Na czym polega atak insider threat?
Zagrożenia dla bezpieczeństwa IT możemy najogólniej podzielić na zagrożenia zewnętrzne oraz wewnętrzne. Choć tak często skupiamy się nad ochroną przed tą pierwszą grupą ataków, to zagrożenia płynące z wewnątrz organizacji są często trudniejsze do wykrycia i zidentyfikowania.
Atak insider threat nie jest zdefiniowanym technicznie konkretnym działaniem, a raczej grupą możliwych czynności i zachowań, którymi pracownicy, współpracownicy, kontrahenci czy jednorazowi zleceniobiorcy firmy – mogą w świadomy lub nieświadomy sposób zaszkodzić organizacji.
W wyniku działań określanych w ten sposób może dochodzić do wycieku chronionych danych lub ich przechwycenia przez hakerów, uszkodzenia systemów IT, a także sabotowania planów biznesowych.
Insider threat w firmie – kim są insiderzy i dlaczego stanowią zagrożenie?
Choć w ramach insider threat możemy mówić o różnych typach zagrożeń, wspólnym mianownikiem dla wszystkich jest czynnik ludzki, czyli działania osób mających legalny dostęp do poszczególnych obszarów firmowej infrastruktury. To właśnie oni, popełniając nieświadomie błędy lub celowo działając w złej intencji, mogą narazić firmę na poważne kłopoty.
Problemy związane z ryzykiem wewnątrz organizacji mogą mieć różne motywy i podłoża. Insider threat możemy podzielić na trzy podstawowe grupy, choć ich cechy mogą się wzajemnie przenikać.
-
Pracownicy firmy nieświadomi zagrożeń, którzy ignorują polityki bezpieczeństwa i procedury, jednak nie mają złych intencji. To prawdopodobnie najliczniejsza grupa insiderów. Składają się na nią najczęściej pracownicy działów nietechnicznych, którzy są nieświadomi zagrożeń, jakie mogą nieść za sobą nieodpowiedzialne zachowania.
Są to też osoby, które w ferworze wykonywanych obowiązków popełniają proste błędy. Ignorują konieczność regularnej zmiany haseł i stosowania unikalnych kombinacji, nie wylogowują się ze swoich stanowisk, otwierają załączniki niewiadomego pochodzenia, czy też na własną rękę pobierają i instalują nieautoryzowane oprogramowanie, dopuszczając się tzw. shadow IT. Tego rodzaju osoby są też podatne na socjotechniki – np. phishing lub spoofing.
Może się okazać, że problem insider threat w większym stopniu leży po stronie firmy, która nie organizuje szkoleń, nie uczula pracowników na niebezpieczne sytuacje i nienależycie dba o podstawy cyberbezpieczeństwa (np. poprzez brak procedur i polityk).
- Osoby działające na zlecenie cyberprzestępców, konkurencji lub we własnym interesie. To wyjątkowo niebezpieczna, bo zdeterminowana i wyrachowana grupa oszustów, najczęściej motywowanych finansowo. Są nastawieni na osiągnięcie celu dowolnym kosztem. Doskonale znają zarówno metody ataków (m.in. zręcznie posługują się socjotechniką), jak i obrony przed nimi. Świetnie się maskują i zacierają ślady swoich działań, przez co są niezwykle trudni do wykrycia. Działają w zorganizowany sposób, wiedząc, jak to robić, by nie zostać wykrytym. Insider tego typu będzie starał się sabotować działania biznesowe, wykradnie firmowe bazy danych, informacje o procesach czy też wrażliwe dane biznesowe – oferty, analizy, dane kontrahentów. Firmowe dane pozyskanie w nielegalny sposób może próbować wykorzystywać po przejściu do konkurencyjnej firmy.
- Pracownicy motywowani chęcią zemsty na firmie. Pracownik otrzymujący wypowiedzenie umowy o pracę, niezadowolony stażysta czy specjalista, któremu odmówiono podwyżki – to bardzo często osoby, które mogą dopuścić się świadomego ataku insider threat na szkodę firmy. Ta grupa nie działa na zlecenie konkurencji lub innych osób, a przynajmniej tego nie planuje. Chce po prostu zaszkodzić swojej firmie, narażając ją na konsekwencje prawne lub sabotując procesy biznesowe. W tym gronie rzadko mamy do czynienia z wyszkolonymi oszustami lecz ze sfrustrowanymi pracownikami, popełniającymi zazwyczaj wiele błędów, pozostawiając wyraźne ślady swoich działań, których nie są świadomi. Brak im wiedzy technicznej i doświadczenia, by realnie zaszkodzić firmie czy pozostać niewykrytymi.
Insider threat – prawdziwe przykłady ataków
- W 2022 roku jedna z pracownic Taco Bell w USA przechwytywała numery kart kredytowych klientów restauracji. Policji bardzo szybko udało się jednak ustalić dane oszustki, gdy pokrzywdzeni zaczęli zgłaszać dziwne transakcje na swoich kontach bankowych. Pracownica Taco Bell wykorzystywała skradzione dane do opłacania własnych rachunków i zakupów online.
- W wyniku nieprawidłowo skonfigurowanej bazy danych tureckie linie lotnicze Pegasus Airlines udostępniły do ogólnego wglądu 23 miliony plików zawierających dane wrażliwe.
- Pracownik Yahoo, po otrzymaniu w 2022 roku propozycji pracy od konkurencyjnej firmy, pobrał ponad pół miliona stron informacji o nowym produkcie aktualnego pracodawcy, które następnie wykorzystał w kolejnej pracy. Byłemu pracownikowi przedstawiono zarzuty.
- Pracownik firmy lotniczej Boeing wysłał do swojej żony, niebędącej pracownicą tej samej firmy i nieuprawnionej do odbioru tego rodzaju plików, arkusz kalkulacyjny. Chciał, by ta pomogła mu w rozwiązaniu problemu z formatowaniem treści. W arkuszu znajdowały się dane 36 000 pracowników firmy. Pomimo faktu, że dane nie wyciekły poza urządzenie żony pracownika, firma opłaciła pokrzywdzonym dwuletni pakiet monitorowania zapytań kredytowych na ich dane.
Każdego dnia dochodzi do wielu mniej spektakularnych, a równie niebezpiecznych naruszeń typu insider threat. Zjawisku da się jednak przeciwdziałać – o czy poniżej.
Czy da się ochronić przed insider threat?
Choć zapewnienie firmie stuprocentowej ochrony przed insider threat oraz innymi zagrożeniami nie jest możliwe, to istnieją sposoby na ograniczenie ryzyka wystąpienia zagrożeń wewnętrznych. Podstawą wszelkich działań jest rozwijanie świadomości cyberbezpieczeństwa (tzw. security awareness) wśród swojej kadry.
Ważna jest także dogłębna weryfikacja zatrudnianych pracowników oraz kandydatów. Poprzednie miejsca zatrudnienia i okoliczności rozwiązania umowy powiedzą nam wiele nie tylko na temat doświadczenia zawodowego, ale także relacji z poprzednimi pracodawcami. Istotne są też oczywiście ewentualne wyroki sądów dotyczące kandydata – jedna z ważniejszych kwestii, która powinna podlegać weryfikacji przed zatrudnieniem.
W przypadku rozwiązywania współpracy z danym pracownikiem należy przygotować się do tego odpowiednio wcześniej i w odpowiednim momencie drastycznie zmniejszyć uprawnienia systemowe w ramach działań profilaktycznych. Ograniczenie możliwości kopiowania danych na nośniki czy wysyłania ich do chmury pomoże zapobiec powstawaniu celowych wycieków danych.
W przypadku tzw. użytkowników uprzywilejowanych (np. administratorów), mających niemal nieograniczony dostęp do zasobów krytycznych serwerów, pomocne są narzędzia PIM/PAM/PUM.
W parze z tymi działaniami powinno iść tworzenie skutecznych polityk i procedur bezpieczeństwa. Warto rozważyć zakaz używania własnej pamięci masowej wewnątrz firmowej sieci i kontrolowanie dostępu do poufnych informacji, przydzielając pracownikom wyłącznie te dane, które są niezbędne do ich pracy. Nadane dostępy należy także regularnie rewidować, sprawdzając czy dany pracownik wciąż potrzebuje wglądu do konkretnych plików i obszarów sieci. Dobrym pomysłem jest również wdrożenie systemu zarządzania uprawnieniami do dokumentów – szczególnie tych o krytycznym znaczeniu dla bezpieczeństwa. Managerowie powinni również monitorować zachowanie pracowników i zwracać uwagę na ich zmianę stosunku do pracy np. poprzez głośne wyrażanie niezadowolenia z firmy, albo nietypowe zachowania – np. zainteresowanie projektami, z którymi nie są związani lub prośby o przydzielenie dostępu do poufnych informacji bez wyraźnego powodu.
Istotne jest także dbanie o satysfakcję pracowników i regularne mierzenie jej poziomu – np. za pomocą takich wskaźników jak eNPS (Employee Net Promoter Score).
Świadomość zagrożeń wewnętrznych – podstawa w Twojej firmie
W przypadku firm, które przetwarzają wrażliwe informacje lub prowadzą działania biznesowe utrzymywane w tajemnicy, kluczowa jest świadomość managementu, dotycząca możliwości wystąpienia ryzyk wewnętrznych.
Zasada ograniczonego zaufania jest niezbędna dla zapewnienia odpowiedniej ochrony. Najlepsze efekty w kwestii monitorowania ruchu wewnątrz firmowej sieci daje skorzystanie z doświadczonego zespołu Security Operations Center, takiego jak SOC Netii.
Stały, opisany w regulaminie firmy wgląd w aktywność pracowników (o czym pracownicy muszą być poinformowani) i systemów pozwala w porę wykryć wycieki danych, a także nietypowe zachowania. Dodatkowymi narzędziami do odkrywania podatności i ewentualnych luk są testy penetracyjne i audyty wewnętrzne, biorące pod lupę szczelność systemów bezpieczeństwa, baz danych i aplikacji. Wskazane jest również wykorzystywanie narzędzi ochrony poczty elektronicznej, które zmniejszają ryzyko wystąpienia skutecznych ataków socjotechnicznych. Czujność i świadomość pracowników można sprawdzać za pomocą kontrolowanych ataków phishingowych. Przydatne są również systemy DLP (ang. Data Leak Protection), monitorujące wyciek informacji z firmowej sieci różnym drogami, a także DAM (ang.: Database Activity Monitoring) – oferujący opcje monitoringu i analizy aktywności zagrażających bezpieczeństwu baz danych.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105