W kontekście bezpieczeństwa informatycznego najczęściej mówi się o zagrożeniu zewnętrznym, zapominając lub lekceważąc Insider Threat, czyli ryzyko związane ze szkodliwym działaniem wewnątrz organizacji. Wyzwaniem jest między innymi zagwarantowanie pracownikom bezpiecznego dostępu do kluczowych danych firmy, a także edukacja zespołu. Jak wskazują eksperci, zagrożeniem jest zarówno czynnik ludzki, czyli nieplanowane błędy pracowników, jak i złe intencje osób mających dostęp do poufnych informacji. W dzisiejszym artykule wyjaśniamy, co to jest Insider Threat oraz jak się skutecznie chronić przed Insiderami.
Jak ograniczyć ryzyko zagrożeń wewnętrznych?
Co to jest Insider Threat?
Wbrew pozorom nieznani nikomu cyberprzestępcy nie są jedynym zagrożeniem dla bezpieczeństwa informacji w firmach – co więcej, za utratę danych najczęściej są odpowiedzialni pracownicy (mowa aż o 42% zgodnie z badaniem przeprowadzonym przez Kaspersky Lab i B2B International). Insider Threat, czyli zagrożenie wewnętrzne, stanowi poważne wyzwanie dla osób odpowiedzialnych za bezpieczeństwo IT oraz koordynację pracy zdalnej w firmie. Wykonywanie obowiązków zawodowych poza biurem jest okolicznością, która sprzyja niepożądanym incydentom wewnątrz organizacji.
Badania nie pozostawiają wątpliwości w kwestii tego, co to jest Insider Threat – to ludzie stanowią podstawę biznesu, a tym samym są jedną z głównych przyczyn naruszenia bezpieczeństwa. Już w 2015 roku PwC informowało, że aż 75% organizacji poniosło straty finansowe w wyniku działania pracowników. Insider, czyli osoba mająca dostęp do poufnych danych i nadużywająca go, świadomie lub nie, stanowi realne zagrożenie wewnętrzne, którego nie można lekceważyć.
Kim mogą być Insiderzy?
Trudno jednoznacznie wskazać, kto to jest Insider – wyróżnia się pięć najczęstszych typów Insiderów odpowiedzialnych za 1/3 wycieków danych w organizacjach. To nie musi być obecny pracownik. Insiderami są również audytorzy, osoby jednorazowo wykonujące zlecenie dla przedsiębiorstwa, wspólnik, a nawet byli pracownicy, którzy mogą być motywowani chęcią zemsty. Zagrożeniem może być także współpraca z firmą zewnętrzną, która realizuje usługi outsourcingowe i tym samym zyskuje dostęp do wrażliwych danych. Poniżej prezentujemy klasyfikację Insiderów przygotowaną przez firmę Verizon, która co roku publikuje raport Insider Threat Report.
- Złośliwy Insider – osoba, która wykorzystuje dostęp do firmowych danych, aby osiągnąć indywidualne korzyści. Motywacją może być wynagrodzenie finansowe opłacone przez konkurencję, przejęcie bazy danych klientów wraz z odejściem lub realizacja celów niezwiązanych z działalnością firmy.
- Niezadowolony pracownik – typ Insidera, którego nie należy lekceważyć. Problemem wyjściowym może być konflikt na linii pracodawca-pracownik lub wewnętrzne zatargi między pracownikiem a bezpośrednim przełożonym. Efekt? Przekazanie informacji konkurencji lub zniszczenie kluczowych danych.
- Wewnętrzny agent – osoba, która w wyniku celowego lub nieświadomego działania (np. pracownik zrekrutowany za pomocą podstępu) przekazuje dane osobom zewnętrznym.
- Nieuważny pracownik – osoba, która narusza obowiązującą politykę bezpieczeństwa w firmie. Może to robić w celach prywatnych, np. instalując aplikację rozrywkową na służbowym sprzęcie lub po to, by ominąć skomplikowane według pracownika wytyczne. Ryzykowne działania mogą wynikać z niewystarczającej edukacji z zakresu bezpieczeństwa IT, a tym samym braku świadomości potencjalnych konsekwencji.
- Beztroska trzecia strona – kontrahent lub pracownik lekceważący cyberbezpieczeństwo. W wyniku beztroskiego działania, może dojść do wycieku danych.
Firmy powinny być świadome tego, kim może być Insider – dzięki temu łatwiej wdrożyć rozwiązania wzmacniające dotychczasową politykę bezpieczeństwa lub tworzące ją od podstaw. Nadal bowiem zdarza się, że Insider Threat nie jest traktowane na równi z zagrożeniem zewnętrznym, jakim są działania cyberprzestępców czy konkurencji. Motywacje pracowników naruszających bezpieczeństwo firmy są różne, ale w wielu przypadkach problemy wynikają z nieświadomego działania – brak złych intencji w połączeniu z niewystarczającą edukacją z zakresu ochrony danych może doprowadzić do poważnych szkód.
Jak ograniczyć ryzyko zagrożeń wewnętrznych?
Sposobów na to, by zminimalizować ryzyko Insider Threat jest wiele – począwszy od edukacji pracowników (szkolenia wewnętrzne), skończywszy na wdrożeniu rozwiązań takich jak system DLP. Budowanie świadomości zagrożeń wśród personelu jest absolutną podstawą, która nie rozwiązuje problemu w 100%, ale ogranicza ryzyko wycieku danych w wyniku beztroski czy nieuwagi pracownika. Co jeszcze mogą zrobić osoby odpowiedzialne za bezpieczeństwo w firmie?
- Opracowanie strategii walki z zagrożeniami wewnętrznymi.
- Stworzenie spójnej polityki bezpieczeństwa i zasad zrozumiałych dla pracowników, które nie utrudniają realizacji zadań.
- Zarządzanie tożsamością i dostępem.
- Wdrożenie takich rozwiązań jak program do monitorowania komputera, dzięki któremu jest możliwa kontrola pracownika w pracy zdalnej i nie tylko.
- Skuteczne blokowanie USB, jeżeli istnieje podejrzenie, że może być szkodliwe dla firmy.
- Monitoring serwera w czasie rzeczywistym, aby móc szybko zareagować na groźne incydenty.
- Dodatkowe zabezpieczenie narzędzi takich jak pulpit zdalny, z których korzystają pracownicy w podróży służbowej lub pracujący z domu.
Keylogger umożliwiający monitorowanie aktywności użytkowników mających dostęp do informacji oraz analizę rejestrowanych zdarzeń, jest jednym ze skuteczniejszych sposobów na zabezpieczenie firmy przed zagrożeniami wewnętrznymi.
Rozwiązaniem jest wdrożenie oprogramowania o rozbudowanych funkcjonalnościach, które zapewnia wysoki poziom ochrony danych – w tej roli sprawdzi się Syteca, który podchodzi do kwestii bezpieczeństwa IT w sposób wielowymiarowy. Program umożliwia:
- zarządzanie tożsamością i dostępem,
- nagrywanie sesji w formie video,
- filtrowanie monitorowania,
- reakcję na incydenty w czasie rzeczywistym,
- zarządzanie hasłami,
- szczegółowe audyty i raportowanie.
W połączeniu z rzetelną edukacją oraz umiejętnym reagowaniem na konflikty w organizacji, oprogramowanie pozwoli ograniczyć ryzyko niepożądanej działalności Insiderów.
Podsumowanie
Insider Threat, czyli zagrożenie wewnętrzne, to problem, którego nie należy lekceważyć – stanowi poważne wyzwanie dla firm i organizacji, które swoją uwagę skupiają na działaniu hakerów i cyberprzestępców. Przeszkodą dla bezpieczeństwa mogą być zarówno nieumyślne błędy pracowników, jak i różnie motywowane, celowo podjęte kroki, które prowadzą do kradzieży lub wycieku danych. Należy również pamiętać, że Insiderem może być nie tylko członek zespołu, ale także osoba, która zakończyła współpracę z firmą, wspólnicy, czy pracownicy outsourcingowi. Kluczem do ochrony poufnych informacji jest rzetelna edukacja pracowników, konsekwentna polityka bezpieczeństwa oraz wdrożenie dodatkowych rozwiązań takich jak zarządzanie dostępem i monitoring aktywności użytkowników – szczególnie tych uprzywilejowanych.