עובד מפוטר מנסה לחבל בחברה: כיצד למנוע אירועים דומים

כל מי שעוסק בניהול אבטחת מידע יודע שהחולייה החלשה בארגון היא העובדים.
כאשר בודקים את הסטטיסטיקה של אירועי אבטחת מידע בעולם, למעלה מ־60% מהאירועים מקורם בתקלת אנוש של עובד הארגון.

ומה אם העובד הוא איש IT – ואף גרוע מכך – הוא מנהל התשתיות הראשי של הארגון?
זה שיש לו את ההרשאות החזקות ביותר לכל המערכות הרגישות, הן בסביבה המקומית והן בסביבת הענן.
ולא רק זאת, חלק מהמנהלים מקבלים הרשאות של משתמשים חזקים אחרים שמשמשים כגיבוי לפתיחת סביבות חדשות, להקמת מערכות חדשות וכד'.

לאחרונה נתקלנו באירוע, ובו מנהל תשתיות בארגון פוטר בנסיבות מקצועיות.
בארגון יש מנהל תשתיות אחד בלבד בתפקיד זה המנהל את הרשת המנהלתית הארגונית.
ביום הפיטורין, בהתאם לנוהל החברה, ננעל המשתמש של העובד.
כמה ימים לאחר מכן, בבדיקה מקרית של אחת הסביבות, הסתבר כי מתבצעת פעילות באמצעות המשתמש של העובד המפוטר שאמור להיות נעול.
הפעילות שבוצעה באמצעות המשתמש הייתה מגוונת וכללה שינוי סיסמאות לעובדים בארגון, כניסה לקבצים בענן הארגוני וניסיונות פתיחה והקמת הרשאות שונות.

במהלך תחקור האירוע התברר כי בדיעבד למנהל התשתיות הייתה גישה לכמה משתמשים חזקים נוספים מלבד המשתמש האישי שלו, ובאמצעותם הוא הצליח לשפעל את המשתמש שלו ולבצע את הפעילות שמוזכרת לעיל.

כמובן שבעקבות החקירה נעשה איפוס סיסמה לכלל המשתמשים שבהם עשה שימוש המנהל המפוטר, ומאותו רגע לא הייתה לו עוד גישה למערכות הארגון ונמנע אירוע חמור יותר.

באמצעות אירוע זה נבקש להתייחס לסיכוני אבטחת מידע אפשריים מעובד בעל הרשאות חזקות:
1. לגורמי IT בארגון יש כוח משמעותי. הדבר מהותי ביותר בארגונים שבהם מספרם הוא קטן במיוחד (עד כדי עובד בודד).
2. תהליך פיטורין של עובד עלול ליצור רגשות שליליים חזקים של המפוטר לארגון.
3. גורם מפוטר בעל הרשאות חזקות יכול להפנות מאמצים לפגיעה בארגון שפיטר אותו.

דרכי התמודדות מומחי סייבר בכירים של IPV Security:

1. קודם כל, ברמה הארגונית יש להבין ולהפנים את סיכוני הסייבר הארגוניים הקיימים בשימוש במשתמשים עם הרשאות חזקות – וכמובן בהעסקת עובדים בעלי הרשאות כאלה.
2. רצוי שעובדי IT המגויסים לארגון יעברו תהליך השמה ייעודי, לפני תחילת עבודתם.
3. רצוי לחלק את ההרשאות הגבוהות בארגון בין כמה גורמים כדי למנוע הצטברות כוח אצל גורם יחיד.
4. במסגרת תהליך בקרה נדרש למפות את כלל המשתמשים החזקים בארגון ולוודא כי אין אדם אחד שיש לו גישה לרובם.
5. על עובדי IT להיות מיודעים ולהבין שהם מבוקרים כל העת על ידי גורם שווה ערך לפחות אליהם.
6. בארגונים שבהם אין גורם שווה ערך לגורם ה־IT, רצוי להכניס מערכת ניטור/בקרה על הרשאות חזקות (PAM – Privilaged Access Management) או PIM (Privilaged Identity Management).
7. במדיניות אבטחת המידע הארגונית ובנוהל "אבטחת מידע במשאבי אנוש" נדרש להתייחס לנושא פיטורין של עובד, ובדגש על עובד בעל הרשאות חזקות.
8. בנוהל נדרש להתייחס לסיכוני אבטחת המידע האפשריים בתהליך פיטורין כזה ולדרך ניהול תהליך הפיטורין מול העובד בהתאם לר"מ.
9. תהליך הפיטורין המעשי – תהליך זה נדרש להיות מנוהל בהיבטי אבטחת מידע בצורה זהירה ומבוקרת ובדגש על פיטורי עובדי IT:
   א. נדרש לבחון מראש (וללא ידיעת המיועד לפיטורין) את כלל ההרשאות שיש לעובד.
   ב. נדרש להגדיר תהליך מסודר שבו העובד המפוטר יפסיק לעשות שימוש הדרגתי/מיידי במשאבי הארגון.
   ג. בהתאם לתהליך בסעיף הקודם יש לבצע החלפת סיסמאות והסרת הרשאות של העובד המפוטר מכל מערכות הארגון (מקומי ובענן).
   ד. רצוי לבצע החלפת סיסמאות, ככל שאפשר, של כלל המשתמשים החזקים בארגון – וזאת למקרה שבו למפוטר יש ידיעה על סיסמאות משתמשים אלה.

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.