אבטחת מידע באינטרנט / צילום: shutterstock
סיפור הסחיטה של בנק לאומי הוא עניין לאומי. לסיכון בנפילת בנק בגלל רמאות עובד תתכנה השלכות לאומיות לא פחות מאשר ליחס הלימות ההון של הבנקים.
בבנק לאומי חששו בצדק מהנזק שיכולים לגרום הסוחטים - לבנק HSBC שפרטי לקוחותיו נחשפו על ידי עובדים נגרם נזק עצום ובלתי הפיך. צריך להזכיר את אתי אלון והבנק למסחר שקרס? זוכרים את עובדת של חברת YES גרמה לאבדן של 24 מיליון שקל שהם כמעט יותר מהרווחים של החברה.
חברות רבות משקיעות משאבים בסינון עובדים אך ערכו של סינון העובדים מוגבל. לראיה - מרבית הנזקים המשמעותיים ביותר לארגונים בישראל נגרמים על ידי עובדים שהתקבלו לעבודה. האפשרויות של המעסיק לזהות עובד מתוחכם שמהווה סיכון ועלול לגרום נזק מהותי לארגון קטן או אפסי.
מערכות עקיבה ממוחשבות שבודקות את ההתנהגות המיחשובית של העובד נדחפות לארגון על ידי אנשי מחשבים. אלו מבינים במחשבים ופחות בבני אדם. מערכות אלה בודקות האם העובד הוריד הרבה קבצים, האם הוא צילם או הדפיס הרבה מסמכים, האם הוא נכנס ללא הרשאה לקבצים וכדומה.
ההנחה משוללת היסוד של מערכות אלו היא, שכדי לבצע עבירה על העובד לחרוג מההתנהגות המצופה ממנו ולעשות משהו טיפשי וברור.
שיטה זו לא הייתה עוצרת את סנואדן, או את וענונו או ענת קם וגם לא את סחטני ויזה לאומי. התמקדות רק בהתנהגות מחשובית של העובדים לא ימנע מעובד מתוחכם או אפקטיבי לבצע את זממו האפל.
בנקים וחברות אשראי משתמשות בטכנולוגיות הקיימות בשל רגולציה ובכדי לספק הגנה מינמלית מאיומים שונים. מודל השבעת הרצון. למצער, טכנולוגיות אלו מביאות מעט תועלת והן ובעיקר מייצרות התרעות שווא False Positive של יותר מ- 99%. מהר מאוד הבקרים מתעייפים מלעקוב אחרי התרעות השווא ("כשל מיומן") ולבסוף מתעלמים מהן כדרך שיגרה.
עובדים שגונבים מאופיינים במוטיבציה והזדמנות. העובד ה"תוקף" יפעל כאשר הכוונה שלו וההזדמנות יפגשו. השיטות הרווחות מניחות שהעובד שעומד לתקוף טיפש מספיק בכדי לפעול בצורה שתעורר אוטומטית את המנגנונים של המעקב.
היום רבים מבינים שיש להתמקד בעובד ולא רק בהתנהגות הצפויה שלו. השינוי המוצע הוא להשתמש בשיטה לאתר עובד שסרח או עומד לגנוב על פי כוונותיו ועל פי התנהגותו. שיטה זו מתבססת על טכנולוגיות המתמקדות בגורם האנושי ובהתנהגות העובדים.
המתודולוגיה פותחה על ידי בסיס גישת השב"כ ואלעל - בניית פרופיל סיכון של העובדים. הרעיון הוא שיש להתמקד בעובדים המסוכנים ביותר בעלי הנגישות המרבית למידע. במסגרת השיטה נבדקים העובדים באמצעות מבחן יעודי (מאבחן סיכון) בקבלתם לעבודה ומידי שלושה חדשים. תוצאות המבחן מוצלבות עם ממידע מתחום משאבי האנוש: האם העובד מקבל הערכות חיוביות אן שליליות מהממונים עליו? האם ביקש העלאת שכר ולא קיבל? האם דיווח או התלונן על תנאי עבודתו? האם נעדר רבות? האם העובד עומד לעזוב?
המדד השלישי למסוכנות העובד היא נגישות של העובד למערכות קריטיות וסודות של הארגון. ברור שלמנהלים בכירים נגישות גבוהה למידע, אך דווקא גם אלו שמחוץ לרדאר כמו אנשי ניקיון, טכנאים, אנשי תחזוקה ועובדי מחשבים יש נגישות גבוה ביותר.
לכן יש לבדוק לגבי כל עובד גם כפיפות, שיוך ארגוני, ותק, גיל ומרכיבים נוספים מהם בונים פרופיל שחייב להתעדכן בתדירות חודשית לפחות. בנוסף לאלה אך רק כמרכיב בתמונה הגדולה בוחנים גם את מידע על התנהגותו של העובד.
הייחוד של השיטה הוא בכך שהיא מאפשרת לזהות עובדים המתכוונים או הפועלים לפגוע מעביד על סמך התנהגותם האנושית, הנבחנת והמושוות. כך סחטני ויזה לאומי היו נתפסים בשלב מוקדם של מעשיהם או זוכים ליתר תשומת לב של מנהלי אבטחת המידע.
מעבר לאיתור עובדים שסרחו לתפיסה זו יש הלשכה חשובה אחרת - הרתעה. עובד שיודע שבודקים אותו חושש יותר לבצע פשע.
מדוע שיטה זו לא כובשת את עולם הארגונים הפיננסיים בישראל?
אנשי כוח אדם וארגוני העבדים חוסמים זאת. טענתם של אלו מסתמכת על ההנחה שעובד נבדק הוא עובד מתוסכל וסובל. על הציבור ועל המפקח על הבנקים לשאול שאלה לגיטמית: מה יותר חשוב - תחושת העובדים שנותנים בהם אמון או הביטחון הכלכלי של כולנו.
שבתאי שובל מיסד שותף של חברת SDS המפתחת פתרונות סייבר למניעת איום פנימי בארגונים