Violação de dados: o que a maior ameaça interna da Tesla em 2023 pode nos ensinar em 2024

Em 2023, a Tesla sofreu a maior ameaça interna do ano em maio, anunciando que havia sofrido uma violação massiva de dados, marcando o que é possivelmente a maior violação na história da empresa, com __ mais de 75.000 funcionários __e ex-funcionários tendo informações de identificação pessoal ( PII) vazou.

De acordo com os relatórios que apelidaram os dados roubados de “Arquivos Tesla”, o vazamento de 100 GB incluiu:

• Informações pessoais dos funcionários, como nomes, endereços, números de telefone e números de Seguro Social
• Dados bancários do cliente
• Segredos de produção
• Reclamações de clientes sobre os recursos Full Self-Driving (FSD) da Tesla

Até o CEO Elon Musk teve seu número de Seguro Social vazado.

Desde então, aprendemos que havia dois culpados por trás da violação: dois ex-funcionários da Tesla que enviou o enorme despejo de dados ao jornal alemão Handelsblatt.

A boa notícia para a Tesla é que o veículo anunciou que não publicará o conteúdo do vazamento. Como organização jornalística, especialmente na Alemanha, o Handelsblatt pode encontrar-se em maus lençóis por publicar PII das pessoas. No entanto, o editor observou o fato de que os vazamentos incluíam reclamações sobre questões de segurança com os veículos, o que ainda poderia causar bastante sofrimento à Tesla, já que escrever sobre essas questões poderia facilmente cair no balde de “interesse público” para os jornalistas.

A má notícia é que a empresa ainda pode estar em risco de US$ 3,3 bilhões em multas devido a violações de privacidade de dados sob o GDPR.

Embora o vazamento seja interessante por si só por razões de escala e de alvo de alto perfil, neste artigo analisaremos o papel que a promoção da lealdade dos funcionários pode desempenhar para ajudar a adulterar o desejo dos funcionários de se voltarem contra suas organizações.

Mas primeiro, vamos dar uma olhada na história da Tesla em lidar com ameaças internas.

História de incidentes de ameaças internas da Tesla

Esta não é a primeira vez que Tesla aparece nas manchetes em termos de um incidente de ameaça interna. Na verdade, a empresa tem uma mistura de informações no que diz respeito ao seu histórico de incidentes de ameaças internas ao longo dos anos.

Em 2018, Musk anunciou que um funcionário mal-intencionado havia conduzido "sabotagem extensa e prejudicial " para a empresa, exfiltrando grandes quantidades de dados e fazendo alterações em seus sistemas.

O funcionário teria ficado zangado por não ter recebido a promoção que pensava que iria receber e decidiu manifestar seu descontentamento por meios nada agradáveis.

Do outro lado da balança, em 2020, um funcionário alertou a empresa que havia sido abordado por um velho conhecido que tentou suborne-o para ajudar a realizar um ataque de ransomware . Graças ao aviso do funcionário, Tesla conseguiu impedir o ataque e o membro da tripulação do ransomware foi preso.

Em ambos os casos, vemos o dano potencial que um insider mal-intencionado pode causar à sua organização e, francamente, como pode ser fácil para ele ter sucesso.

Por que as ameaças internas são tão difíceis de impedir?

As ameaças internas são uma das mais difíceis de serem defendidas pelas organizações porque são usuários legítimos que já estão dentro dos seus sistemas.

Ao contrário de pessoas de fora que precisam roubar/phishing/comprar credenciais e depois derrotar o MFA, um insider é um usuário real dentro de sua organização que pode agir de forma totalmente normal até o momento em que não o faz.

Isso significa que não há indicadores de comprometimento e nenhuma credencial vazada aparecendo em “Fui enganado”. Freqüentemente, você não o detectará até que o dano esteja feito.

Um fator adicional é o fato de que muitas ameaças internas não são realmente maliciosas. Embora causem danos reais com seus vazamentos, eles agem de forma não intencional por meio de erros e negligência geral. De acordo com o Relatório de investigações de violação de dados da Verizon para 2023, descuido foi a causa de 98% dos erros que levaram a uma violação de dados.

Esta dificuldade de detecção tem levado muitas organizações a procurar formas de evitar incidentes antes que estes aconteçam, procurando estratégias de prevenção. É aqui que entra em jogo a questão da motivação e da lealdade.

Impactos negativos na lealdade dos funcionários

Ano após ano, o principal motivador para incidentes de ameaças internas é o ganho financeiro.

Você sabe, a boa e velha ganância.

E, no entanto, a semente que leva à traição é plantada muito antes de um funcionário decidir tomar medidas mais drásticas de roubar ou danificar os seus dados.

Olhando para o Relatório de investigações de violação de dados da Verizon para 2023 , os pesquisadores descobriram que 89% dos casos de uso indevido de privilégios foram motivados financeiramente, seguidos por “rancor” em 13%.

Então, o que leva a esse rancor?

De acordo com a tese de 2021 de Jacques Y. Kassa “ Modelando a relação entre lealdade e ameaça interna ” Na Escola de Pós-Graduação Naval em Monterey, CA, depressão, desesperança, frustração, descontentamento e raiva são fatores emocionais que influenciam as ameaças internas.

Não é uma visão inovadora, mas também sabemos que as organizações não investem esforço suficiente para verificar com os funcionários como eles se sentem em relação ao seu lugar na organização.

Kassa escreve que motivadores como ideologia, vingança, retribuição, espionagem e activismo são mais frequentes em organizações governamentais do que nos sectores civis. Talvez no caso da Tesla, tenha havido um desejo de partilhar alguns dos dados de segurança com o público, embora haja uma questão de saber se isto é ativismo ou retribuição.

Existem, no entanto, alguns fatores a serem observados.

Mal pago e subestimado

Ser bem remunerado pelo seu trabalho é o principal motivador para basicamente todos os funcionários. Melhor do que lanches extras ou atividades empresariais, os funcionários precisam sentir que são apreciados pelo seu trabalho, e a remuneração proporcional é um indicador claro desse reconhecimento e respeito.

Sentindo-se parte da equipe

Durante a pandemia, uma das dificuldades enfrentadas pelas organizações foi a manutenção da sensação de fazer parte da equipe pelos funcionários. Afastar-se significava não fortalecer os laços pessoais e informais que podem fazer uma pessoa sentir camaradagem com seus colegas de trabalho e impedi-la de querer causar-lhe danos.

Afinal, se essas são apenas pessoas que você vê nas ligações e nas cadeias de e-mail do Zoom, o que você deve a elas se surgir uma oportunidade melhor?

Isso tem sido principalmente um problema de retenção, mas também pode afetar as motivações de alguém que se torna mal-intencionado.

Demissões em massa e a grande renúncia

Estamos num momento cultural francamente diferente de onde estávamos há cinco ou dez anos.

A incerteza no mercado de trabalho é uma constante, com as organizações a despedirem grandes quantidades de trabalhadores em vagas massivas. Grandes empresas como a Amazon cortaram 27.000 trabalhadores no ano passado, enquanto a Microsoft demitiu 10.000 pessoas.

Isto levou ao sentimento justificado entre muitos de que as suas empresas não lhes são leais. Então, por que eles deveriam mostrar lealdade? Por que não pegar alguns dados de clientes ou IP valioso antes de ser aberto, se isso pode lhe dar uma vantagem em seu próximo trabalho?

Combine esta incerteza com a Grande Demissão que viu os trabalhadores abandonarem empregos que poderiam ter suportado por algo melhor. Talvez tenham encontrado um local melhor, algo totalmente remoto, ou com outras boas condições que decidiram procurar pastos mais verdes em outro lugar.

Muitos simplesmente olharam em volta e perceberam que muitos outros estavam deixando seus empregos, então por que não eles também?

3 dicas para reduzir o risco de ameaças internas

Dadas as formas como a lealdade dos funcionários pode ser diminuída, como podem as organizações melhorar os sentimentos positivos que os seus funcionários têm e reduzir o risco de um incidente de ameaça interna?

Aqui estão algumas sugestões.

Forneça uma saída para frustrações ou preocupações

Além da necessidade de se sentirem apreciadas, as pessoas precisam sentir que têm um lugar a quem recorrer quando algo as incomoda no trabalho.

Uma pergunta que qualquer empresa, especialmente um fabricante, deveria fazer é se os funcionários têm um lugar para ir onde possam expressar internamente preocupações éticas e garantir que elas sejam tratadas com a devida seriedade.

Se os trabalhadores não tiverem um canal interno para lidar com as preocupações, então poderão procurar opções noutro local.

Investir em educação e treinamento

Há uma questão interessante sobre quando se trata de incidentes acidentais causados por pessoas internas. Por um lado, eles não escolhem ativamente prejudicar o seu empregador, uma vez que o caso não é intencional. No entanto, por outro lado, a falta de interesse em seguir as directrizes devido à falta de um forte compromisso com a sua organização provavelmente desempenha um papel na ocorrência destes incidentes.

Lidar com atores não-maliciosos requer menos punições e mais incentivos para obter resultados. A formação e a educação podem desempenhar um papel fundamental na prevenção de incidentes.

As vantagens aqui podem ser duplas. Aprender os protocolos adequados para lidar com dados e sistemas confidenciais ensina como fazer o trabalho de maneira correta e segura. Também lhes dá um sentimento de propriedade.

Quando sua organização investe tempo e recursos para treiná-los sobre como serem melhores em seu trabalho e proteger a organização, aumentam as chances de que eles tentem implementar o que aprenderam nos cursos.

Incentive, mas verifique com análise comportamental do usuário

Mesmo enquanto trabalhamos para aumentar o nível de confiança dos funcionários, precisamos implementar medidas para verificar se as pessoas estão se comportando da melhor forma.

Isso significa implementar ferramentas de Análise Comportamental do Usuário para monitorar continuamente o comportamento, a fim de estabelecer uma linha de base de atividade. Depois de entendermos como as pessoas normalmente interagem com os sistemas com os quais têm direito de trabalhar e pensarmos sobre quais aplicativos, conjuntos de dados, etc., elas interagem regularmente, então poderemos detectar quando elas começam a agir de forma anômala.

A maioria dos casos de ameaças internas segue padrões semelhantes, pois fazem com que os agentes da ameaça abusem de seus privilégios e encontrem maneiras de exfiltrar seus dados furtados. Ao monitorar arquivos confidenciais, podemos ver quem os está acessando e, potencialmente, quem está saindo dos limites e precisa ser acompanhado.

A lealdade é conquistada, não um dado

Uma nota para esclarecimento. As empresas não são famílias. Eles contratam, demitem, reduzem o tamanho e trabalham em seu próprio interesse. A maioria de nós não demite nossos familiares, mesmo que às vezes queiramos.

Os funcionários têm o mesmo direito de deixar uma organização se sentirem que as suas próprias necessidades não estão sendo atendidas. Ter lealdade a uma empresa não significa que alguém deva ficar se não estiver satisfeito.

O que isto significa é que, se a organização agir adequadamente, gerará boa vontade suficiente para manter os funcionários no caminho ético e legal de não roubar os seus dados ou tentar causar-lhes danos.

E isso pode ser suficiente para ajudar a difundir e prevenir um potencial incidente.