מחקרים: משבר הקורונה מעלה הסתברות לאיום סייבר מצד העובדים
בשל בעיות פיננסיות שיוצר המשבר וכן בשל העבודה מהבית, מחקרים וחברות אבטחה טוענים כי האיום הפנימי גדל
עמי רוחקס דומבה
| 21/05/2020
bigstockphoto
משבר הקורונה מספק לתוקפי סייבר הזדמנות מיוחדת לחדור למערכות האבטחה של חברות וארגונים שונים. לא מדובר רק באיומים חיצוניים, אלא גם באיומים פנימיים מצד עובדי החברה.לאחרונה פורסם הסקר השנתי Global Data Exposure שנערך על ידי פירמת אבטחת המידע Code42 בקרב 1,600 מנהלי אבטחת מידע בחברות אמריקאיות. מהסקר עולה, כי בקרב מחצית החברות שמערכות המידע שלהן הותקפו בשנים 2018-2019, נעשתה הפריצה וגניבת המידע על ידי עובדים בחברה.
בסקר אחר שנערך לאחרונה בקרב 500 מובילי IT וכ-5000 עובדים ברחבי ארה"ב, בריטניה, בלגיה, הולנד ולוקסמבורג, נמצא כי 97% מהמשיבים חוששים מפני התקפות סייבר פנימיות יותר מכל איום אחר. הסקר נעשה מטעם חברת Egress תחת הכותרת כ-Global Insider Data Breach survey.
משבר כלכלי
משבר הקורונה, שהחל כמשבר בריאותי חמור, התגלגל במהרה למשבר כלכלי, אשר פוגע ומאתגר עסקים גדולים וקטנים, ומשפיע על האיומים הפנימיים להם נתונים החברות. משברים כלכליים מביאים עמם עלייה באיומים פנימיים, עקב פיטורים צפויים, הורדת שכר ולחצים כלכליים ורגשיים – כך עלה מסקר שנערך על ידי CSO Magazine בשיתוף עם המרכז לפתרונות אבטחה ופרטיות של Deloitt לאחר המשבר הכלכלי של שנת 2008, בהשתתפות יותר מ-500 משיבים, מנהלים עסקיים וממשלתיים, אנשי מקצוע ויועצים.
מהסקר עלה, כי בחודשים אוגוסט 2008 ויולי 2009, יותר משליש (37%) מהנשאלים דיווחו כי חוו עלייה בפשעי הסייבר בהשוואה לשנה הקודמת; יותר ממחצית מאלו שחוו אירוע אבטחת סייבר היו קורבנות למתקפת פנים; ועל פי 67% מהנשאלים ההתקפות היקרות או המזיקות ביותר היו מבפנים. נתונים אלו מתחדדים על רקע המשבר הקורונה, משום שארגונים רבים נדרשו לעבור לעבודה מהבית. המשמעות היא, כי ליותר ויותר אנשים יש גישה למידע רגיש ביותר דרך הרשתות הביתיות, והעומס על מערכות האבטחה גבוה יותר.
כיום, כוח העבודה של חברות כולל את הצוות והלקוחות, אלא גם קבלנים, יועצים, חברות בנות, ספקים ועוד. כל אלה מחזיקים בנוכחות דיגיטלית וחשופים למידע של החברות. כך גם ניתן לראות כי ערוצי התקשורת המקובלים בין העובדים התחלפו ביישומי צ'ט ומסמכים משותפים. פגישות הוחלפו בשיחות ווידאו, וחל גידול בשימוש במחשבים האישיים לצרכי עבודה.
עבודה מהבית
איום פנימי נוסף, נובע מהסיבה הפשוטה כי משבר הקורונה והעבודה מהבית הביאו איתם זמן פנוי לעובדים. מנהל מחקרי האבטחה של מיקרוסופט, טנאמי גנצ'ריה (Tanmay Ganacharya): "הרבה אנשים תקועים בבית ומחפשים למלא זמן, ולא כולם מתכוונים לראות רק את מה שזמין באמצעות שירותי הצפייה בטלוויזיה אלא פונים לשירותי הסטרימינג. התוקפים משתמשים בכמה סרטים פופולריים כפתיונות. בכך הם מבטיחים שהמטען הזדוני שלהם יהיה חלק מהחבילות שהמשתמש בסופו של דבר מוריד". רק באפריל האחרון, מיקרוסופט זיהתה איומים אלו בקשר עם הסרטים 'ג'ון וויק 3', 'התפשטות' ועוד.
באילוסיב, חברת אבטחה פרו-אקטיבית מקבוצת Team8, סבורים כי בשבועות ובחודשים הקרובים תהיה קפיצה משמעותית באיומי סייבר פנימיים. לדברי המייסד ומנכ"ל החברה, עופר ישראלי, ניתן לזהות שני סוגים של איומים פנימיים - האחד, עובד שגונב את המידע שברשותו, אליו הוא מורשה להיחשף. השני, נוגע לעובדים שמנסים להשיג מידע שאין להם גישה אליו. באיום השני מטפלת אילוסיב, שכן מדובר ברעיון המשותף לאיום פנימי וחיצוני בו התוקף צריך למצוא את דרכו ברשת. אילוסיב חושבת כמו התוקף הפוטנציאלי, מנסה להבין איך הוא יתנהג ברגע שחדר לארגון, ליצור לו אשליות ומלכודות, עד התפיסה שלו. באילוסיב הושקעו עד היום 33 מיליון דולר, עובדים בה 100 איש, מרביתם בארץ, והשאר בארה"ב ובאירופה.
ישראלי מציין, כי בשנתיים האחרונות, התדירות והעלויות של האיומים הפנימיים עלתה באופן דרמטי. על פי מחקר מקיף שערכה אילוסיב, העלות הממוצעת של איומים פנימיים בחברה גדלה ב-31%, מ-8.76 מיליון דולר ב-2018 ל-11.45 מיליון דולר ב-2020. בנוסף, מספר אירועי האבטחה הפנימיים גדל ב-47%, מ-3,200 ב-2018 ל-4,716 ב-2020, כשבאופן מתבקש, יש קשר חיובי בין גודל החברה למספר האירועים עימם היא מתמודדת.
רשלנות עובדים
ישראלי מפנה את תשומת הלב לאיום פנימי משמעותי והוא רשלנות עובדים או קבלנים בשמירה על נהלי אבטחת מידע. על פי נתוני החברה, אירועים כתוצאה מרשלנות פנימית מהווים כ-62% מתוך אירועי האבטחה הפנימיים בשנתיים האחרונות, לעומת כ-23% אירועים בעלי אופי פלילי. במיפוי גלובלי, נמצא כי חברות הפועלות במזרח התיכון ובצפון אמריקה חוות אירועי אבטחה פנימיים בתדירות גבוהה יותר לעומת מדינות אסיה ואירופה.
אילוסיב נותנים דגש לאתגר פנימי נוסף המגיע מכיוון הבינה המלאכותית. בשנים האחרונות תחום הבינה המלאכותית זכה לעניין רב וארגונים רבים פעלו להטמיע מודלים של בינה מלאכותית במערכי הגנת הסייבר שברשותם. אלו נועדו לזהות פעולות אנומליות ברשת על ידי הבחנה בין התנהגות 'חשודה' ל'נורמלית' בקרב המשתמשים. ואולם, בתקופת משבר הקורונה, כאשר בבת אחת כולם עברו לעבוד מהבית, והעובדים מתחברים לעבודה בכל שעה אפשרית כולל בלילה, הרעיון של בינה מלאכותית משתבש לגמרי.
בהתחשב בכך שה'לא נורמלי' עשוי להפוך לשיגרה, האפקטיביות של המערכות הללו כמעט נעלמת ואלו אף מייצרות הרבה התראות שווא. בכך איבדו ארגונים רבים אלמנט חשוב באבטחתם. הדבר מקבל משנה חשיבות בקשר עם האיומים הפנימיים שחווים ארגונים, שכן אלו השתמשו בבינה מלאכותית גם על מנת לזהות תוקפים פנימיים. אילוסיב התייחסה לסוגיה ומציעה מערכת שתפקידה לזהות עובד שמחפש מידע שהוא לא אמור למצוא.
מערכות אינטרנט פגיעות
גם מיקרוסופט משקיעה מאמצים במיפוי סיכוני האבטחה הפנימיים, שעלו במשבר הנוכחי. נתוני החודשים האחרונים מראים, כי נקודות התורפה העיקריות הן מערכות אינטרנט פגיעות ובלתי-מנוטרות ובפרט פלטפורמות עבודה ישנות, אשר אינן מקבלות עוד תמיכה ועדכוני אבטחה, מערכות עבודה מרחוק, שירותי גיבוי ושרתי ניהול מערכות, מערכות בריאות אלקטרוניות ומערכות עם סיסמאות חלשות.
רוב לפרטס, סגן נשיא מיקרוסופט האחראי על מוצרי האבטחה, מסביר כי דפוסי ההתקפה אינם שונים מאלו אשר היו קיימים ערב משבר הקורונה, אבל מדובר בסוג שונה של 'פתיונות'. הפתיון כעת הוא מידע הקשור בנגיף כאמור, ונראה כי ככל שהאיום גדל - כך גם קצב המתקפות צובר תאוצה. לפרטס מסביר, כי הפחד מהמשבר הכלכלי מזוהה ומנוצל גם על ידי התוקפים הפנימיים. אלו משתמשים בפחד ובצורך של אנשים במידע במסגרת התקפות פישינג.
כך למשל, רמת הלחץ העולה סביב נגיף הקורונה מביאה אנשים רבים ללחוץ על הודעות דוא''ל, התראות סלולריות ועדכונים המבקשים, כביכול, להציג מידע חדש על הנגיף. לחיצה כזו מאפשרת לתוקפים להסתנן לתיבת הדואר הנכנס שלנו, לגנוב מידע, לשתף קישורים זדוניים עם עמיתים לעבודה ולמעשה, לחכות עד שיחזיקו בידיהם את המידע הרגיש ביותר, אשר יאפשר להם לסחוט סכומי כסף גבוהים.
בשל בעיות פיננסיות שיוצר המשבר וכן בשל העבודה מהבית, מחקרים וחברות אבטחה טוענים כי האיום הפנימי גדל
bigstockphoto
משבר הקורונה מספק לתוקפי סייבר הזדמנות מיוחדת לחדור למערכות האבטחה של חברות וארגונים שונים. לא מדובר רק באיומים חיצוניים, אלא גם באיומים פנימיים מצד עובדי החברה.לאחרונה פורסם הסקר השנתי Global Data Exposure שנערך על ידי פירמת אבטחת המידע Code42 בקרב 1,600 מנהלי אבטחת מידע בחברות אמריקאיות. מהסקר עולה, כי בקרב מחצית החברות שמערכות המידע שלהן הותקפו בשנים 2018-2019, נעשתה הפריצה וגניבת המידע על ידי עובדים בחברה.
בסקר אחר שנערך לאחרונה בקרב 500 מובילי IT וכ-5000 עובדים ברחבי ארה"ב, בריטניה, בלגיה, הולנד ולוקסמבורג, נמצא כי 97% מהמשיבים חוששים מפני התקפות סייבר פנימיות יותר מכל איום אחר. הסקר נעשה מטעם חברת Egress תחת הכותרת כ-Global Insider Data Breach survey.
משבר כלכלי
משבר הקורונה, שהחל כמשבר בריאותי חמור, התגלגל במהרה למשבר כלכלי, אשר פוגע ומאתגר עסקים גדולים וקטנים, ומשפיע על האיומים הפנימיים להם נתונים החברות. משברים כלכליים מביאים עמם עלייה באיומים פנימיים, עקב פיטורים צפויים, הורדת שכר ולחצים כלכליים ורגשיים – כך עלה מסקר שנערך על ידי CSO Magazine בשיתוף עם המרכז לפתרונות אבטחה ופרטיות של Deloitt לאחר המשבר הכלכלי של שנת 2008, בהשתתפות יותר מ-500 משיבים, מנהלים עסקיים וממשלתיים, אנשי מקצוע ויועצים.
מהסקר עלה, כי בחודשים אוגוסט 2008 ויולי 2009, יותר משליש (37%) מהנשאלים דיווחו כי חוו עלייה בפשעי הסייבר בהשוואה לשנה הקודמת; יותר ממחצית מאלו שחוו אירוע אבטחת סייבר היו קורבנות למתקפת פנים; ועל פי 67% מהנשאלים ההתקפות היקרות או המזיקות ביותר היו מבפנים. נתונים אלו מתחדדים על רקע המשבר הקורונה, משום שארגונים רבים נדרשו לעבור לעבודה מהבית. המשמעות היא, כי ליותר ויותר אנשים יש גישה למידע רגיש ביותר דרך הרשתות הביתיות, והעומס על מערכות האבטחה גבוה יותר.
כיום, כוח העבודה של חברות כולל את הצוות והלקוחות, אלא גם קבלנים, יועצים, חברות בנות, ספקים ועוד. כל אלה מחזיקים בנוכחות דיגיטלית וחשופים למידע של החברות. כך גם ניתן לראות כי ערוצי התקשורת המקובלים בין העובדים התחלפו ביישומי צ'ט ומסמכים משותפים. פגישות הוחלפו בשיחות ווידאו, וחל גידול בשימוש במחשבים האישיים לצרכי עבודה.
עבודה מהבית
איום פנימי נוסף, נובע מהסיבה הפשוטה כי משבר הקורונה והעבודה מהבית הביאו איתם זמן פנוי לעובדים. מנהל מחקרי האבטחה של מיקרוסופט, טנאמי גנצ'ריה (Tanmay Ganacharya): "הרבה אנשים תקועים בבית ומחפשים למלא זמן, ולא כולם מתכוונים לראות רק את מה שזמין באמצעות שירותי הצפייה בטלוויזיה אלא פונים לשירותי הסטרימינג. התוקפים משתמשים בכמה סרטים פופולריים כפתיונות. בכך הם מבטיחים שהמטען הזדוני שלהם יהיה חלק מהחבילות שהמשתמש בסופו של דבר מוריד". רק באפריל האחרון, מיקרוסופט זיהתה איומים אלו בקשר עם הסרטים 'ג'ון וויק 3', 'התפשטות' ועוד.
באילוסיב, חברת אבטחה פרו-אקטיבית מקבוצת Team8, סבורים כי בשבועות ובחודשים הקרובים תהיה קפיצה משמעותית באיומי סייבר פנימיים. לדברי המייסד ומנכ"ל החברה, עופר ישראלי, ניתן לזהות שני סוגים של איומים פנימיים - האחד, עובד שגונב את המידע שברשותו, אליו הוא מורשה להיחשף. השני, נוגע לעובדים שמנסים להשיג מידע שאין להם גישה אליו. באיום השני מטפלת אילוסיב, שכן מדובר ברעיון המשותף לאיום פנימי וחיצוני בו התוקף צריך למצוא את דרכו ברשת. אילוסיב חושבת כמו התוקף הפוטנציאלי, מנסה להבין איך הוא יתנהג ברגע שחדר לארגון, ליצור לו אשליות ומלכודות, עד התפיסה שלו. באילוסיב הושקעו עד היום 33 מיליון דולר, עובדים בה 100 איש, מרביתם בארץ, והשאר בארה"ב ובאירופה.
ישראלי מציין, כי בשנתיים האחרונות, התדירות והעלויות של האיומים הפנימיים עלתה באופן דרמטי. על פי מחקר מקיף שערכה אילוסיב, העלות הממוצעת של איומים פנימיים בחברה גדלה ב-31%, מ-8.76 מיליון דולר ב-2018 ל-11.45 מיליון דולר ב-2020. בנוסף, מספר אירועי האבטחה הפנימיים גדל ב-47%, מ-3,200 ב-2018 ל-4,716 ב-2020, כשבאופן מתבקש, יש קשר חיובי בין גודל החברה למספר האירועים עימם היא מתמודדת.
רשלנות עובדים
ישראלי מפנה את תשומת הלב לאיום פנימי משמעותי והוא רשלנות עובדים או קבלנים בשמירה על נהלי אבטחת מידע. על פי נתוני החברה, אירועים כתוצאה מרשלנות פנימית מהווים כ-62% מתוך אירועי האבטחה הפנימיים בשנתיים האחרונות, לעומת כ-23% אירועים בעלי אופי פלילי. במיפוי גלובלי, נמצא כי חברות הפועלות במזרח התיכון ובצפון אמריקה חוות אירועי אבטחה פנימיים בתדירות גבוהה יותר לעומת מדינות אסיה ואירופה.
אילוסיב נותנים דגש לאתגר פנימי נוסף המגיע מכיוון הבינה המלאכותית. בשנים האחרונות תחום הבינה המלאכותית זכה לעניין רב וארגונים רבים פעלו להטמיע מודלים של בינה מלאכותית במערכי הגנת הסייבר שברשותם. אלו נועדו לזהות פעולות אנומליות ברשת על ידי הבחנה בין התנהגות 'חשודה' ל'נורמלית' בקרב המשתמשים. ואולם, בתקופת משבר הקורונה, כאשר בבת אחת כולם עברו לעבוד מהבית, והעובדים מתחברים לעבודה בכל שעה אפשרית כולל בלילה, הרעיון של בינה מלאכותית משתבש לגמרי.
בהתחשב בכך שה'לא נורמלי' עשוי להפוך לשיגרה, האפקטיביות של המערכות הללו כמעט נעלמת ואלו אף מייצרות הרבה התראות שווא. בכך איבדו ארגונים רבים אלמנט חשוב באבטחתם. הדבר מקבל משנה חשיבות בקשר עם האיומים הפנימיים שחווים ארגונים, שכן אלו השתמשו בבינה מלאכותית גם על מנת לזהות תוקפים פנימיים. אילוסיב התייחסה לסוגיה ומציעה מערכת שתפקידה לזהות עובד שמחפש מידע שהוא לא אמור למצוא.
מערכות אינטרנט פגיעות
גם מיקרוסופט משקיעה מאמצים במיפוי סיכוני האבטחה הפנימיים, שעלו במשבר הנוכחי. נתוני החודשים האחרונים מראים, כי נקודות התורפה העיקריות הן מערכות אינטרנט פגיעות ובלתי-מנוטרות ובפרט פלטפורמות עבודה ישנות, אשר אינן מקבלות עוד תמיכה ועדכוני אבטחה, מערכות עבודה מרחוק, שירותי גיבוי ושרתי ניהול מערכות, מערכות בריאות אלקטרוניות ומערכות עם סיסמאות חלשות.
רוב לפרטס, סגן נשיא מיקרוסופט האחראי על מוצרי האבטחה, מסביר כי דפוסי ההתקפה אינם שונים מאלו אשר היו קיימים ערב משבר הקורונה, אבל מדובר בסוג שונה של 'פתיונות'. הפתיון כעת הוא מידע הקשור בנגיף כאמור, ונראה כי ככל שהאיום גדל - כך גם קצב המתקפות צובר תאוצה. לפרטס מסביר, כי הפחד מהמשבר הכלכלי מזוהה ומנוצל גם על ידי התוקפים הפנימיים. אלו משתמשים בפחד ובצורך של אנשים במידע במסגרת התקפות פישינג.
כך למשל, רמת הלחץ העולה סביב נגיף הקורונה מביאה אנשים רבים ללחוץ על הודעות דוא''ל, התראות סלולריות ועדכונים המבקשים, כביכול, להציג מידע חדש על הנגיף. לחיצה כזו מאפשרת לתוקפים להסתנן לתיבת הדואר הנכנס שלנו, לגנוב מידע, לשתף קישורים זדוניים עם עמיתים לעבודה ולמעשה, לחכות עד שיחזיקו בידיהם את המידע הרגיש ביותר, אשר יאפשר להם לסחוט סכומי כסף גבוהים.
