データ侵害: 2023 年のテスラ最大のインサイダー脅威が 2024 年に向けて私たちに教えてくれること

2023 年、テスラは 5 月に今年最大の内部関係者による脅威にさらされ、大規模なデータ侵害に見舞われたと発表しました。これはおそらく同社史上最大の侵害となり、__ 75,000 人を超える従業員と元従業員が個人を特定できる情報を保持していました ( PII）が漏洩した。

盗まれたデータを「テスラファイル」と名付けた報告書によると、100 GBの漏洩には次のものが含まれていました。

• 従業員の名前、住所、電話番号、社会保障番号などの個人情報
• 顧客の銀行詳細
• 制作秘話
• テスラの完全自動運転 (FSD) 機能に関する顧客の苦情

CEOのイーロン・マスクでさえ社会保障番号が漏洩したと伝えられている。

その後、この侵害の背後には 2 人の犯人がいることがわかりました。 元テスラ従業員2名ドイツの新聞ハンデルスブラットに大量のデータダンプを送信した人物。

テスラにとって良いニュースは、同アウトレットがリーク内容を公表しないと発表したことだ。ジャーナリズム組織として、特にドイツにおいて、ハンデルスブラットは人々の PII を公開するという問題に直面する可能性があります。しかし、出版社は、リークには車両の安全上の問題に関する苦情が含まれているという事実に言及しており、これらの問題について書くことはジャーナリストにとって容易に「公益」の対象となる可能性があるため、テスラは依然としてかなりの悲しみを引き起こす可能性がある。

悪いニュースは、同社が依然として危機に瀕している可能性があるということだ33億ドルGDPR に基づくデータプライバシー違反による罰金。

規模の大きさと注目度の高い標的という理由から、このリーク自体は興味深いものですが、この記事では、従業員との忠誠心を育むことが、反抗したいという従業員の欲求を抑制する上でどのような役割を果たすことができるのかを見ていきます。彼らの組織。

しかしその前に、テスラが内部関係者の脅威に対処してきた歴史を見てみましょう。

テスラのインサイダー脅威事件の歴史

テスラが内部関係者による脅迫事件で見出しを飾ったのはこれが初めてではない。実際、同社の長年にわたるインサイダー脅威事件の歴史に関しては、賛否両論ある。

2018年、マスク氏は悪意のある従業員が「大規模で有害な妨害行為」と同社に報告し、大量のデータを抽出し、システムに変更を加えました。

伝えられるところによると、この従業員は、期待していた昇進が得られなかったことに腹を立て、あまり喜ばしい手段ではない手段で不満を知らせることに決めたという。

スケールの反対側では、2020 年に従業員が、旧知の人物からアプローチを受けていると会社に通報しました。彼に賄賂を渡してランサムウェア攻撃の実行を手伝ってもらう。従業員の警告のおかげで、テスラは攻撃を阻止することができ、ランサムウェアの乗組員は逮捕されました。

どちらの場合も、悪意のある内部関係者が組織に引き起こす可能性のある潜在的な損害と、率直に言って、彼らが成功することがいかに簡単であるかがわかります。

内部関係者の脅威を阻止するのはなぜこれほど難しいのでしょうか?

内部関係者の脅威は、すでにシステム内に存在する正規のユーザーであるため、組織にとって防御が最も困難な脅威の 1 つです。

認証情報を盗んだり、フィッシングしたり、購入したりして MFA を破る必要がある部外者とは異なり、内部関係者は、組織内の実際のユーザーであり、そうでない瞬間まで完全に通常通りに行動できます。\

これは、侵害の痕跡がなく、「Have I been Pwned」に認証情報の漏洩が表示されないことを意味します。多くの場合、損傷が発生するまで検出されません。

追加の要因は、多くの内部関係者による脅威が実際には悪意のあるものではないという事実です。彼らは漏洩によって実害を引き起こしますが、間違いや一般的な過失によって意図せずに行動します。 2023 年の Verizon データ侵害調査報告書によると、 不注意データ侵害につながるエラーの 98% は、これが原因でした。

この検出の難しさにより、多くの組織は予防戦略を検討しながら、インシデントが発生する前に防止する方法を模索するようになりました。ここで、モチベーションと忠誠心が問題になります。

従業員の忠誠心に悪影響を与える要因

毎年、インサイダー脅威事件の最大の動機は金銭的利益です。

ご存知のように、古き良き時代の貪欲さ。

しかし、裏切りにつながる種は、従業員がデータを盗んだり損害を与えたりするというより大胆な措置を講じることを決定するずっと前に植え付けられています。

見てみると、 2023 年の Verizon データ侵害調査レポート研究者らは、特権悪用事件の89％が金銭的動機によるもので、次いで「恨み」が13％であることを発見した。

では、何がその恨みにつながるのでしょうか？

ジャック・Y・カッサの2021年の論文によると、「 忠誠心と内部関係者の脅威の関係のモデル化カリフォルニア州モントレーの海軍大学院では、憂鬱、絶望、フラストレーション、不満、怒りはすべて、内部関係者の脅威に影響を与える感情的要因です。

画期的な洞察ではありませんが、組織が従業員に組織内の自分の立場についてどう感じているかを確認することに十分な労力を費やしていないこともわかっています。

カッサ氏は、イデオロギー、復讐、報復、スパイ行為、活動などの動機は民間部門よりも政府組織で頻繁に起こると書いている。おそらくテスラの場合、安全性データの一部を一般の人々と共有したいという願望があったのかもしれないが、これが活動なのか報復なのかという問題はある。

ただし、注意すべき要素がいくつかあります。

過小報酬と過小評価

仕事に対して十分な報酬が得られることは、基本的にすべての従業員にとって最大のモチベーションとなります。追加のおやつや会社の活動よりも、従業員は自分の仕事が評価されていると感じる必要があり、それに見合った報酬はその認識と敬意の明確な指標です。

チームの一員であると感じる

パンデミック中、組織が直面した困難の 1 つは、従業員がチームの一員であるという意識を維持することでした。リモートになるということは、同僚との友情を感じさせ、同僚に危害を加えようとする意欲を思いとどまらせる、対面での非公式な絆を強化しないことを意味します。

結局のところ、これらが Zoom 通話や電子メールのチェーンでよく見かける人々だったとしたら、より良い機会が訪れた場合、あなたは彼らに何をする義務があるでしょうか?

これは主にリテンションの問題ですが、悪意のある人物の動機にも影響を与える可能性があります。

大量解雇と大規模な退職

私たちは、5 年前、10 年前とは率直に言って異なる文化的な瞬間にいます。

雇用市場の不確実性は常にあり、企業は大量の労働者を大規模な解雇を行っています。アマゾンのような大手企業が値下げ27,000 Microsoftは過去1年間に従業員を解雇してきたが、 10,000人々。

このため、多くの人が、自分の会社は自分たちに対して忠実ではないという当然の感情を抱くようになりました。では、なぜ彼らは忠誠を返さなければならないのでしょうか？次の仕事で有利になる可能性があるなら、ドアを案内される前に顧客データや貴重な知的財産を取得してみてはいかがでしょうか?

この不確実性と、労働者がより良い仕事を求めて我慢していたかもしれない仕事を辞めるという大規模な退職を組み合わせてみましょう。おそらく彼らは、より良い場所、完全に人里離れた場所、または他の良い条件を見つけて、より緑の牧草地を別の場所に探すことに決めたのかもしれません。

多くの人はただ周りを見回して、他の人もたくさん仕事を辞めているのを見て、なぜ彼らも辞めるのでしょうか?

内部関係者による脅威のリスクを軽減するための 3 つのヒント

従業員のロイヤルティが低下する可能性があることを考慮すると、組織はどのようにして従業員のポジティブな感情を改善し、内部関係者による脅威インシデントのリスクを軽減できるでしょうか?

ここでいくつかの提案を示します。

不満や懸念のはけ口を提供する

感謝されていると感じる必要があるだけでなく、仕事で何か悩んでいるときに頼れる場所があると感じる必要もあります。

あらゆる企業、特に製造業者が問うべき質問は、従業員が社内で倫理的懸念を表明し、彼らが相応の真剣さをもって対応されているかどうかを確認できる居場所があるかどうかです。

従業員が懸念事項に対処するための社内チャネルを持っていない場合、従業員は他の場所で選択肢を探す可能性があります。

教育とトレーニングへの投資

偶発的な内部関係者による事件に関しては、興味深い質問があります。一方で、この事件は意図的なものではないため、彼らは積極的に雇用主に損害を与えることを選択しません。しかし、その一方で、組織への強い取り組みの欠如によるガイドラインに従うことへの関心の欠如が、おそらくこれらの事件の発生に影響を及ぼしていると考えられます。

悪意のない攻撃者に対処する場合、結果を得るには、より少ないムチとより多くのアメが必要です。トレーニングと教育は、インシデントを防ぐ上で重要な役割を果たします。

ここでの利点は 2 つあります。機密データとシステムを扱うための適切なプロトコルを学ぶことで、仕事を正しく安全に行う方法がわかります。それはまた彼らに所有感を与えます。

組織が時間とリソースを投資して、仕事をより良くし、組織を守る方法を研修することで、コースで学んだことを実践しようとする可能性が高まります。

ユーザー行動分析で奨励しながらも検証する

従業員との信頼レベルを高めるよう努める一方で、従業員が最善の行動をとっているかどうかを確認するための措置を講じる必要があります。

これは、アクティビティのベースラインを確立するために、行動を継続的に監視するためのユーザー行動分析ツールを導入することを意味します。人々が通常、使用する権利のあるシステムとどのように対話するかを理解し、どのアプリケーションやデータセットなどと定期的に対話するかを考えれば、人々が異常な動作をし始めたときを検出できるようになります。

ほとんどのインサイダー脅威事件は、攻撃者が権限を悪用し、盗んだデータを抜き出す方法を見つけるという点で同様のパターンに従います。機密ファイルを監視することで、誰がファイルにアクセスしているのか、また潜在的に境界線を踏み外しフォローアップが必要な人物が誰かを確認できます。

忠誠心は与えられるものではなく、獲得するものです

説明のために 1 つ注意してください。会社は家族ではありません。彼らは私利私欲のために雇用、解雇、人員削減を行い、働いています。私たちのほとんどは、時には解雇したくても、家族を解雇しません。

従業員は、自分のニーズが満たされていないと感じた場合、組織を離れる同じ権利を有します。会社に忠誠心を持っているからといって、満足していない人が会社に留まるべきというわけではありません。

これが意味するのは、組織が適切に行動すれば、従業員がデータを盗んだり危害を加えたりしないという倫理的かつ法的な道を歩むのに十分な善意が生まれるということです。

そして、それは潜在的なインシデントを拡散させ、防止するのに十分役立つ可能性があります。