איום ה"אינסיידרים"

אנו משקיעים רבות למול יריבים חיצונים ולעיתים "שוכחים" את האופציה לאיומים פנימיים הנוצרים על ידי אנשים – עובדים ומנהלים בארגונים עסקיים ואחרים. אריק ברבינג, לשעבר ראש אגף הסייבר בשב"כ במאמר מיוחד על האיום הפנימי הקיים בכל ארגון. דעה

 

אילוסטרציה: Bigstock

כאשר עוסקים באיומי סייבר, רובו של הקשב מוקדש לאיומים המגיעים מגורמי חוץ – מדינות עויינות ולעיתים ידידותיות, אירגוניים עסקיים מתחרים, אירגוני טרור, קבוצות האקרים המנסות כל העת לחדור לארגונים שאין ברשותם מערכות הגנת סייבר ואבטחת מידע מתאימות על מנת לסחוט כספים ומגוון רחב נוסף של תוקפים פוטנציאלים העושים מאמצים רבים לחדור לאירגוניים עסקיים, פוליטיים ומדינתיים ולהסב להם נזקים באמצעות גניבת מידע, דרישות כופר, דמי חסות ומרעין בישין נוספים.

הקונפליקט הפנימי

אנו משקיעים רבות למול יריבים חיצונים ולעיתים "שוכחים" את האופציה לאיומים פנימיים הנוצרים על ידי אנשים – עובדים ומנהלים בארגונים עסקיים ואחרים. "השכחה" אינה תמיד כתוצאה מעומס עבודתם של מנהלי חברות וארגונים או של אנשי אבטחת המידע ואחרים המופקדים על שמירת נכסי הארגון – היא נובעת מכך שעובדים ומנהלים מסורים המשקיעים שעות רבות בעבודתם עבור הצלחת החברה, הארגון, העסק או המפלגה. אלה עובדים שההנהלה סומכת על פעילותם המקצועית, יושרם ואמינותם עלולים להימצא בסיטואציות שונות ואשר עלולים להפוך אותם ל"אינסיידרים" – איום פנימי העלול להביא לנזק השווה לעיתים ליכולת של מדינה ברמת טכנולוגית גבוהה לחדור למערכות מחשב של מדינות או ארגונים יריבים.

המיקוד הוא בעובדים ובמנהלים בארגונים וכן ספקים המספקים שירותי ייעוץ בתחומי IT, טכנולוגיה, סייבר, מו"פ, לוגיסטיקה ולעיתים אף למערכות ייעודיות הקשורות בליבה האירגונית או העסקית של החברה. זהו קונפליקט עבור מנהלי חברות במתח שבין שמירה על נכסי החברה לבין תדמיתה ויחסה לעובדים ולמנהלים.

הדוגמה הבולטת ביותר, בעיקר בשל נזקה העצום, הינו אדוארד סנודן המפורסם, עובד ארגון הביון הטכנולוגי החזק בעולם ה – NSA בארה"ב. סנודן, אשר הועסק כמומחה בתחומי IT וסייבר ב- CIA ושימש בה כעובד מן המניין בשנת 2007 לאחר כשנתיים סיים תפקידו בסוכנות והחל לעבוד כספק חיצוני עבור ה NSA כמנהל מערכות מחשוב . בשנת 2009, במהלך עבודתו אסף מידע רגיש ביותר אודות יכולות ופעילות הארגון אותו העביר בשנת 2013 לידי שתי מערכות עיתונים גדולות בארה"ב ובבריטניה.

הנזק שגרם סנודן ל-NSA היה אסטרטגי מבחינת חשיפת כלים, שיטות פעולה, יכולות ומבצעים וגרם למבוכה גדולה לממשל בארה"ב. במעשהו של אדם אחד נגרם נזק שרק מעצמה טכנולוגית מסוגלת לגרום לארגון במדינה אחרת.

הסיבה אליבא לסנודן – אידיאולוגית במקרה דנן – הפגיעה והחדירה העמוקה לפרטיות של מאות אלפי אנשים בעולם אך גם קשרים עם אירגוני ביון היריבים לארה"ב, פעילות מודיעינית למול מנהיגים ומדינות ידידותיות וכן קשרי סנודן עם אירגוניים רוסיים עלולים להוות חלק מהמניעים לפעילותו.

הצורך לנטר פעילות עובדים ומנהלים, לזהות סימנים מעידים של התנהגות חריגה, התקנת אמצעים להרתעה ומעקב בארגונים עסקיים, פוליטיים ופרטים נתפסת באופן שלילי בוודאי בשוק האזרחי ועלולה לפגוע בתדמית החברה ואף בקושי לגיוס עובדים. מאידך ובאופן המובן לכל - פעילות כזאת נדרשת ומתבצעת בארגונים חשאיים או כאלו המוגדרים ברמת סיווג גבוהה במדינות רבות בעולם ואף במדינת ישראל. מדובר באירגוני המודיעין והביטחון, יחידות וגופים הקשורים לאגפי המודיעין, האוויר, התקשוב ואחרים בצה"ל, לגופים וחברות העוסקים באמצעי לחימה ויכולות מתקדמות של מדינת ישראל וכן יחידות וארגונים רגישים נוספים.

כמי ששירת שנים רבות בשירות הביטחון הכללי נדרשתי לעבור ככל עובד ומנהל תחקירים אישיים מעמיקים, בדיקות פוליגרף שגרתיות, חידוש סיווג ביטחוני בהתאם לתפקיד ולסוג היחידה בה שירתתי. בוצע ריענון מתמיד של הרשאות לעיון במידע מודיעיני מסווג, הקפדה על מידור בין יחידות ופעולות רבות נוספות. פעולות דומות לאלו שעברתי מתבצעות גם לעובדים לחיילים ולקצינים בצה"ל במשטרה ובמערכות הביטחון וכן בתעשיות הרגישות.

קיימת הבנה עמוקה לגודל האיום הפוטנציאלי החיצוני והפנימי והבנה שדלף מידע או חדירה לארגונים מסוג אלו עלולים להביא לנזקים אסטרטגים למדינה ובשל התרבות האירגונית העוסקת בחשאיות הארגון ופעילותו כל אותן בדיקות והמהלכים המבוצעים מתקבלים כמעט כמובן מאליו , בהבנה וללא צורך בהסכמת העובדים. מבוצעת חשיבה מעמיקה בהקשרי החוקים וגבולות החדירה לפרט מחד ומאידך לצורך לשמור על סודות הארגון ומתבצעת דיפרנסציה  במאפייני הבדיקות והתדירות בהתאם לתפקידים ולדרגות כאמור.

בתפקידי הבכירים בשב"כ, עסקתי רבות בתחום הפעלת סוכנים, ניהול מבצעי סיכול טרור וכן באחריות על מערך הסייבר האירגוני בכללו ובפרט בטיפול בהגנת סייבר לתשתיות הקריטיות בישראל.

מתקיים קשר בין "יומינט" – התחום המודיעיני העוסק בגיוס סוכנים מחד אך גם בעיסוק בבניית פרופילים של מחבלים ומפגעים בהבנת המניע אותם, התהליך אותם הם עוברים טרום ביצוע מעשה טרור לבין איומי סייבר פנימיים אשר מטבע הדברים מבוצעים על ידי אנשים או באמצעותם. החיבור המרתק של סייבר ויומינט מתקיים לא רק בהקשרי הגנת סייבר ועל כך במאמרים עתידיים.

המושג המקובל לאיום פנימי בארגון מכונה בכינוי שאינו מדויק דיו לטעמי – "העובד הממורמר" (עובד ומנהל) אך משקף חלק מהמניעים של עובדים לפגוע בפעילות הארגון, לעיתים לגנוב מידע, להונות את החברה, לגנוב כסף או שווה כסף, למכור או למסור מידע לארגון מתחרה, לפגוע בתהליכים עסקיים, לפגוע במוניטין ובשמו של הארגון ועוד.

ישנם כמה קווים לדמותם של עובדים בארגון:

ה"עובד ממורמר"

"עובד ממורמר" יכול להיות כל מי שחש שאינו מוערך כראוי, שאינו מקודם מקצועית או ניהולית, עובד החש כי סביבתו מתעמרת בו, עובד שתופס את הארגון כגוף שאינו מתחשב בעובדים ובצרכיהם, עובד שחש סלידה וכעס ממנהלים ישירים ועקיפים לאורך זמן בעיקר בשל יחס כלפיו. עובד מסוג זה מהווה מטרה נוחה עבור ארגונים או מדינות לריגול מדינתי או לריגול עסקי.

בכל הסוגיה הקשורה בריגול עבור ארגון או מדינה זרה – האחריות לטיפול ולסיכול הינו שירות הביטחון הכללי ובמקרים רבים בשיתוף עם המלמ"ב – הממונה על ביטחון במערכת הביטחון אשר תחת אחריות האחרון נמצאים כלל אגפי משרד הביטחון, תעשיות ביטחוניות וגופים מסווגים ורגישים נוספים. שני הגופים עוסקים גם במניעת דלף מידע, מתן הנחיות וביצוע תרגילים להגברת מודעות עובדים ומנהלים. במרחב האזרחי האחריות היא של החברה עצמה.

כל עובד עלול לגרום נזק לארגונו, אך לעניין זה מדובר בעובד הנגיש למאגרי מידע אירגוניים או למערכות מחשב המהוות חלק מהליבה האירגונית של הארגון. הנגישות של  העובד הינה ברמה כזאת שיש ביכולתו להסב נזק משמעותי לארגון כפי שציינתי קודם לכן בשל המצאות הרשאות נרחבות לכניסה למערכות ולמאגרים משמעותיים בין אם הרשאות אלו נמצאות באופן לגלי אצל העובד או שהושגו על ידו בגניבה. חוץ מהרשאות יש לעובד כזה ידע מספק להיכנס למערכות ולמאגרים ליבתיים באמצעות הידע הטכנולוגי שלו או באמצעות זהויות עובדים אחרות בהם הוא עושה שימוש.

מאפיין נוסף של עובד "ממורמר" – כאשר הרקע הינו אידאולוגי, פוליטי או ערכי  - מדובר בעובד הפועל לפגוע בארגון על רקע של אידאולוגיה רדיקלית, התנגדות לפעילות הארגון מסיבות פוליטיות (לדוגמא: מפלגה או תנועה פוליטית)  או ארגון שפעולתו נתפסת כלא ערכית בעיני העובד (חברה העוסקת בפיתוח כלים החודרים לפרטיות של ציבור וכדומה).

"עובד במצוקה"

סוג אחר של עובדים המהווים סיכון פוטנציאלי לארגון, הינם עובדים הנתונים ללחצים כלכלים כבדים ומתמשכים – הם באופן ישיר או קרובי משפחתם (לדוגמה - פרשיית "אתי אלון" בבנק למסחר) ואשר גורמים לעובד לגנוב כספים או לגנוב מידע וכלים טכנולוגיים ולסחור בהם על מנת להרוויח סכומי כסף גדולים הנדרשים לעובד במצוקה. עובדים מסוג אלו יבצעו במקרים רבים "גניבות קטנות" של סכומי כסף קטנים ויאגרו באופן מתמשך את הכסף לסכום גדול.

"עובד משוטה"

גורמים חיצונים לארגון עלולים לעשות שימוש בעובדי הארגון כפלטפורמה מצוינת לחדור לארגון ולהגיע למאגרי מידע, מחשבי תפעול ושליטה ולאזורים טכנולוגיים רגישים עבור פעילות הארגון ועסקיו וזאת באמצעות עובדיו.

על אף שמדובר פעמים רבות בעובדים בעלי מודעות גבוהה לאבטחת מידע, לכוונות לריגול עסקי ולאיסוף מידע נרחב על פעילותם ועל פעילות עסקיהם – הם נופלים בפח ומאפשרים כניסתם של גורמים לא רצויים לארגונם.

במקרה דנן אנו עוסקים בעיקר בפעילות ממוקדת של יריבים למול עובדים ומנהלים בארגון מתחרה כאשר מבוצעת פעילות ממוקדת למול אחד או יותר מעובדי הארגון שמטרתה יצירת אמון וקשרים באופן כזה שבסופו של דבר יאפשר העובד מבלי שהתכוון לעשות זאת נגישות טכנולוגית למערכות המחשב.

מדובר בפעולת שיטוי – והיא נפוצה ומוכרת מעולמות הריגול המדינתי אך גם מעולם הריגול העסקי. כך לדוגמא יכול להיווצר קשר למול עובד באמצעות הרשת החברתית, אפליקציות מגוונות – מאפליקציות של משחקים ועד אפליקציות של שירותים מגוונים (הזמנת מוניות, שליחים, קניית מוצרים, אתרי פרסומת וכד'). מהרגע שבו נוצר הקשר ונבנה למול העובד אמון הדדי ניתן באמצעות קשר זה להעביר לידי העובד מבלי שיידע או יחשוד בכך כלי תקיפה, איסוף וחדירה ראשית למכשירים הנמצאים ברשותו (ובראש ובראשונה הסמארטפון) זאת לצורך הרחבת המידע אודותיו ואודות קשריו.

ומשם הדרך קלה יחסית למערכת האירגונית שבה העובד מועסק, כל שכן כאשר נעשה שימוש בין מכשירו הפרטי של העובד לבין חלק מהמערכות האירגוניות באם ניתנת הרשאה (לשימוש במיילים לדוגמא) או למאגרי מידע אירגוניים המקושרים בפלטפורמה ניידת (מחשב נייד) או נייחת (מחשב ביתי ) הנמצאים בידי העובד ומשם הדרך "הסייברית" למערכות האירגוניות קלה ומהירה יחסית.

במקומות עבודה רבים יש לבעלי תפקידים יכולת לנהל חלק ממערכות הבקרה באמצעות סמרטפון – בקרה על מערכות תפעוליות חשובות למבנים, מכשור הנדסי, רפואי, מערכות לניטור עשן ושינוי טמפרטורה מצלמות ועוד.  כאשר באותו מכשיר מתבצעת גם פעילות אישית של בעל המכשיר בכפיפה אחת עם האפשרות לפעילות עבור הארגון או העסק קיימת אפשרות קלה יחסית להשתמש בעובד ללא ידיעתו כ"דילוג" למערכות ליבה והתפעול ולקבל אליהם שליטה ויכולת ניהול על ידי אותם גורמים מתחרים ויריבים.

"עובד לא מודע"

ולבסוף, זה שלא ידע לשאול - "עובד ללא מודעות" – במאפייניו הוא דומה לעובד המשוטה אך במקרה דנן המורכבות שונה  – בארגונים רבים קיימת מודעות נמוכה ביותר לאבטחת מידע, הגנה על מערכות, התנהגות מונעת, כלי ניטור והתרעה, ניהול לא מקצועי של מתן הרשאות כניסה למערכות מחשב, אי הקפדה על חסימת מערכות המחשב מפני התקנים חיצונים שעובדים מחברים לעיתים למחשב בעבודה (כדי לטעון את הסלולר, למשל), אי הקפדה על קבלת חומר מספקים חיצונים ו"הלבנתו" טרם הכנסתו למערכות האירגוניות – ממצגות, הצעות מחיר, סרטי הדגמה ועד החסנים ניידים, מצלמות ומה לא.

כאשר המודעות האישית לשמירה על אבטחת מידע ומערכות מחשב נוספות אינה נמצאת בסדרי העדיפות הגבוהים של הארגון ושל עובדיו וכאשר התרבות האירגונית אינה רואה בתחום כה רגיש זה ערך משמעותי לארגון ולעובדיו קל יהיה לפרוץ ולחטט, לגנוב ולשבש את פעילות העסק, הארגון או החברה.

עובדים לא מודעים יבצעו "עבירות" רבות ומגוונות וארגונם יהוו מטרה "רכה" ונוחה עבור האקרים מזדמנים ובוודאי עבור מתחרים עסקיים.

אסדרה ורגולציה

כפי שציינתי – האויב הפנימי מסוכן אף יותר מאויבים הפועלים מבחוץ. גם כאשר הדברים ברורים להנהלת הארגון, קיימים קשיים רבים, תרבותיים וערכיים לבצע פעילות אשר תשמור על הארגון מפני עובדיו ומנהליו. מה שמקובל מאוד בארגוניים ביטחוניים או בעלי פעילות רגישה ביותר בדגש ברמת מדינה - אינו מתאים למקום עבודה פרטי ועסקי. ובכלל מי ירצה לעבוד במקום עבודה אשר רואה בעובד גם "איום" – ונוקט בצעדים מגוונים להגן על עצמו מפני "העובדים היקרים והמסורים המהווים את הנכס החשוב ביותר עבורנו" כאמירתם של מנכ"לים רבים במשק.

לפיכך, מה  הם כיווני המענה המרכזיים למול איום פנימי?

ראשון - החלטה ניהולית שסייבר מהווה אתגר עבור הארגון וסוגיית הגנת הסייבר הינה באחריות ההנהלה הבכירה של הארגון ובהובלתה. מינוי מנהל בכיר העוסק בנושא ובעלי תפקידים רלוונטיים.

שני – הגנה על נכסי הארגון הינה מרכיב בתרבות הארגונית של החברה.

שלישי – פעילות נרחבת בתחום מודעות עובדים ומנהלים לאיומים השונים, נהלים, כנסים, תרגילים, בקרות ומדידת עובדים ומנהלים על פעילותם בתחום זה. אין כמו תרגילי פתע בכדי לחדד למנהלים ולעובדים את  עוצמת האיום.

רביעי – בניית מערך טכנולוגי פנים אירגוני לניטור פעילות חריגה במערכות שהוגדרו כקריטיות לליבת הארגון על ידי הנהלתו. הניטור הינו טכנולוגי ובידיעת העובדים. מטרת הניטור זיהוי פעילות א-נומלית וחריגה במערכות ובמאגרי המידע הקריטיים.

חמישי – בחינה קפדנית ועתית של מערך ההרשאות לכניסה למערכות מידע, מאגרים ובארגונים מסוימים גם למתקנים ולחדרים רלוונטיים (ולאו דווקא בארגונים ביטחוניים מסווגים).

שישי – יצירת אינטגרצית מידע בין המערכות האירגונית הפנימיות העוסקות בכ"א (הערכות עובדים, שיחות אישיות וכו'), ניהול משאבים אירגוניים, אמצעי אבטחה ובקרת כניסה למשרדים וחדרים, תקשורת עם ספקים וכדומה על מנת לאתר תופעות ופעילות חריגה תוך הקפדה על חוקי הפרטיות וצנעת הפרט. רק באמצעות שילוב בין מאגרי מידע יהיה ניתן לזהות מבעוד מועד התהוות של איום פנימי.

שביעי – התקנת אמצעים גלויים (מצלמות), סימון ו"אזהרה" לגבי מחשבים, מדפסות ואמצעים אחרים אשר פעילותם מנוטרת.

שמיני – פעילות הסברתית, מתואמת עם ועד העובדים או נציגי העובדים בחברה לגבי מינון, מאפיינים ושילוב עובדים בקבלת ההחלטות האירגוניות בהקשרי שמירה על נכסי הארגון.

איזון ורגישות

חשוב להדגיש כי לכל חברה, ארגון עסקי פרטי או ציבורי נתונה החובה לשמירה קפדנית על מערכותיה, סודותיה והמערכות הקריטיות שלה להשגת היעדים – בדגש מוניטין ורווחים כלכלים.

נדרשת מערכת מאוזנת ורגישה לטיפול בפוטנציאל האיום הפנימי ובדגש זה המגיע מצד עובדים ומנהלים – בהקפדה על פרטיות, צנעת הפרט וטיפול מקדים ודיסקרטי ככל הניתן כאשר מזוהים סימנים לפעילות עובד הדורשת הבנה או הבהרה למולו.

ולזכור – ארגון ישנה את דרכו, במקרים רבים יחמיר בפיקוח ופעולתו באופן מוגזם באם ייקלע למצב בו מומשה מולו חדירה סייברית באמצעות עובד.

ניתן להימנע מכך.

***

אריק ברבינג, "האריס", כיהן כ - 30 שנים בשב"כ. בתפקידיו הבכירים שימש כראש אגף הסייבר וכמפקד אזור ירושלים יהודה ושומרון

 

 

אולי יעניין אותך גם

ביתן משטרת ישראל ב-UVID 2019. צילום: רונן טופלברג

איום הרחפנים באירוויזיון: "הגענו למפעיל בדקה וחצי"

קצין ההגנה מפני רחפנים במשטרת ישראל חשף בכנס UVID 2019 כיצד התמודדה המשטרה עם האיום, כאשר ברקע עשרות אלפי משתתפים באירוע. "הגענו למפעיל הרחפן בדקה וחצי", סיפר ערן סלומון