פרשנות
האויב שבפנים: איך הצליח עובד NSO לגנוב ממנה מידע חשאי?
חברת הסייבר ההתקפי נפלה קורבן לאיום פנימי - עובד שגנב ממנה מידע ומוצרים בשווי מאות מיליוני דולרים, ונתפס לפני שהצליח למכור אותם. איך יתכן שדווקא חברת אבטחה חוותה תקרית שכזו, ומה אפשר לעשות כדי להימנע ממנה גם בחברות אחרות?
- האיום שבבית: החבלה הפנימית בטסלה היא רק קצה קרחון
- הותר לפרסום: עובד NSO גנב מידע רגיש, ניסה למכור לגורם זר
הפרטים שהותרו לפרסום מלמדים שאותו עובד השתמש בהתקן אחסון חיצוני להעברת הקבצים הרגישים לרשותו; מערכות האבטחה של NSO כנראה לא זיהו שמדובר בפעולה חריגה משום שלאדם שביצע אותה היו ההרשאות הנדרשות. והמקרה מדגיש את אחת הבעיות הקשות ביותר בתחום אבטחת המידע: אין אף ארגון בעולם שמחוסן מפני איומים פנימיים.
איך מזהים אויב מבית?
רק בחודש שעבר נודע שעובד בטסלה נתפס לאחר שחיבל בקוד של תוכנות החברה במטרה להזיק לפרויקטים והעביר מידע פנימי רגיש לידי גורמים לא ידועים מחוץ לחברה. באופן לא שגרתי, חשף המנכ"ל אלון מאסק את הפרשה; לרוב מתאמצות חברות להצניע ולהסתיר מקרי חבלה פנימיים, כדי לא לערער את אמון המשקיעים והלקוחות.
ואולם, גם לו חשדו NSO וטסלה בעובדים הסוררים, היו סיכוייהן לעצור את הגניבה נמוכים ביותר - ממספר סיבות. ראשית, בחברות טכנולוגיה יש תנועה רבה מאוד של קבצים, לפעמים גם דרך התקני אחסון חיצוניים. מערכות שנועדו לוודא שהקובץ לא הגיע לידי העובד הלא נכון פולטות התראות שווא רבות: לפעמים משתמשים לרגע במחשב של מישהו אחר כדי לשלוח משהו, או שוכחים לתייק קובץ במקומו המיועד וזה אנושי ולגיטימי.
שנית, אין מבחן נאמנות אחוד שיכול להגדיר עובד כסיכון אבטחה אם לא נקט בצעד מעיד - ועריכת מבחנים שכאלה תפגע במוראל העובדים. אי אפשר להבטיח אווירת עבודה פרודוקטיבית במשרד בו העובדים מרגישים שלא מאמינים להם, שבולשים אחריהם ומחפשים להפיל אותם בדבר שלא חלמו לעשות.
ושלישית - הגורם האנושי הוא חתיכת אקס פקטור שלא ניתן להיערך לו בצורה טובה דיה; קודם כל, בשל פסיכולוגיית ההנהלה עצמה - הרי נטיית המנהל היא להאמין שעובדיו נאמנים גם כשהם זועמים ולהגיד "כן, סטיבן כועס והכל, אבל אין סיכוי שיגנוב מאיתנו מידע". ולבסוף, בגלל דברים אישיים רנדומליים שיכולים ליפול על כל עובד - למשל, חובות שהצטברו, הוצאות לא מתוכננות או גירושין; לפעמים החיים דוחפים אנשים לפינה, והם עושים דברים לא טיפוסיים.
אין תוכנה שמבטיחה נאמנות
המקרה של NSO אולי נראה חריג משום שזו חברת סייבר התקפי - גוף שמוכר לאנשים תוכנות שמרגלות וגונבות מידע. אבל זו בסך הכל עוד חברה ומקרים כאלה קורים בכל תחום ותעשייה שאפשר להעלות על הדעת. ואולם, ישנו הבדל בין NSO ובין חברות אחרות במקרה שכזה: היא מפתחת תוכנות תקיפה, כלים שיכולים לשמש לפגיעה באנשים - ולגרור נזקים גדולים לא פחות מכלי נשק. יתכן שזו ההזדמנות של הרגולציה הישראלית להבדיל סופית בין חברות סייבר סטנדרטיות ובין חברות סייבר התקפיות, ולהטיל על האחרונות פיקוח הדוק ומיוחד שתואם את אופי פעילותן.
השוק מלא בפתרונות ניטור תנועת קבצים, מעקב אחר עובדים וכלי הערכת שביעות רצון שלהם ממתבם בארגון - וכולם יכולים לייצר אינדיקציה לסיכונים. ואולם, ככל שהעובד בכיר, מיומן ומודע יותר, כך יהיה לו קל יותר לעקוף אותם. ולכן, הפיתרון המרכזי לבעיית החבלה הפנימית אינו טכני, כי אם אנושי. מנהל שידע לתת לעובדיו תחושת שייכות, לפרגן להם כשהם מצליחים, להתנצל כשהוא טועה ולתגמל אותם ככל יכולתו הוא שיצליח ליצור נאמנות. כך, יימנעו מלהזיק לחברה גם במקרי סירוב לתוספת שכר, מניעת קידום ואפילו פיטורים.