paint-brush
数据泄露:进入 2024 年,特斯拉 2023 年最大的内部威胁可以告诉我们什么经过@isaac-kohen-teramind
2,470 讀數
2,470 讀數

数据泄露:进入 2024 年,特斯拉 2023 年最大的内部威胁可以告诉我们什么

经过 Isaac Kohen 8m2023/11/27
Read on Terminal Reader

太長; 讀書

2023 年,特斯拉在 5 月经历了今年最大的内部威胁,宣布遭遇大规模数据泄露,这可能是该公司历史上最大的一次泄露,超过 75,000 名员工和前员工拥有个人身份信息 (PII)泄露了。 虽然由于规模和高调目标的原因,泄密事件本身很有趣,但在本文中,我们将探讨培养员工忠诚度在帮助抑制员工反对他们的愿望方面可以发挥的作用。组织。 降低内部威胁风险的 3 个技巧 鉴于员工忠诚度可能降低的方式,组织如何提高员工的积极情绪并降低发生内部威胁事件的风险? 这里有一些建议。 提供一个发泄沮丧或担忧的出口 除了需要感到被赞赏之外,人们还需要感到当工作中遇到麻烦时可以求助。 任何公司,尤其是制造商,都应该问的一个问题是,员工是否有一个地方可以在内部表达道德问题,并确保他们得到应有的严肃处理? 如果员工没有内部渠道来处理问题,那么他们可能会在其他地方寻求选择。 投资教育和培训 关于意外内部人员造成的事件,有一个有趣的问题。一方面,他们不会主动选择伤害雇主,因为案件是无意的。然而,另一方面,由于缺乏对组织的坚定承诺而对遵循准则缺乏兴趣可能是这些事件发生的原因之一。 与非恶意行为者打交道需要少一些大棒,多一些胡萝卜才能取得成果。培训和教育可以在预防事故方面发挥关键作用。 这里的优势有两个方面。学习处理敏感数据和系统的正确协议可以教会他们如何正确、安全地完成工作。这也给了他们一种主人翁感。 当您的组织投入时间和资源来培训他们如何更好地完成工作并保护组织时,他们尝试实施在课程中学到的知识的机会就会增加。 鼓励但通过用户行为分析进行验证 即使我们努力提高员工的信任程度,我们也需要采取措施来验证员工是否表现出最佳行为。 这意味着建立用户行为分析工具来持续监控行为,以建立活动基线。一旦我们了解人们如何与他们有权使用的系统正常交互,考虑他们定期与哪些应用程序、数据集等交互,那么我们就可以检测到他们何时开始出现异常行为。 大多数内部威胁案例都遵循类似的模式,即威胁行为者滥用其特权并寻找方法来窃取被盗数据。通过监控敏感文件,我们可以看到谁在访问它们,以及谁可能越界并需要跟进。 忠诚度是赢得的,而不是给予的 需要澄清的一条注释。公司不是家庭。他们雇用、解雇、裁员和工作都是为了自己的利益。我们大多数人都不会解雇我们的家庭成员,即使我们有时想这么做。 如果员工觉得自己的需求没有得到满足,他们也有同样的权利离开组织。对公司忠诚并不意味着如果某人不高兴就应该留下来。 它的真正含义是,如果组织行为得当,那么他们就会产生足够的善意,让员工走上道德和法律的道路,不窃取他们的数据或试图对他们造成伤害。 这可能足以帮助分散和预防潜在的事件。
featured image - 数据泄露:进入 2024 年,特斯拉 2023 年最大的内部威胁可以告诉我们什么
Isaac Kohen  HackerNoon profile picture
0-item

2023 年,特斯拉在 5 月经历了今年最大的内部威胁,宣布遭遇大规模数据泄露,这可能是该公司历史上最大的一次泄露,__超过 75,000 名员工__和前雇员拥有个人身份信息( PII)泄露。

据将被盗数据称为“特斯拉文件”的报道称,泄露的 100 GB 数据包括:

  • 员工的个人信息,例如姓名、地址、电话号码和社会安全号码
  • 客户银行详细信息
  • 生产秘密
  • 客户对特斯拉全自动驾驶(FSD)功能的投诉


据报道,就连首席执行官埃隆·马斯克(Elon Musk)的社会安全号码也被泄露。


我们了解到,此次泄露事件背后有两个罪魁祸首: 两名前特斯拉员工谁将大量数据转储发送给德国报纸 Handelsblatt。


对于特斯拉来说,好消息是该媒体已宣布不会公布泄密内容。作为一个新闻组织,尤其是在德国,《商报》可能会发现自己因公布人们的个人身份信息而陷入困境。然而,出版商确实指出,泄密内容包括对车辆安全问题的投诉,这仍然可能会给特斯拉带来相当大的悲伤,因为报道这些问题很容易落入记者的“公共利益”范畴。


坏消息是该公司可能仍面临困境33亿美元因违反 GDPR 规定的数据隐私而被罚款。


虽然由于规模和高调目标的原因,泄漏本身很有趣,但在本文中,我们将研究培养员工忠诚度在帮助抑制员工想要反抗的欲望方面可以发挥的作用他们的组织。


但首先,让我们回顾一下特斯拉处理内部威胁的历史。

特斯拉的内部威胁事件历史

这并不是特斯拉第一次因内部威胁事件而成为头条新闻。事实上,该公司多年来发生的内部威胁事件历史参差不齐。


2018年,马斯克宣布一名恶意员工进行了“广泛且破坏性的破坏“对公司来说,窃取大量数据并对其系统进行更改。


据报道,该员工因没有得到他们认为即将到来的晋升而感到愤怒,并决定通过不愉快的方式表达他们的不满。


另一方面,2020 年,一名员工通知公司,一位老熟人联系了他,试图贿赂他帮助进行勒索软件攻击。由于该员工的警告,特斯拉得以挫败这次攻击,勒索软件的工作人员也被逮捕。


在这两种情况下,我们都看到恶意内部人员可能对其组织造成的潜在损害,并且坦率地说,他们取得成功是多么容易。

为什么内部威胁如此难以阻止?

内部威胁是组织最难防御的威胁之一,因为他们是已经在您的系统内部的合法用户。


与需要窃取/网络钓鱼/购买凭证然后击败 MFA 的外部人员不同,内部人员是组织内部的真实用户,他们可以完全正常地行事,直到他们不这样做为止。\

这意味着“我被攻击了吗”中没有出现任何妥协迹象,也没有泄露的凭据。在损坏发生之前,您通常不会发现它。


另一个因素是许多内部威胁实际上并不是恶意的。虽然他们的泄密造成了真正的伤害,但他们的行为却是由于错误和一般疏忽而无意造成的。根据 Verizon 2023 年数据泄露调查报告, 疏忽是导致数据泄露的 98% 错误的原因。


由于检测困难,许多组织都在寻找预防策略来阻止事件发生。这就是动机和忠诚度问题发挥作用的地方。

对员工忠诚度的负面影响因素

年复一年,内部威胁事件的首要动机是经济利益。


你知道,老式的贪婪。


然而,早在员工决定采取更严厉的措施窃取或损害您的数据之前,导致背叛的种子就已经埋下了。


看着2023 年 Verizon 数据泄露调查报告研究人员发现,89% 的特权滥用案例是出于经济动机,其次是“怨恨”,占 13%。


那么,是什么导致了这种恩怨呢?


根据 Jacques Y. Kassa 的 2021 年论文“ 忠诚度与内部威胁之间的关系建模在加利福尼亚州蒙特雷的海军研究生院,抑郁、绝望、沮丧、不满愤怒都是导致内部威胁的情绪因素。


这不是一个开创性的见解,但我们也知道,组织没有投入足够的精力来检查员工,了解他们对自己在组织中的地位的感受。


卡萨写道,意识形态、复仇、报应、间谍活动和激进主义等动机在政府组织中比在民间部门更常见。也许就特斯拉而言,人们可能希望与公众分享一些安全数据,尽管存在这样的问题:这是激进主义还是报复。


然而,有几个因素需要注意。

薪酬过低且未被充分重视

获得良好的工作报酬基本上是每个员工的最大动力。比额外的零食或公司活动更好的是,员工需要感到自己的工作受到赞赏,而相应的报酬是这种认可和尊重的明确指标。

感觉自己是团队的一部分

在大流行期间,组织面临的困难之一是员工保持团队意识。远程办公意味着无法加强面对面的、非正式的联系,这种联系可以让一个人与同事产生同志情谊,并阻止他们伤害自己。


毕竟,如果这些只是你在 Zoom 通话和电子邮件链上看到的人,那么如果有更好的机会出现,你欠他们什么呢?


这主要是一个保留问题,但它也会影响某人变得恶意的动机。

大规模裁员和大辞职

我们正处于一个与五、十年前截然不同的文化时刻。


就业市场的不确定性始终存在,组织大量裁员。亚马逊等大公司已经削减开支27,000过去一年中,微软已经裁员了10,000人们。


这导致许多人合理地认为他们的公司对他们不忠诚。那么他们为什么要表现出忠诚呢?为什么不在被解雇之前拿走一些客户数据或有价值的知识产权呢?如果这可能会给你的下一份工作带来帮助呢?


将这种不确定性与“大辞职”结合起来,大辞职让工人们离开了他们可能已经忍受的工作,去寻找更好的东西。也许他们找到了更好的位置,完全偏远的地方,或者有其他良好的条件,所以他们决定去其他地方寻找更绿的牧场。


许多人只是环顾四周,发现很多人都在离职,那么为什么他们不也辞职呢?

降低内部威胁风险的 3 个技巧

鉴于员工忠诚度可能降低的方式,组织如何提高员工的积极情绪并降低发生内部威胁事件的风险?


这里有一些建议。

提供一个发泄沮丧或担忧的出口

除了需要感到被赞赏之外,人们还需要感到当工作中遇到麻烦时可以求助。


任何公司,尤其是制造商,都应该问的一个问题是,员工是否有一个地方可以在内部表达道德问题,并确保他们得到应有的严肃处理。


如果员工没有内部渠道来处理问题,那么他们可能会在其他地方寻求选择。

投资教育和培训

关于内部人员造成的意外事件,有一个有趣的问题。一方面,他们不会主动选择伤害雇主,因为案件是无意的。然而,另一方面,由于缺乏对组织的坚定承诺而对遵循准则缺乏兴趣可能是这些事件发生的原因之一。


对付非恶意行为者需要少棒多胡萝卜才能取得成果。培训和教育可以在预防事故方面发挥关键作用。


这里的优势有两个方面。学习处理敏感数据和系统的正确协议可以教会他们如何正确、安全地完成工作。这也给了他们一种主人翁感。


当您的组织投入时间和资源来培训他们如何更好地完成工作并保护组织时,他们尝试实施在课程中学到的知识的机会就会增加。

鼓励但通过用户行为分析进行验证

即使我们努力提高员工的信任程度,我们也需要采取措施来验证员工是否表现出最佳行为。


这意味着建立用户行为分析工具来持续监控行为,以建立活动基线。一旦我们了解人们通常如何与他们有权使用的系统进行交互,并考虑他们定期与哪些应用程序、数据集等进行交互,那么我们就可以检测到他们何时开始出现异常行为。


大多数内部威胁案例都遵循类似的模式,即威胁行为者滥用其特权并寻找方法来窃取被盗数据。通过监控敏感文件,我们可以看到谁正在访问它们,以及谁可能越界并需要跟进。

忠诚度是赢得的,而不是给予的

需要澄清的一条注释。公司不是家庭。他们雇佣、解雇、裁员和工作都是为了自己的利益。我们大多数人都不会解雇我们的家庭成员,即使我们有时想这样做。


如果员工觉得自己的需求没有得到满足,他们也有同样的权利离开组织。对公司忠诚并不意味着如果某人不高兴就应该留下来。


它的真正含义是,如果组织行为得当,那么它将产生足够的善意,使员工走在道德和法律的道路上,不窃取他们的数据或试图对他们造成伤害。


这可能足以帮助分散和预防潜在的事件。