סכנות בארגונים ובעסקים: עובדים חושפים על איזה מידע ארגוני רגיש היו רוצים להניח את ידיהם
מאת:
מערכת Telecom News, 21.6.17, 17:11
סקר עובדים מדגיש, שאנשים מתוך הארגון או תוקפי סייבר המתחזים לעובדים לגיטימיים, הם אחד מאיומי האבטחה הגדולים ביותר על ארגונים כיום. מה המידע הרגיש הנחשק ביותר ע"י העובדים ובמה היו עובדים משנים את המידע לו יכלו לעשות זאת? יותר ממחצית (52%) מהעובדים במשרדים היו ניגשים לנתונים רגישים לו ידעו, שאין סיכוי שייתפסו.
חברת
סייברארק, שמגינה על ארגונים מפני מתקפות סייבר שחדרו אל תוך הרשת, ערכה מחקר החושף מה עובדים עלולים לעשות אילו הייתה להם אפשרות להגיע לנכסי מידע רגישים של החברה לרבות: משכורות, נתוני חופשות ומידע רגיש של משאבי אנוש.
המחקר נערך עבור סייברארק ע"י מכון הסקרים
Opinion Matters בקרב 1,008 עובדי משרדים בבריטניה, בחברות המעסיקות 250 עובדים יותר. סייברארק פעילה כחברה גלובלילת מהמטה ומרכז הפיתוח בישראל, מהמטה בניוטון, ארה"ב ומשרדים נוספים באירופה, אסיה פסיפיק ויפן.
הממצאים מדגישים את חשיבות השליטה בגישה להרשאות פריבילגיות, שעלולות להעניק לאנשים בתוך החברה ומחוץ לה גישה נרחבת וחופשית לנכסים החשובים ביותר של החברה.
לאילו נתונים היו העובדים רוצים להגיע?
המחקר מצא, שהמידע הנחשק ביותר הוא:
משכורות העמיתים לעבודה (26%),
שיחות שנערכו לגבי העובד (22%)
מידע רגיש של משאבי אנוש (20%).
לו העובד היה יכול לערוך שינויים במידע, שבמערכות החברה מבלי להיתפס:
יותר משליש (31%) היו מסדרים לעצמם העלאת שכר,
כמעט אחד מכל 5 (19%) היו מתגמלים את עצמם עם ימי חופש נוספים.
החדשות הטובות הן, שרוב העובדים, שהשיבו לסקר, מרוצים ממקום עבודתם. אולם, בקרב עובדים לא מרוצים הסיכון, שירצו לרגל אחד מידע פנימי של החברה, גדול פי 2 (61% לעומת 29%).
עובדים לא מרוצים ישמחו לוודא קודם כל:
שהם מתוגמלים כראוי (33%),
יחפשו רכילות משרדית על עצמם (27%),
ירצו לחשוף שחיתויות או חוסר אתיקה בחברה (20%),
ירצו לחשוף עובדים לא-ישרים או עצלים בארגון (18%).
הסיבה העיקרית, שאנשים אינם פורצים למחשבי החברה, היא ההכרה בכך, שמדובר במעשה לא מוסרי (40%). אולם, מעל רבע מהנשאלים (27%) אמרו, שההשלכות של היתפסות בקלקלתם הן אלו המרתיעות אותם.
עובד 1 מכל 5 (21%) אמר, שהיעדר כישורים טכניים מונע ממנו לנהוג כך. נתון זה רומז, שהרבה עובדים היו מתפתים לעשות מניפולציות בנתוני החברה לו ידעו, שלא ייתפסו.
מה עובדים היו עושים לו ידעו שלא ייתפסו?
יותר ממחצית (51%) הנשאלים אמרו, שהיו מוכנים ללכת צעד אחד נוסף ולפרוץ למערכות ולחשבונות המקוונים של חברות אחרות, אבל רק אם לא ייתפסו.
התשובות הפופולריות ביותר נגעו להטבות אישיות כגון:
היכולת להשיג ימי חופשה נוספים (23%),
העברת כספים לחשבון בנק פרטי (23%),
השגת אפשרות לעריכת קניות מקוונות בחינם (20%)
מחיקת הלוואות (14%).
עובדים אחרים הונעו ע"י מניעים פוליטיים יותר כגון שיבוש פעולותיהן של חברות לא מוסריות (14%), צפייה במודיעין ממשלתי סודי (11%), או שינוי חוקים (5%).
חן ביתן, (בתמונה), מנהל סייברארק ישראל, ואחראי על מטה החברה באירופה, אפריקה ואסיה: "צוותי האבטחה יודעים כבר זמן רב, שאחת הדרכים האפקטיביות ביותר לתוקפים להגיע למידע רגיש היא להתחזות לעובד לגיטימי של החברה ולהשתמש בהרשאות פריבילגיות קיימות כדי לשוטט ברשת הארגונית ולאסוף מודיעין מבלי לעורר חשד. הסקר מעיד על הפוטנציאל לפגיעה במידע של החברה כאשר אין בקרת גישה נאותה, כמהווה תזכורת לכך, שאנשים מתוך הארגון או תוקפי סייבר המתחזים לעובדים לגיטימיים הם אחד מאיומי האבטחה הגדולים ביותר על ארגונים כיום.
עברייני סייבר נעשים יותר ויותר אגרסיביים ומסלימים את התקפותיהם מהר מבעבר, בדיוק כפי שקרה במתקפת
WannaCry לאחרונה. לאור ההתקדמות ברמת התחכום של מתקפות הסייבר, והעובדה, שעברייני סייבר מסתתרים מאחורי הרשאות תקפות כדי לא להיתפס, חברות צריכות להיות ערניות מתמיד, לנטר ולבלום את דרכם של גורמי פנים לא רצויים, כדי להגן על נכסי המידע היקרים ביותר שלהן".