Według tegorocznych badań, na podstawie których powstał Verizon Data Breach Investigations Report (DBIR), 19 proc. z około 5,2 tys. przeanalizowanych naruszeń, do których doszło w firmach, spowodowanych zostało przez wewnętrzne podmioty. Jako ciekawy przykład można tu podać informację, która obiegła media w ostatnich tygodniach - o wyroku trzech lat więzienia dla Ashley Liles, pracownika brytyjskiej firmy, który szantażował pracodawcę, symulując zewnętrzny atak złośliwego oprogramowania, tzw. ransomware. Kilka lat temu głośna była informacja o pracowniku Tesli, który otrzymał od byłego współpracownika propozycję miliona dolarów za wprowadzenie do systemu organizacji złośliwego oprogramowania umożliwiającego atak ransomware. Na takie sytuacje narażonych jest wiele firm. Jak ochronić przedsiębiorstwo przed zagrożeniami spowodowanymi przez zaufanych pracowników?
Najciemniej pod latarnią
Źródłem zagrożenia wewnętrznego może być obecny lub były pracownik albo kontrahent. Działa on na szkodę przedsiębiorstwa poprzez kradzież, wykorzystanie poufnych danych, naruszenie systemów lub udzielenie dostępu złośliwym podmiotom. Niektóre z tych czynności mogą być przeprowadzane umyślnie, a inne wynikać z nieuwagi. Jak pokazuje analiza incydentów, większość to jednak efekt nieostrożności lub zaniedbania, a nie złych intencji. Jednak zdarzają się przypadki, w których motywacją jest chęć korzyści finansowej, zemsta, ideologia lub zwykła złośliwość.
Takich incydentów każdego roku jest coraz więcej, co potwierdza raport Ponemon Institut – jest w nim mowa o wzroście o 44 proc. w ciągu zaledwie dwóch lat.
– Tego rodzaju zagrożenia stanowią wyjątkowe wyzwanie w zakresie cyberbezpieczeństwa, ponieważ mogą być trudne do wykrycia, a w zapobieganiu nawet trudniejsze. „Insiderzy” mają znacznie większe możliwości niż cyberprzestępcy atakujący z zewnątrz. Pracownicy i podwykonawcy muszą przecież mieć dostęp do systemów i danych organizacji, aby móc wykonywać swoje obowiązki. To oznacza, że zagrożenie z ich strony może nie być widoczne, dopóki atak faktycznie nie nastąpi. Co więcej, osoby, które mają dostęp do informacji poufnych, często znają również środki i procedury bezpieczeństwa swojego pracodawcy, a więc mogą je łatwiej obejść. Nawet jeśli dane stanowisko wymaga sprawdzenia przeszłości pracownika, czyli wykonania tzw. background check, nie da się w nim uwzględnić stanu emocjonalnego danej osoby, który może zmieniać się wraz z upływem czasu – mówi Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa z firmy ESET.
Kontrola i świadomość
Jakie środki może podjąć organizacja, aby zminimalizować ryzyko zagrożeń wewnętrznych? Do jego zmniejszenia przyczynia się kombinacja kilku metod oraz regularność w aktualizowaniu polityki bezpieczeństwa. Jakie to sposoby? Po pierwsze, eksperci radzą, aby ograniczyć dostęp do wrażliwych danych i systemów tylko do pracowników, którzy faktycznie potrzebują go do wykonywania obowiązków służbowych. Trzeba wprowadzić system określający poziomy dostępu dla wszystkich stanowisk w firmie. Uprawnienia powinny być regularnie sprawdzane, wraz ze zmieniającymi się rolami i zakresami obowiązków zatrudnionych.
Ważną rolę odgrywa także wspomniany background check, czyli weryfikacja przeszłości wszystkich pracowników, wykonawców i dostawców, którzy będą mieli dostęp do poufnych i wrażliwych danych. Nie należy zapominać również o organizowaniu szkoleń podnoszących świadomość w zakresie bezpieczeństwa, zarówno wśród specjalistów ds. cyberochrony, jak i wszystkich pracowników w firmie. Kadra przeszkolona pod kątem rozpoznawania i zgłaszania incydentów bezpieczeństwa będzie bardziej skuteczna w wyłapywaniu i łagodzeniu zagrożeń na wczesnym etapie.
Kolejna rada to wdrożenie systemu DLP (Data Loss Prevention). Poprzez monitorowanie, wykrywanie i blokowanie nieautoryzowanych transferów lub udostępnień wrażliwych danych pomaga on zapobiec utracie lub kradzieży danych. Pamiętajmy jednak, że dostawcy DLP również są na celowniku cyberprzestępców, a to może stanowić dodatkowe zagrożenie.