然網(wǎng)絡(luò)犯罪分子經(jīng)常成為眾人矚目的焦點(diǎn),但對你公司而言,最危險(xiǎn)的威脅之一可能正潛藏在顯而易見之處——你自己的團(tuán)隊(duì)內(nèi)部。
能夠接觸敏感信息的員工、承包商或業(yè)務(wù)合作伙伴可能會利用這種訪問權(quán)限來制造麻煩,無論是竊取數(shù)據(jù)、破壞系統(tǒng),還是泄露機(jī)密信息。
但究竟是什么讓公司內(nèi)部的人決定反戈一擊?這背后往往有心理方面的原因,無論是個(gè)人挫敗感、財(cái)務(wù)壓力,還是一種被虧待的感覺。
內(nèi)部威脅的動機(jī)
個(gè)人恩怨:當(dāng)員工感覺自己被忽視,像是受到不公對待時(shí),這可能會轉(zhuǎn)變?yōu)閷镜脑购蕖R苍S他們錯(cuò)過了晉升機(jī)會或加薪,或者他們經(jīng)歷了某種形式的歧視。這種不公正感可能會讓人們將有害行為視為一種報(bào)復(fù)手段。
財(cái)務(wù)問題:財(cái)務(wù)問題可能會把人們推向錯(cuò)誤的選擇,并使他們更容易受到外界影響。那些為債務(wù)或貸款所困的人可能會受到黑客或競爭對手的誘惑,這些人愿意利用他們的困境。
社會或意識形態(tài)信仰:當(dāng)員工強(qiáng)烈反對公司在環(huán)境問題、勞動實(shí)踐或職場文化等方面的處理方式時(shí),他們可能會感到有必要親自采取行動。如果他們認(rèn)為自己是在揭露不法行為或?yàn)檎x事業(yè)挺身而出,他們可能會向媒體或激進(jìn)組織泄露敏感信息,堅(jiān)信自己是在做正確的事,即使這會損害公司利益。
無聊或缺乏參與感:有時(shí),人們就是不再關(guān)心自己的工作。也許是因?yàn)樗麄兊娜蝿?wù)顯得重復(fù)乏味,或者他們看不到自己努力的意義。當(dāng)這種情況發(fā)生時(shí),他們可能會開始無視公司規(guī)定或省略步驟,而不經(jīng)過深思熟慮。久而久之,這可能會變成冷漠。他們只是不再對公司投入。從安全角度來看,這是有風(fēng)險(xiǎn)的,因?yàn)闊o聊的員工更可能繞過安全協(xié)議。他們可能覺得這沒什么大不了的,甚至是一種對他們已經(jīng)放棄的工作的低調(diào)反抗。
心理健康問題:心理健康問題不會自動使某人成為威脅,但它們可能會蒙蔽判斷,使人們沖動行事。正在處理焦慮或抑郁等問題的員工可能會做出冒險(xiǎn)的選擇——不一定是因?yàn)樗麄兿朐斐蓚Γ且驗(yàn)樗麄兯季S不清晰。如果公司不支持心理健康,它可能會無意中創(chuàng)造出一個(gè)空間,讓這些問題在沒有任何人注意的情況下不斷累積。
行為模式和特權(quán)感:一些員工認(rèn)為規(guī)則對他們不適用。他們可能會覺得自己有權(quán)濫用公司資源或泄露敏感信息,因?yàn)樗麄冇X得自己應(yīng)得此利。在極端情況下,具有自戀傾向的人可能會將自己的行為合理化,認(rèn)為這樣做是為了服務(wù)自己的利益,而不考慮對公司的后果。
職業(yè)不滿:如果員工覺得在公司里沒有前途,他們可能會想報(bào)復(fù)雇主——或者至少確保在離開之前能從公司撈到好處。那些覺得自己陷入困境或看不到成長潛力的員工可能會竊取數(shù)據(jù)或資源,以供他們在下一份工作中使用。
欺詐三角形
犯罪學(xué)家唐納德·克雷斯提出了一個(gè)理論來解釋為什么人們會在工作中參與欺詐或有害行為。這被稱為“欺詐三角形”,它分為三個(gè)部分:壓力、機(jī)會和合理化。
• 壓力:個(gè)人壓力或財(cái)務(wù)困境可能會促使員工做出冒險(xiǎn)決定。
• 機(jī)會:薄弱的安全系統(tǒng)為實(shí)施有害意圖創(chuàng)造了機(jī)會。
• 合理化:員工為自己的行為辯護(hù),通常認(rèn)為自己應(yīng)得某些東西或?yàn)楦鼈ゴ蟮氖聵I(yè)而行事。
通過了解這三個(gè)因素——壓力、機(jī)會和合理化——組織可以更好地做好準(zhǔn)備,在內(nèi)部威脅發(fā)生之前發(fā)現(xiàn)并阻止它們。
聚焦內(nèi)部威脅
要真正了解內(nèi)部威脅可能有多嚴(yán)重,看看一些已使這些風(fēng)險(xiǎn)成為焦點(diǎn)的備受矚目的事件會有所幫助。
2019年,一名前AWS員工利用美國第一資本投資國際集團(tuán)(Capital One)云基礎(chǔ)設(shè)施中的漏洞,致使超過1.06億名客戶的數(shù)據(jù)遭到破壞。攻擊者利用對AWS的內(nèi)部了解獲得了未經(jīng)授權(quán)的訪問權(quán)限。
2023年5月,特斯拉透露,兩名前員工應(yīng)對一起數(shù)據(jù)泄露事件負(fù)責(zé),他們訪問并泄露了超過7.5萬名個(gè)人的信息。
在談?wù)搩?nèi)部威脅時(shí),遠(yuǎn)程工作是另一個(gè)棘手問題,因?yàn)楹茈y確定受雇人員是否真的是他們自稱的人。最近,一個(gè)主要由中國運(yùn)營的朝鮮IT幌子公司網(wǎng)絡(luò)被揭露。這些公司幫助朝鮮工人獲得全球遠(yuǎn)程工作機(jī)會,通常通過加密貨幣或影子銀行系統(tǒng)洗錢。這些幌子公司模仿合法的IT公司,使企業(yè)難以發(fā)現(xiàn)欺詐行為。
聯(lián)邦調(diào)查局還警告稱,朝鮮IT工作者經(jīng)常冒充自由職業(yè)者,通過利用對公司網(wǎng)絡(luò)的訪問權(quán)限來竊取專有數(shù)據(jù)、協(xié)助網(wǎng)絡(luò)犯罪和為朝鮮政權(quán)創(chuàng)造收入來敲詐雇主。
如果我們撇開間諜活動或政治動機(jī)驅(qū)動的內(nèi)部威脅,那么其中許多風(fēng)險(xiǎn)仍然源于可以在公司內(nèi)部識別和解決的個(gè)人問題、挫敗感或未滿足的需求。
如何預(yù)防內(nèi)部威脅
營造一個(gè)讓員工感到被重視、被支持和有參與感的環(huán)境可以降低內(nèi)部威脅的風(fēng)險(xiǎn)。在員工認(rèn)為自己受到公平對待的積極文化中,不太可能出現(xiàn)導(dǎo)致有害行為的挫敗感或脫節(jié)感。
為了減少內(nèi)部威脅,組織應(yīng)將心理見解與網(wǎng)絡(luò)安全措施相結(jié)合。以下是一些策略:
• 營造積極文化:定期與員工溝通,及時(shí)解決他們的不滿。
• 限制訪問:實(shí)施基于角色的權(quán)限并監(jiān)控?cái)?shù)據(jù)使用情況。
• 心理健康支持:提供咨詢和工作生活平衡計(jì)劃。
• 道德培訓(xùn):教育員工做出決策時(shí)考慮安全風(fēng)險(xiǎn)。
• 安全舉報(bào)渠道:鼓勵(lì)舉報(bào),確保舉報(bào)者不會遭到報(bào)復(fù)。
• 常規(guī)安全審計(jì):識別漏洞并強(qiáng)制執(zhí)行網(wǎng)絡(luò)安全實(shí)踐。
• 明確離職協(xié)議:立即撤銷系統(tǒng)訪問權(quán)限,并監(jiān)控離職后的行為。
重要的是要意識到,人的心理是脆弱的;今天最優(yōu)秀、最可靠的員工明天可能會轉(zhuǎn)而反對他們?yōu)橹ぷ鞯墓荆胰魏涡睦矸治龆紵o法阻止這一點(diǎn)。與時(shí)間賽跑、對利潤的日益追求、工作壓力以及人與人之間缺乏健康溝通將繼續(xù)成為某人成為內(nèi)部威脅的誘因。
因此,歸根結(jié)底,關(guān)鍵在于盡早識別這些危險(xiǎn)信號,并建立一種每個(gè)人都感到被傾聽和尊重的工作文化。如果我們做到這一點(diǎn),就會減少內(nèi)部威脅的機(jī)會。
