fbpx

אפס אמון נגד האיום הפנימי

אפס אמון נגד האיום הפנימי

 

הנזק הפוטנציאלי מצד האיום הפנימי הוא אחד הכבדים ביותר אותו ארגון מסוגל לספוג. לרוב, הנזק יהיה ברובו כלכלי, אך לצידו יהיה גם נזק תדמיתי. בשניהם יש כדי לחבל ברציפות התפקודית של הארגון, ואף לגרום לקריסתו.

הנזק מהאיום הפנימי, אשר נגרם בשוגג או בזדון, ובמקרים רבים חוצה את הסף הפלילי, הוא רחב יותר מהמיוחס לו – הן בזהות 'האויב' והן באופי 'הדפ"א'. לדוגמה: 'האויב' יכול לקום מקרב העובדים, אך גם מקרב הספקים, חוליות בשרשרת האספקה או כל גורם אחר אשר מקיים ממשקים מול הארגון.

במסגרת ההגנה מפני האיום הפנימי, ארגונים רבים מאמצים את המתודה 'אפס אמון' (Zero Trust).

במתודה זו, אשר לקוחה מהנישה של הגנת סייבר, האבטחה בארגון נותנת אפס אמון (Zero Trust) בחומות ההגנה של הרשת הפנימית הסגורה, ומתנהלת תחת הנחה בסיסית לפיה יש בה הפרות ופרצות, ולפיכך יש לאמת מחדש כל בקשה, כאילו מקורה הוא ברשת החיצונית הפתוחה. כלומר, אפס אמון מחייב אימות תמידי, לרבות פילוח ומידור מקסימלי מחד, ומתן הרשאות גישה מינימליות מאידך.

והנה, למרות שהמתודה קיימת מזה שנים, אנו חווים רק גידול והסלמה במקרים של נזק מאת איומים פנימיים. בנוסף, אנו חווים נזקים מסוג זה גם ממקורות נוספים מלבד הסייבר. דו"ח גלובלי מלמד שבמהלך השנתיים בין 2018 לבין 2020, כמות המקרים בהם ארגונים חוו נזקים מאת גורמים פנימיים נסקה ב-47%.

ישנו קונצנזוס בלתי ניתן להזמה שהאיום הפנימי קיים, והסכנה מפניו יכולה להיות קיומית. ובכל זאת, בהיותנו אנושיים קשה לנו להתמודד איתו ברמה האישית, שהרי נדרש בכך להטיל חשד ודופי בחברים לעבודה, חלקם אפילו הם חברים גם מחוצה לה. הדוגמה הקלאסית היא הסיפור של אתי אלון בבנק למסחר.

בצל קורונה, גם בשל המצב במשק וגם בשל העבודה מרחוק או במתכונות חדשות ובלתי מבוססות, אנו חווים גידול נוסף בנזקים מצד 'אויבים' פנימיים.

פתרונות לצמצום הנזקים מצד האיומים הפנימיים ניתנים ליישום רק אחרי בחינה וניתוח של הארגון, לרבות כוח האדם, ההיררכיה, התהליכים, הנהלים וכו', מבפנים החוצה, גם כלפי הגורמים אשר מקיימים מול הארגון יחסי גומלין. ניתוח כזה יציף את החוליות החלשות, נקודות התורפה, ואת ההפרות והפרצות. סימון מוקדם שלהן יוביל את ההנהלה לתהליך בניית תוכנית התמודדות איתן, והקצאת משאבים בהתאם.

שאלות לדוגמה אותן מומלץ לשאול בניסיון להציף את 'החוליות החלשות':

  • מיהו העובד בלעדיו לא ניתן להסתדר?
  • מיהו העובד השולט בפרטים ולמזלנו מכיר את כל הפרטים הקטנים?
  • מיהו העובד, שחלק מהלקוחות מעדיפים לעבוד רק איתו?

בהקשר זה, חשוב לציין שהכוונה במונח 'חוליות חלשות' היא לחוליות בהן קיים פוטנציאל לאיום פנימי. בשלב הראשון, חובתנו היא להכיר בפוטנציאל האיום, לבחון, לנתח ולהתייחס.

מנהלים חייבים להציף את סימני השאלה – מהם האתגרים החדשים אשר מייצרים איומים חדשים? מהן החוליות החלשות בארגון? מהן הדרכים לצמצום פוטנציאל האיום והנזק? האם סיפקנו לכלל הגורמים הרלוונטיים את כלל הכלים הרלוונטיים להתמודדות מול האיומים?

התשובות לשאלות הללו הן המפתח להתמודדות אסטרטגית וטקטית אל מול האיום הפנימי.

מהבחינה הזו, המתודה של 'אפס אמון' (Zero Trust), אשר דוגלת בתפיסה מחמירה ביותר של האבטחה בארגון, בייחוד מול האיומים הפנימיים, מהבית, יכולה להיות מיושמת גם ברמת ההנהלה וגם ברמת מנהלי הביטחון. ההנחה הבסיסית לפיה קיימים איומים פנימיים, מחייבת ליצור מנגנוני הגנה פנימיים מחמירים בהתאם.

תוכנית מבוססת סקירה, בחינה וניתוח תקופתיים של החוליות החלשות, של פוטנציאל האיום, תקדם התייחסות והתמודדות שוטפת מולן. לרבות, מהלכים יזומים לצמצום פוטנציאל האיום והנזק כגון שינויים במבנה הארגוני, בשיבוץ התפקידים, בשיבוץ הלקוחות, באישור הספקים, בנהלים ובהנחיות וכד'.

לצד זאת, רצוי וחשוב לקיים שגרה ארגונית בה מתקיימים המרכיבים הבאים:

הדרכה – בנייה ויישום של תוכנית הדרכה שנתית לעובדים בנושאים הרלוונטיים לצמצום האיומים הפנימיים, אשר מספקת כלים ונהלים. יש להדגיש, הדרכה או תרגול בבודדת, ברמת 'יציאה ידי חובה', היא בלתי אפקטיבית. הארגון צריך ליישם תוכנית אשר תשמר ותחזק את הדריכות לאורך זמן, כך שזו תהיה חלק מהשגרה.

ביקורת – בנייה ויישום של תוכנית ביקורת שנתית, במסגרות וברמות שונות של בדיקה, אשר תבחן את הארגון בקשת רחבה ומגוונת של תרחישים. ביקורת תאפשר לזהות חוליות חלשות בזמן אמת, ובמקביל, לשמר ולחזק את הדריכות.

טכנולוגיה – שימוש בטכנולוגיות הגנה למיניהן, אשר מסוגלות לנטר בזמן אמת אודות הפרות וחריגות בהתנהלות העובדים והגורמים האחרים בשרשרת האספקה. שילוב טכנולוגיה רלוונטית יכול להפחית באחוזים גבוהים את פוטנציאל האיום והנזק של האיום הפנימי.

כאמור, נזקים רבים נגרמים בשוגג, החל בשגיאות, בהיסח, בהזנחה, דרך רשלנות, זלזול בנהלים וכד' (61%). במקרים אחרים, נזקים נגרמים גם בזדון, בכוונה תחילה. כך או כך, פוטנציאל הנזקים שמקורם בגורמים פנימיים הוא גדול, ובמקרים קיצוניים יש בו כדי לחבל ברציפות התפקודית של הארגון ואף לגרום לקריסתו.

ההתמודדות מול האיום הפנימי היא קשה, היות שהיריב הוא מתוך הבית. במקרים רבים הוא שקוף, ואף נראה בלתי מאיים. לפיכך, ישנה חשיבות גדולה הן להכרה באיום הפנימי והן להתמודדות השוטפת מולו דרך תוכניות שנתיות, מובנות ושיטתיות, לצורך צמצום פוטנציאל האיום והנזק. התוכניות נדרשות להתייחס לשלל הגורמים הרלוונטיים בתוך הארגון, לרבות שרשרת האספקה המתממשקת איתו.

 


 

חומרים משלימים:

משוב
140
2 תגובות
  1. מאמר מצוין. כל הכבוד.

  2. טל,

    מאמר חשוב שיש בו כדי לתזכר שוב את קשת האיומים הרחבה (והמתרחבת) איתה נדרשים להתמודד ארגונים, ולרוב מצויה תחת אחריות מנהל הביטחון.

    תודה ששיתפת.

תגובה חדשה