאמת הפתרונות לדרישות המקומיות – בחירת פתרונות אבטחה המותאמים לדרישות הרגולטוריות הישראליות, כמו תקנות הגנת הפרטיות וחוק הגנת הפרטיות.
- ניצול הידע המקומי – ישראל מציעה מגוון רחב של מומחי אבטחת מידע ויועצים מנוסים. שקלו להיעזר בשירותיהם כדי לפתח אסטרטגיה מקיפה להתמודדות עם איומים פנימיים.
- הדרכות מותאמות לתרבות הארגונית הישראלית – פיתוח תוכניות הדרכה המתחשבות במאפיינים התרבותיים המקומיים, כמו סגנון תקשורת ישיר וגישה פתוחה למידע.
סיכום
הבנת סוגי האיומים והסיכונים הנפוצים ביותר הנגרמים על ידי גורמים פנימיים היא חיונית להערכת הסיכונים ולהטמעת אמצעי אבטחה יעילים בארגון שלכם. איומים פנימיים אינם צריכים להיות מזלזלים בהם, שכן אירועים כאלה גורמים לנזק רב אם אינם מזוהים במהירות.
בסביבת העסקים הישראלית, שילוב של טכנולוגיות מתקדמות, מדיניות אבטחה מקיפה והדרכת עובדים נאותה יכול לספק הגנה משמעותית מפני איומים פנימיים. שימוש בפתרונות ניטור ובקרת גישה מאפשר לארגונים לזהות ולמנוע דליפות מידע, בין אם הן נגרמות בזדון או בשוגג.
באמצעות יישום השיטות המומלצות שהוזכרו במאמר זה, תוכלו להגן טוב יותר על המידע הרגיש של ארגונכם ולצמצם את הסיכונים הקשורים לאיומים פנימיים בסביבה העסקית הדינמית של ישראל.
