$
חדשות טכנולוגיה

פרשנות

האויב שבפנים: איך הצליח עובד NSO לגנוב ממנה מידע חשאי?

חברת הסייבר ההתקפי נפלה קורבן לאיום פנימי - עובד שגנב ממנה מידע ומוצרים בשווי מאות מיליוני דולרים, ונתפס לפני שהצליח למכור אותם. איך יתכן שדווקא חברת אבטחה חוותה תקרית שכזו, ומה אפשר לעשות כדי להימנע ממנה גם בחברות אחרות?

ניצן סדן 13:1305.07.18
הבוקר הותר לפרסום שחברת הסייבר ההתקפי NSO נפלה קורבן לתוקף מבפנים: תוכניתן בכיר שהוזמן לשימוע פיטורין גנב ממנה מוצרי סייבר ואת קוד המקור לפיתוחם, וניסה למכור אותם ב-50 מיליון דולר לפני שנתפס. חברת סייבר התקפי בעצמה מורכבת מהאקרים - ויודעת היטב כמה מסוכנים יכולים להיות כלי התקיפה שלה בידיים הלא נכונות; איך יתכן שהצליחו לגנוב ממנה מידע?

 

 

הפרטים שהותרו לפרסום מלמדים שאותו עובד השתמש בהתקן אחסון חיצוני להעברת הקבצים הרגישים לרשותו; מערכות האבטחה של NSO כנראה לא זיהו שמדובר בפעולה חריגה משום שלאדם שביצע אותה היו ההרשאות הנדרשות. והמקרה מדגיש את אחת הבעיות הקשות ביותר בתחום אבטחת המידע: אין אף ארגון בעולם שמחוסן מפני איומים פנימיים.

 

איך מזהים אויב מבית?

 

רק בחודש שעבר נודע שעובד בטסלה נתפס לאחר שחיבל בקוד של תוכנות החברה במטרה להזיק לפרויקטים והעביר מידע פנימי רגיש לידי גורמים לא ידועים מחוץ לחברה. באופן לא שגרתי, חשף המנכ"ל אלון מאסק את הפרשה; לרוב מתאמצות חברות להצניע ולהסתיר מקרי חבלה פנימיים, כדי לא לערער את אמון המשקיעים והלקוחות.

  

 

כשיש מפתח, לא צריך לפרוץ. אילוסטרציה כשיש מפתח, לא צריך לפרוץ. אילוסטרציה צילום: pixabay.com

 

 

ואולם, גם לו חשדו NSO וטסלה בעובדים הסוררים, היו סיכוייהן לעצור את הגניבה נמוכים ביותר - ממספר סיבות. ראשית, בחברות טכנולוגיה יש תנועה רבה מאוד של קבצים, לפעמים גם דרך התקני אחסון חיצוניים. מערכות שנועדו לוודא שהקובץ לא הגיע לידי העובד הלא נכון פולטות התראות שווא רבות: לפעמים משתמשים לרגע במחשב של מישהו אחר כדי לשלוח משהו, או שוכחים לתייק קובץ במקומו המיועד וזה אנושי ולגיטימי.

 

שנית, אין מבחן נאמנות אחוד שיכול להגדיר עובד כסיכון אבטחה אם לא נקט בצעד מעיד - ועריכת מבחנים שכאלה תפגע במוראל העובדים. אי אפשר להבטיח אווירת עבודה פרודוקטיבית במשרד בו העובדים מרגישים שלא מאמינים להם, שבולשים אחריהם ומחפשים להפיל אותם בדבר שלא חלמו לעשות.

 

ושלישית - הגורם האנושי הוא חתיכת אקס פקטור שלא ניתן להיערך לו בצורה טובה דיה; קודם כל, בשל פסיכולוגיית ההנהלה עצמה - הרי נטיית המנהל היא להאמין שעובדיו נאמנים גם כשהם זועמים ולהגיד "כן, סטיבן כועס והכל, אבל אין סיכוי שיגנוב מאיתנו מידע". ולבסוף, בגלל דברים אישיים רנדומליים שיכולים ליפול על כל עובד - למשל, חובות שהצטברו, הוצאות לא מתוכננות או גירושין; לפעמים החיים דוחפים אנשים לפינה, והם עושים דברים לא טיפוסיים.

 

אין תוכנה שמבטיחה נאמנות

 

המקרה של NSO אולי נראה חריג משום שזו חברת סייבר התקפי - גוף שמוכר לאנשים תוכנות שמרגלות וגונבות מידע. אבל זו בסך הכל עוד חברה ומקרים כאלה קורים בכל תחום ותעשייה שאפשר להעלות על הדעת. ואולם, ישנו הבדל בין NSO ובין חברות אחרות במקרה שכזה: היא מפתחת תוכנות תקיפה, כלים שיכולים לשמש לפגיעה באנשים - ולגרור נזקים גדולים לא פחות מכלי נשק. יתכן שזו ההזדמנות של הרגולציה הישראלית להבדיל סופית בין חברות סייבר סטנדרטיות ובין חברות סייבר התקפיות, ולהטיל על האחרונות פיקוח הדוק ומיוחד שתואם את אופי פעילותן.  

  

 

 

השוק מלא בפתרונות ניטור תנועת קבצים, מעקב אחר עובדים וכלי הערכת שביעות רצון שלהם ממתבם בארגון - וכולם יכולים לייצר אינדיקציה לסיכונים. ואולם, ככל שהעובד בכיר, מיומן ומודע יותר, כך יהיה לו קל יותר לעקוף אותם. ולכן, הפיתרון המרכזי לבעיית החבלה הפנימית אינו טכני, כי אם אנושי. מנהל שידע לתת לעובדיו תחושת שייכות, לפרגן להם כשהם מצליחים, להתנצל כשהוא טועה ולתגמל אותם ככל יכולתו הוא שיצליח ליצור נאמנות. כך, יימנעו מלהזיק לחברה גם במקרי סירוב לתוספת שכר, מניעת קידום ואפילו פיטורים.

בטל שלח
    לכל התגובות
    x