Isaac Kohen is the VP of R&D of Teramind https://www.teramind.co
This story contains new, firsthand information uncovered by the writer.
2023'te Tesla, Mayıs ayında yılın en büyük içeriden gelen tehdidini yaşadı ve büyük bir veri ihlaline maruz kaldığını duyurdu; bu, __ 75.000'den fazla çalışanın __ ve eski çalışanların kişisel olarak tanımlanabilir bilgilere sahip olduğu şirket tarihindeki muhtemelen en büyük ihlaldir ( PII) sızdırıldı.
Çalınan verileri "Tesla Dosyaları" olarak adlandıran raporlara göre 100 GB'lık sızıntı şunları içeriyordu:
CEO Elon Musk'un bile Sosyal Güvenlik numarasının sızdırıldığı bildirildi.
O zamandan beri, ihlalin arkasında iki suçlunun olduğunu öğrendik:
Tesla için iyi haber ise kanalın sızıntının içeriğini yayınlamayacağını duyurmuş olması. Özellikle Almanya'da bir gazetecilik kuruluşu olarak Handelsblatt, insanların kişisel bilgilerini yayınlama konusunda kendisini zor durumda bulabilir. Bununla birlikte yayıncı, sızıntıların araçlarla ilgili güvenlik sorunlarıyla ilgili şikayetleri de içerdiğini belirtti; bu sorunlar Tesla'ya hala oldukça büyük bir üzüntü yaşatabilir çünkü bu sorunlar hakkında yazmak gazeteciler için kolaylıkla "kamu yararı" kapsamına girebilir.
Kötü haber şu ki şirket hala işin içinde olabilir
Sızıntı, ölçek ve yüksek profilli hedef nedeniyle başlı başına ilginç olsa da, bu makalede, çalışanlar arasında sadakati teşvik etmenin, çalışanların karşı çıkmak istedikleri arzularını bozmaya yardımcı olmada oynayabileceği role bakacağız. onların örgütleri.
Ama önce Tesla'nın içeriden gelen tehditlerle mücadele geçmişine bir göz atalım.
Bu, Tesla'nın içeriden gelen bir tehdit olayı açısından manşetlerde yer alması ilk kez değil. Aslında şirket, yıllar içindeki içeriden tehdit olaylarının geçmişine gelince karışık bir durumla karşı karşıya.
Musk, 2018 yılında kötü niyetli bir çalışanın bu eylemi gerçekleştirdiğini açıklamıştı "
Çalışanın, kendisine geleceğini düşündüğü terfiyi alamamasından dolayı öfkeli olduğu ve hoşnutsuzluğunu pek de hoş olmayan yollarla duyurmaya karar verdiği bildirildi.
Terazinin diğer tarafında, 2020'de bir çalışan, eski bir tanıdığının kendisine yaklaştığı konusunda şirketi uyardı.
Her iki durumda da, kötü niyetli bir kişinin organizasyonlarına verebileceği potansiyel zararı ve açıkçası başarılı olmanın onlar için ne kadar kolay olabileceğini görüyoruz.
İçeriden gelen tehditler, kuruluşların savunması en zor tehditlerden biridir çünkü bunlar zaten sistemlerinizin içinde bulunan meşru kullanıcılardır.
Kimlik bilgilerini çalması/kimlik avlaması/satın alması ve ardından MFA'yı yenmesi gereken dışarıdakilerin aksine, içeriden biri, kuruluşunuz içinde, öyle davranmadığı ana kadar tamamen normal davranabilen gerçek bir kullanıcıdır.\
Bu, "Pwned oldum mu?" bölümünde herhangi bir uzlaşma belirtisinin veya sızdırılmış kimlik bilgilerinin görünmediği anlamına gelir. Hasar meydana gelene kadar çoğu zaman bunu tespit edemezsiniz.
Ek bir faktör de içeriden gelen tehditlerin çoğunun aslında kötü amaçlı olmamasıdır. Sızıntılarıyla gerçek anlamda zarara yol açarken, hata ve genel ihmal yoluyla farkında olmadan hareket ederler. Verizon'un 2023 Veri İhlali Araştırmaları Raporu'na göre,
Tespit etmedeki bu zorluk, birçok kuruluşun olayları gerçekleşmeden önce önlemenin yollarını aramasına ve önleme stratejileri aramasına yol açmıştır. Motivasyon ve sadakat meselesinin devreye girdiği yer burasıdır.
Yıllar geçtikçe, içeriden tehdit olaylarının bir numaralı motivasyon kaynağı mali kazançtır.
Bilirsin, eski moda açgözlülük.
Ancak yine de ihanete yol açan tohum, bir çalışanın verilerinizi çalmak veya ona zarar vermek gibi daha sert adımlar atmaya karar vermesinden çok önce ekilir.
Bakıyor
Peki bu kin neden oluyor?
Jacques Y. Kassa'nın 2021 tezine göre “
Çığır açıcı bir içgörü olmasa da kuruluşların, çalışanlarının kuruluştaki yerleri hakkında ne hissettiklerini öğrenmek için yeterince çaba harcamadıklarını da biliyoruz.
Kassa, ideoloji, intikam, intikam, casusluk ve aktivizm gibi motivasyon unsurlarının sivil sektörlere göre devlet kurumlarında daha sık görüldüğünü yazıyor. Belki Tesla örneğinde güvenlik verilerinin bir kısmını kamuoyuyla paylaşma isteği oluşmuş olabilir, ancak bunun aktivizm mi yoksa intikam mı olduğu sorusu var.
Ancak dikkat edilmesi gereken birkaç faktör var.
Yaptığınız işin karşılığında iyi bir ücret almak, temelde her çalışan için en önemli motivasyon kaynağıdır. Çalışanların, ekstra atıştırmalıklardan veya şirket faaliyetlerinden daha iyi bir şekilde, yaptıkları iş için takdir edildiklerini hissetmeleri gerekir ve orantılı ücret, bu takdir ve saygının açık bir göstergesidir.
Pandemi sırasında kuruluşların karşılaştığı zorluklardan biri de çalışanların takımda olma duygusunu sürdürmeleriydi. Uzaklaşmak, bir kişinin iş arkadaşlarıyla yoldaşlık hissetmesini sağlayacak ve onları onlara zarar vermekten caydıracak kişisel, resmi olmayan bağları güçlendirmemek anlamına geliyordu.
Sonuçta, eğer bunlar sadece Zoom aramalarında ve e-posta zincirlerinde gördüğünüz insanlarsa, daha iyi bir fırsat ortaya çıkarsa onlara ne borçlusunuz?
Bu öncelikle elde tutma konusunda bir sorun olmuştur, ancak aynı zamanda birinin kötü niyetli davranma motivasyonunu da etkileyebilir.
Açıkçası beş ya da on yıl önce bulunduğumuz yerden farklı bir kültürel dönemdeyiz.
Kuruluşların büyük miktarlarda işçiyi büyük dalgalar halinde işten çıkarmasıyla iş piyasasındaki belirsizlik sürekli hale geliyor. Amazon gibi büyük oyuncular kesinti yaptı
Bu durum birçok kişide şirketlerinin kendilerine sadık olmadığı yönünde haklı bir düşünce oluşmasına yol açtı. Peki neden sadakatlerini geri göstersinler ki? Bir sonraki işinizde size destek sağlayacaksa, neden kapı gösterilmeden önce bazı müşteri verilerini veya değerli IP'lerini almıyorsunuz?
Bu belirsizliği, işçilerin daha iyi bir şey için katlandıkları işleri bıraktıkları Büyük İstifa ile birleştirin. Belki daha iyi bir yer, tamamen uzak bir yer buldular ya da başka iyi koşullara sahip oldukları için başka yerlerde daha yeşil meralar aramaya karar verdiler.
Birçoğu etrafına baktı ve pek çok kişinin işini bıraktığını gördü, öyleyse neden onlar da olmasın?
Çalışan bağlılığının azaltılabileceği yollar göz önüne alındığında, kuruluşlar çalışanlarının olumlu duygularını nasıl geliştirebilir ve içeriden tehdit vakası riskini nasıl azaltabilirler?
İşte birkaç öneri.
Takdir edilme ihtiyacının ötesinde, insanların iş yerinde kendilerini rahatsız eden bir şey olduğunda başvurabilecekleri bir yer olduğunu hissetmeye ihtiyaçları vardır.
Her şirketin, özellikle de üreticinin sorması gereken soru, çalışanların kurum içinde etik kaygılarını dile getirebilecekleri ve bu sorunların gereken ciddiyetle ele alındığını görebilecekleri bir yerin olup olmadığıdır.
Çalışanların endişelerini gidermek için dahili bir kanalı yoksa başka seçeneklere başvurabilirler.
Kazara içeriden kaynaklanan olaylar söz konusu olduğunda ilginç bir soru var. Bir yandan, olay kasıtsız olduğu için işverenlerine zarar vermeyi aktif olarak tercih etmiyorlar. Ancak diğer taraftan, kuruluşlarına karşı güçlü bir bağlılık eksikliği nedeniyle yönergelere uyma konusundaki ilgi eksikliği de bu olayların meydana gelmesinde muhtemelen rol oynuyor.
Kötü niyetli olmayan aktörlerle uğraşmak, sonuç almak için daha az sopa ve daha fazla havuç gerektirir. Eğitim ve öğretim burada olayların önlenmesinde kritik bir rol oynayabilir.
Buradaki avantajlar iki yönlü olabilir. Hassas verileri ve sistemleri işlemek için uygun protokolleri öğrenmek, onlara işin nasıl doğru ve güvenli bir şekilde yapılacağını öğretir. Bu onlara aynı zamanda sahiplenme duygusu da verir.
Kuruluşunuz, işlerinde nasıl daha iyi olabilecekleri ve kurumu nasıl koruyabilecekleri konusunda eğitime zaman ve kaynak ayırdığında, kurslarda öğrendiklerini uygulamaya çalışma şansları artar.
Çalışanların güven düzeyini artırmak için çalışırken bile, çalışanların en iyi davranışı sergilediğini doğrulamak için önlemler uygulamamız gerekiyor.
Bu, bir faaliyet temeli oluşturmak amacıyla davranışın sürekli izlenmesi için Kullanıcı Davranış Analizi araçlarının uygulamaya konulması anlamına gelir. İnsanların normalde çalışma hakkına sahip oldukları sistemlerle nasıl etkileşime girdiğini anladığımızda ve hangi uygulamalar, veri setleri vb. ile düzenli olarak etkileşime girdiklerini düşündüğümüzde, ne zaman anormal davranmaya başladıklarını tespit edebiliriz.
İçeriden tehdit vakalarının çoğu, tehdit aktörlerinin ayrıcalıklarını kötüye kullanmaları ve çalınan verileri sızdırmanın yollarını bulmaları nedeniyle benzer kalıpları takip ediyor. Hassas dosyaları izleyerek, bunlara kimlerin eriştiğini ve potansiyel olarak kimin sınırların dışına çıktığını ve takip edilmesi gerektiğini görebiliriz.
Açıklama için bir not. Şirketler aile değildir. İşe alıyorlar, işten çıkarıyorlar, küçültüyorlar ve kendi çıkarları doğrultusunda çalışıyorlar. Çoğumuz, bazen istesek bile aile üyelerimizi kovmayız.
Çalışanlar, kendi ihtiyaçlarının karşılanmadığını hissetmeleri durumunda kuruluştan ayrılma hakkına sahiptir. Bir şirkete bağlı olmak, birisinin mutlu olmaması durumunda kalması gerektiği anlamına gelmez.
Bunun anlamı, eğer kuruluş doğru şekilde hareket ederse, çalışanların verilerini çalmamak veya onlara zarar vermeye çalışmamak gibi etik ve yasal bir yolda ilerlemelerini sağlamak için yeterli iyi niyeti oluşturacaktır.
Ve bu, potansiyel bir olayın yayılmasına ve önlenmesine yardımcı olmak için yeterli olabilir.