סיכום שנה של איומים פנימיים
[אם במייל הפסקאות אינן מסודרות, לחצו על הכותרת וקראו ישירות בבלוג]
חברים יקרים,
חנוכה כבר כאן, ואיזו תקופה נהדרת זו להאיר את הדרך גם בנושאים חשובים כמו שמירה על הארגונים שלנו מפני איומים פנימיים. בדיוק כמו שמדליקים נר שמוסיף אור בכל ערב, כך גם אני שואף להוסיף לכם ידע ותובנות שיחזקו את ההגנה והמודעות בארגונים שלכם.
בבלוג שלי, אני משתף במקרים אמיתיים, רעיונות פרקטיים ושיטות מתקדמות שיסייעו לכם להתמודד עם האתגרים המורכבים שמציבים איומים פנימיים, וליצור סביבה בטוחה ומוגנת יותר.
אז בין לביבה לסופגנייה, אני מזמין אתכם להיכנס, ללמוד ולהירשם לקבלת עדכונים ישירות למייל – כדי שתמיד תהיו צעד אחד קדימה.
חנוכה שמח, מלא אור, בריאות וביטחון לכולכם!
עופר רייס, מנכ"ל משותף. פרופצ'ק
8 עובדות מפתיעות על איומים פנימיים בארגונים
כאשר אנו מדברים על איומים פנימיים בארגונים, ברור כי מדובר בסוגיות שעשויות להיות פחות תדירות ממתקפות חיצוניות, אך הסיכון והנזק הפוטנציאלי שהן יוצרות לרוב גבוהים בהרבה. איומים פנימיים, בין אם נובעים מפעולה זדונית ובין אם מרשלנות, מתמקדים בעיקר באנשים שמחזיקים גישה למידע ולמערכות רגישות במסגרת תפקידם. כאשר הם מפרים מדיניות בטעות או במכוון, ההשלכות עלולות להיות חמורות ביותר. הנה שמונה עובדות מפתיעות שמבליטות את האיומים הפנימיים בארגונים:
- שכיחות גבוהה של ניסיונות גניבת מידע פנימית:
מחקר שבוצע על ידי Accenture ו-HfS Research מצא כי 69% ממנהלי האבטחה בארגונים דיווחו על ניסיון לגנוב או להשחית נתונים מצד עובדים בשנה האחרונה בלבד. - גישה מיותרת לנתונים רגישים:
סקר של Ponemon Institute מצא כי 62% מהמשתמשים בארגון מדווחים שיש להם גישה לנתוני החברה שאין להם צורך לראות במסגרת תפקידם. עובדה זו מדגישה את הצורך בבקרת גישה קפדנית יותר. - זמן ממושך לזיהוי איומים פנימיים:
נתון נוסף מ-Ponemon Institute מצביע על כך ש-43% מהארגונים זקוקים לחודש או יותר כדי לזהות עובדים שניגשו לקבצים או לאימיילים שהם לא מורשים לצפות בהם. - חוסר יכולת למניעה:
לפי מכון SANS, כמעט שליש מהארגונים עדיין אינם מצוידים בכלים או תהליכים למניעה או הרתעה של תקריות או מתקפות פנימיות. - פוטנציאל הנזק גבוה יותר:
בניגוד לאיומים חיצוניים, עובדים פנימיים כבר מחזיקים בהרשאות גישה למידע רגיש. אם הם בוחרים לנצל זאת לרעה, הנזק עלול לכלול גניבת קניין רוחני, חשיפת מידע לקוחות ואף פגיעה תפעולית משמעותית. - רשלנות כגורם עיקרי:
לא כל איומים פנימיים נובעים מכוונות זדון. פעמים רבות מדובר בעובדים שמבצעים טעויות, כמו שליחת אימיילים לכתובת הלא נכונה או אחסון קבצים במקומות לא מאובטחים, מה שמותיר את הארגון חשוף. - חוסר מודעות בקרב עובדים:
עובדים רבים אינם מבינים את החשיבות של שמירה על מידע מסווג ואת הסיכונים הכרוכים בגישה לא מורשית. הדרכות שוטפות יכולות להפחית משמעותית את כמות האירועים. - פערים טכנולוגיים:
ארגונים רבים אינם מצוידים בטכנולוגיות המסוגלות לנטר פעילות חריגה של עובדים בזמן אמת, מה שמוביל לפערים בזיהוי ומניעת אירועים.
בעוד שאיומים פנימיים עשויים להיות פחות גלויים לעין מאיומים חיצוניים, הם טומנים בחובם סיכון גדול יותר לארגון. עם הטמעת נהלים וטכנולוגיות מתאימות, יחד עם העלאת המודעות בקרב העובדים, ניתן לצמצם את החשיפה לסיכונים אלו ולהגן על נכסי הארגון בצורה טובה יותר.
דוגמאות מהחיים לאיומים פנימיים
איומים פנימיים עלולים להשפיע על חברות בכל גודל ובכל תחום. המקרים הבאים ממחישים כיצד איומים אלה מתממשים במציאות וגורמים לנזק ממשי כאשר ארגונים אינם מונעים אותם או מגלים אותם בזמן.
למעוניינים לקרוא בהרחבה אודות המקרים שקרו מצורפים קישורים.
1. עובדי טסלה לשעבר שהדליפו מידע רגיש לאמצעי תקשורת זרים
בשנת 2023, טסלה חוותה פרצת מידע חמורה שהובילה לחשיפת מידע אישי של יותר מ-75,000 עובדים, כולל שמות, כתובות, מספרי טלפון, ותיקי עובדים. הפרצה, שבוצעה על ידי שני עובדים לשעבר, גרמה נזק בלתי הפיך למוניטין הארגוני של החברה.
2. עובד Yahoo שגנב סודות מסחריים בדרכו למתחרה
במאי 2022, מדען מחקר ב-Yahoo העתיק מידע קנייני הכולל כ-570,000 עמודים של מידע רגיש על מוצר החברה, רגע לפני שעבר למתחרה. החברה הגישה נגדו תביעות בשל פגיעות חמורות בזכויות הקניין שלה.
3. עובד מיקרוסופט שחשף בטעות פרטי כניסה
לא כל איומים פנימיים נובעים ממעשים זדוניים. באוגוסט 2022, עובדים במיקרוסופט חשפו בטעות פרטי כניסה למערכות פנימיות ב-GitHub, מה שיכול היה לאפשר גישה למערכות קריטיות. למרבה המזל, חברת אבטחת סייבר גילתה את הפרצה לפני שנוצלה.
4. עובד Proofpoint לשעבר שגנב נתוני מכירות רגישים
ב-2021, עובד Proofpoint העתיק מידע קריטי לפני שעבר למתחרה. החברה גילתה את הגניבה רק חודשים לאחר מכן והגישה תביעה, בטענה שהמידע שנגנב מעניק למתחרה יתרון לא הוגן.
5. מתקפת פישינג על עובדים בטוויטר (X)
ב-2020, האקרים השיגו גישה לחשבונות מפורסמים בטוויטר באמצעות קמפיין פישינג ממוקד נגד עובדי החברה. האירוע מדגיש את הפגיעות של חברות לאיומים פנימיים הנובעים ממניפולציה חיצונית.
6. עובד לשעבר בגוגל שהעביר מידע רגיש למעסיק חדש
ב-2016, עובד לשעבר בגוגל הוריד אלפי קבצים של מידע על תוכנית רכב אוטונומית והעבירם למעסיק חדש. המקרה עלה לחברה מיליוני דולרים בתביעות ובפגיעה טכנולוגית.
7. ספק חיצוני של Marriott שהפך לבעיה אבטחתית
ב-2020, תוקפים ניצלו חולשה באפליקציה של ספק צד ג' ב-Marriott וגנבו מידע של יותר מ-5 מיליון אורחים. החברה נאלצה לשלם קנס כבד בגין הפרת תקנות GDPR.
8. עובדי אפל לשעבר שלקחו סודות מסחריים למתחרים
ב-2022, אפל תבעה חברה מתחרה שהעסיקה עשרות מעובדיה לשעבר. לפחות שניים מהם הואשמו בגניבת מידע קריטי על טכנולוגיות ייחודיות שפיתחה החברה.
9. עובד בואינג ששלח מידע רגיש למייל פרטי
ב-2017, עובד בבואינג שלח קובץ עם מידע רגיש למייל האישי שלו, מה שהוביל לחשיפה פוטנציאלית של נתוני עובדים רבים. בואינג נאלצה להציע שירותי מעקב אשראי לעובדים המושפעים.
10. עובד Reddit שנפל בפח עמוד פישינג מזויף
ב-2023, עובד ב-Reddit פתח קישור מזויף שהוביל לחשיפת מידע פנימי. המקרה הדגיש את החשיבות של הכשרות לעובדים והקשחת מדיניות האבטחה.
11. עובד Stradis Healthcare לשעבר שתקף את המערכת
בתחילת מגפת הקורונה, עובד לשעבר של Stradis Healthcare השתמש בחשבון סודי שיצר כדי למחוק נתוני משלוח קריטיים, מה שעיכב משלוחים חיוניים של ציוד רפואי.
המקרים הללו ממחישים כיצד איומים פנימיים נובעים הן ממעשים מכוונים והן משגיאות אנוש. הגברת מודעות, הקשחת נהלי אבטחת מידע ושימוש בטכנולוגיות מתקדמות יכולים לסייע במניעת מקרים דומים בעתיד.
פוסטים נבחרים מהשנה האחרונה:
כשהעבר מדבר דרך הקעקוע: למה חשוב לשים לב בפרטים הכי קטנים?
לא פעם אני שומע את המשפט: "זה רק קעקוע, מה הבעיה?" ובכן, קעקוע יכול להיות הרבה יותר מזה. הוא עשוי לספר סיפור, לשקף אמונה, או במקרה הקשה יותר – לחשוף קשרים שעלולים להוות איום אמיתי.
הסיפור של פיט הגסת', שהוסר ממשימת אבטחת השבעת הנשיא ביידן בעקבות קעקוע עם הכיתוב "Deus Vult", הוא דוגמה מצוינת למה חשוב לשים לב לפרטים הקטנים בבדיקות רקע. אותו קעקוע, שתחילה נראה כמו ביטוי נוצרי תמים, התברר כסמל שאומץ בשנים האחרונות על ידי ארגוני ימין קיצוני ותומכי עליונות לבנה.
כשאנחנו מבצעים בדיקות רקע מבוססות OSINT, זו בדיוק המטרה שלנו – לנתח את המידע הקטן ביותר, לחבר את הנקודות ולשאול את השאלות הנכונות. האם הסמל הזה מסמל אמונה תמימה? או שמא הוא מעיד על קשרים שעלולים לסכן את הארגון?
זה לא רק על "מה רואים," אלא על "מה זה באמת אומר."בעידן שבו פרטים אישיים נגישים יותר מאי פעם, עלינו להפעיל שיקול דעת, הבנה תרבותית, ובעיקר – לא להתעלם מסימנים שעלולים להוות דגל אדום.
רוצים לדעת עוד על המקרה הזה? הנה הקישור לכתבה.
האם כל תמונה מוזרה מעידה על איום פנימי פוטנציאלי לארגון?
בעולם של היום, כשכולנו חשופים לתמונות ברשתות החברתיות, קל מאוד לשפוט אדם על סמך תמונה אחת מוזרה. קחו את התמונה הזו למשל – אדם שמחזיק בפיו חתול, אירוע אמיתי בו נתקלנו באחת הבדיקות.
זה ללא ספק קצת מוזר, אבל האם זה באמת מספר לנו משהו על האישיות שלו? מניסיוננו למדנו שאין מקום לשיפוטיות חפוזה. החלטות המבוססות על ראיה אחת, עלולות להטעות ולהוביל להסקת מסקנות שגויות.
כדי לנהל סיכונים פנימיים בצורה אפקטיבית, עלינו לשלב בין פרספקטיבה רחבה ליכולת ניתוח מעמיקה. ניתוח פרופיל אמיתי ומדויק מצריך מידע מגוון ומקיף, שמאפשר לנו להבין הקשרים וליצור תמונה מלאה ומאוזנת יותר.
כשבודקים את הרקע של מועמדים, עובדים או שותפים עסקיים, חשוב לא להסתמך על מופע חד-פעמי או על אירוע מסוים – אלא לשלב את כל המידע לכדי הבנה רחבה ומדויקת. לכן, לפני שממהרים לשפוט – תמיד כדאי לקחת רגע, לחשוב על הקונטקסט ולזכור שכל פרט הוא רק חלק מפאזל מורכב יותר.
עובד שמאמין שהעולם שטוח – חיוך קטן או דגל אדום לארגון?
בדרך כלל, אנחנו נוטים לחייך כשאנחנו שומעים על אנשים שמאמינים שהעולם שטוח. על פניו, זו נראית אמונה מוזרה, אולי משעשעת, שאפשר להתעלם ממנה. אבל האמת היא שמאחורי האמונה הזו מסתתרת תפיסת מציאות בעייתית שיכולה להוות איום ממשי על הארגון.
אדם שמאמין שהעולם שטוח, מאמין גם, לרוב, שהנחיתה על הירח היא פיקציה. למה? כי אם העולם שטוח, הירח הוא לא כוכב אמיתי, אלא גוף תאורה התלוי מעל הדיסקה שעליה אנחנו חיים. המשמעות היא שממשלות, מדענים וכלי תקשורת משקרים באופן מכוון כדי להסתיר את "האמת."
ומה כאן הבעיה? שכשהעובד מתחיל לחשוד בכל מי שמספק מידע "רשמי," הדרך לאובדן אמון כלל ארגוני היא קצרה. עובד כזה עשוי לראות בהנחיות מהנהלת הארגון אמצעי שליטה ולא הוראות לגיטימיות. הוא מתחיל לפקפק באמינות של מקורות רשמיים, לערער על נהלים ותקנות, ואפילו עלול להפיץ מידע שגוי שייצור חוסר אמון ושסע בתוך הצוות.
זיהוי עובדים שמחזיקים בדעות קיצוניות כאלה אפשרי לרוב דרך הרשתות החברתיות – פוסטים שמשותפים מקבוצות קונספירציה, תגובות שמטילות ספק במדע, ותמיכה בתיאוריות על "אמת מוסתרת" הן סממנים ברורים.
ארגונים צריכים להיות ערניים לכך ולבחון בזהירות את ההתאמה של אנשים כאלו לתפקידים רגישים או עם גישה למידע קריטי.זו לא סתם אמונה תמימה – מדובר בפוטנציאל לאיום פנימי שכדאי לשים אליו לב.
מי באמת עונה על השאלות בראיונות מרחוק? AI או המועמד?
ראיונות עבודה מרחוק הופכים למאתגרים יותר מתמיד. הנה תופעה שמציבה בפנינו אתגר חדש: מועמדים שמסתמכים על כלי AI כמו ChatGPT בזמן הראיון, ולא רק כדי להתכונן מראש.
בזמן אמת, הם ממירים את השאלות שלכם לטקסט, שולחים אותן ל-AI ומקבלים תשובות מלוטשות תוך שניות.
מעבר לאתגר האתי, מדובר באיום פנימי שעלול להיכנס לתוך הארגון. מועמד שמסתמך על AI כדי להצליח בראיון, מה ימנע ממנו להשתמש בכלי דומה כדי להסתיר חוסר מקצועיות בתפקיד? מדובר כאן בשאלה קריטית של אמינות העובדים והיכולת שלנו להעריך באמת מי עומד מולנו.
אז איך מתמודדים? יש כאן כמה צעדים שניתן לנקוט: בדיקות עומק למועמדים שכוללות מעבר ליכולות טכניות, דגש על הכרת האישיות והתנהלות בזמן אמת, ואפילו שימוש בטכנולוגיות שמנטרות התנהגות במהלך הראיון כדי לזהות סימנים חריגים.
העתיד של הראיונות נמצא כאן, ואנחנו צריכים להיות מוכנים.
בונוס (והפעם באנגלית) -
𝗟𝗶𝘀𝘁𝗲𝗻 𝘁𝗼 𝗼𝘂𝗿 𝗽𝗼𝗱𝗰𝗮𝘀𝘁: 𝗛𝗼𝘄 𝘁𝗼 𝗜𝗱𝗲𝗻𝘁𝗶𝗳𝘆 𝗙𝗮𝗸𝗲 𝗖𝗮𝗻𝗱𝗶𝗱𝗮𝘁𝗲𝘀 𝗶𝗻 𝘁𝗵𝗲 𝗥𝗲𝗰𝗿𝘂𝗶𝘁𝗺𝗲𝗻𝘁 𝗣𝗿𝗼𝗰𝗲𝘀𝘀?
In our new AI podcast, we dive deep with practical tips to identify fake candidates:
1. Checking for inconsistencies in resumes.
2. Thoroughly reviewing LinkedIn profiles.
3. Paying attention to the small details during video interviews.
4. Using automated tools and AI technology to reduce risks.Tune in to learn how to improve your recruitment process!
Member discussion