security

Insiderzy. Kim są i jak zagrażają Twojej firmie?

 

Standardowo, gdy mowa o wyciekach danych i atakach cybernetycznych, przedsiębiorcy dopatrują się źródła zagrożenia na zewnątrz to krążący po sieci wirus zasadza się na bezpieczeństwo firmy lub podstępny haker chce zaatakować przedsiębiorstwo. Mało kto zwraca uwagę również na niebezpieczeństwa, czające się wewnątrz organizacji.

Tymczasem dwa główne zagrożenia bezpieczeństwa sieci, według badania Canon, to „osoby o złych intencjach, mające dostęp do informacji poufnych (30%) oraz błąd człowieka (25%)”. Jeden i drugi przypadek możemy podsumować jednym, krótkim określeniem — insider. Kim są wspomniani insiderzy i jak się przed nimi bronić?

Kim jest insider

Insider to po prostu osoba mająca dostęp do informacji poufnych — i nadużywająca tego dostępu, świadomie bądź nie, z własnej inicjatywy lub zaszantażowana przez hakera.

Jak podaje „Insider Threat. Spotlight report” od AT&T Business, ponad 75% organizacji szacuje, że koszty usunięcia skutków naruszenia informacji poufnych przez insiderów mogą osiągnąć nawet 500 000 dolarów. 25% uważa, że koszty przekraczają tę kwotę i mogą sięgać nawet milionów.

Jak widać, przed Insiderami warto się bronić — a żeby robić to skutecznie, warto dowiedzieć się o nich nieco więcej. Zacznijmy od typów insiderów.

5 typów insiderów

Firma Verizon autor publikowanego corocznie raportu „Insider Threat Report”, pokusiła się o sklasyfikowanie najczęstszych typów insiderów, odpowiadających aż za 34% wszystkich wycieków danych w firmach. Klasyfikacja wygląda następująco:

  1. Nieostrożny pracownik (The Careless Worker) to ten, który celowo łamie lub obchodzi politykę bezpieczeństwa firmy. Czasem wynika to z braku wiedzy o konsekwencjach takich działań. Czasem przyczyną jest faktyczna chęć ominięcia firmowych wytycznych, np. aby zainstalować nielegalne oprogramowanie na służbowym laptopie;
  2. Agent wewnętrzny (The Inside Agent) pracownik zrekrutowany nieświadomie lub przekupiony przez cyberprzestępce w celu przekazywania danych;
  3. Niezadowolony pracownik (The Disgruntled Employee) to ktoś, kogo nie należy lekceważyć! Zdarza się, że konflikty na linii pracodawca-pracownik skutkują zniszczeniem danych lub przekazywaniem ich osobom z zewnątrz;
  4. Złośliwy informator (The Malicious Insider) pracownik, który nadużywa dostępu do poufnych danych w celu uzyskania własnych korzyści. Motywacją mogą być np. prowizja od okupu lub finansowanie przez konkurencje;
  5. Beztroska trzecia strona (The Feckless Third-Party) to pracownik lub kontrahent, który zaniedbując cyberbezpieczewństwo naraża firmę na wyciek danych.

Przykłady insiderów

Problem insiderów dotknął m.in. Coca Coli. Pracownik jednej ze spółek zależnych firmy odchodząc przywłaszczył dane około 8 tysięcy osób. Coca Cola powiadomiła pracowników, których dane wyciekły oraz zaoferowała im roczny bezpłatny monitoring pod kątem ewentualnych kradzieży tożsamości, realizowany przez firmę zewnętrzną.

Z problemem insiderów zmierzył się też Facebook. Pracownik zatrudniony jako (o ironio) inżynier bezpieczeństwa, za pomocą dostępnych na tym stanowisku uprawnień, pozyskiwał informacje, które następnie wykorzystywał do prześladowania kobiet online.

„Ważne, aby informacje, którymi dzielą się użytkownicy Facebooka, były przechowywane w sposób bezpieczny i gwarantujący prywatność. Zachowujemy ścisłą politykę bezpieczeństwa i ograniczeń technicznych, przez co pracownicy mają dostęp tylko do danych, których potrzebują do wykonywania swojej pracy – na przykład naprawy błędów, obsługi klienta lub odpowiedzi na ważne wnioski prawne. Pracownicy, którzy nadużyją uprawnień, zostaną zwolnieni” — podsumował sytuację Alex Stamos, Chief Security Officer Facebooka.

Jak zapobiegać atakom insiderów? Jak się bronić?

Standardowo, po nakreśleniu problematyki zagrożenia, przejdziemy zgrabnie do tego, jak się przed nim bronić.

Sprawdź, kto ma dostęp do danych

Zabezpieczanie firmy przed atakami z wewnątrz najlepiej zacząć od ustalenia poziomu dostępu poszczególnych pracowników. Czasem firmy mają co prawda listy uprawnień zatrudnionych przez siebie osób, ale nie są one aktualizowane na bieżąco (co czyni je właściwie bezużytecznymi).

Tymczasem, w przypadku ataku lub wycieku danych, warto mieć możliwość błyskawicznego ustalenia, kto posiada wgląd w skompromitowane informacje — i to w tym gronie rozpocząć poszukiwanie winnego.

Lista uprawnień pomaga też w przestrzeganiu zasady minimalnych uprawnień (o której kilka słów poniżej). Czasem dostęp do informacji mają pracownicy, którzy ich już nie potrzebują: nie pracują już na danym stanowisku lub nawet całkiem opuścili firmę. Lista pomaga szybko zauważyć takie przypadki.

Stosuj zasadę minimalnych uprawnień

Po okazji porządków na liście osób posiadających dostęp do najważniejszy danych firmy, proponujemy wdrożenie zasady minimalnych uprawnień, o której  wspominaliśmy już przy okazji artykułu o cyberbezpieczeństwie e-commerce. Mowa o tym, aby nadając uprawnienia użytkownikom, brać pod uwagę tylko te, których faktycznie potrzebują oni do wykonywania swojej pracy. Tak więc, np. osobie dodającej artykuły w panelu WordPress wystarczy konto „Redaktora”, nie są jej potrzebne uprawnienia administratorskie. Warto kierować się zdrowym rozsądkiem przy udzielaniu dostępów do różnych danych — im mniej osób cieszy się najwyższym poziomem uprawnień, tym lepiej dla firmy.

Jasno określ zasady

Czasem już samo zobrazowanie konsekwencji nielojalności wystarczy, aby ochłodzić zapały nieuczciwego pracownika. Absolutną podstawą jest polityka bezpieczeństwa firmy, jasno określająca jak korzystać z firmowego sprzętu i otrzymanych uprawnień, oraz jakie działania są wyraźnie zakazane (np. pobieranie nieautoryzowanego oprogramowania).

Nic nie stoi też na przeszkodzie, aby zabezpieczyć się przed trudnymi sytuacjami za pomocą umowy NDA (Non-disclousure agreement), zawierającej też informacje o karze za jej złamanie.

Co ciekawe, nawet jeśli nie zawarłeś z pracownikiem umowy o poufności danych, a on np. przekazywał je konkurencji, wciąż możesz wyciągnąć za to konsekwencje. Wspomina o tym przepis art. 11 ust. 1 ustawy o zwalczaniu nieuczciwej konkurencji:

Czynem nieuczciwej konkurencji jest ujawnienie, wykorzystanie lub pozyskanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa.

Oczywiście dochodzenie roszczeń bez zawarcia stosownej umowy jest znacznie trudniejsze, warto więc dmuchać na zimne i nie bać się poprosić przyszłego pracownika o parafowanie stosownego pisma. Dla tych, którzy i tak nie planują nadużyć swoich uprawnień, podpisanie standardowej umowy, nie powinno stanowić większego problemu.

Monitoruj godziny pracy

Sygnałem alarmowym wskazującym, że masz do czynienia z insiderem może być nagłe rozpoczęcie przez pracownika korzystania z zasobów firmowych poza godzinami pracy. Warto przyjrzeć się bliżej takim niespodziewanym aktywnościom — niestety mogą zwiastować one kłopoty.

Nie zadzieraj z pracownikiem

Rozwścieczony pracownik potrafi nieźle zajść za skórę pracodawcy, zwłaszcza jeśli w swojej opinii nie ma już nic do stracenia (czyli na przykład trwa jego okres wypowiedzenia).Warto na bieżąco pytać pracowników o ich ocenę miejsca pracy, na przykład za pomocą ewaluacji kwartalnej, i rozwiązywać problemy jeszcze zanim urosną do niebotycznych rozmiarów. To nie tylko kwestia cyberbezpieczeństwa, ale też po prostu zwykłego bycia fair.

Czy to wystarczy? Niestety nie zawsze. Nikt nie zagwarantuje Ci uczciwości pracownika, nawet jeśli Ty sam traktujesz go jak należy. Niemniej, dbanie o dobre samopoczucie zatrudnionych ludzi, nawet jeśli nie pomoże — na pewno nie zaszkodzi.

Podsumowując

Insiderzy to spore ryzyko dla organizacji — zwłaszcza jeśli zarząd nie zdaje sobie sprawy z ich istnienia. Często uparcie wypatrujemy ataku z zewnątrz, jednocześnie nie zauważając, że oszust podkopuje cyberbezpieczeństwo firmy od środka.

Na początek warto w ogóle dopuścić do siebie myśl, że insiderzy się zdarzają świadomość  zagrożeń to pierwszy krok do ochrony przed nimi. Mamy nadzieję, że powyższy artykuł był dla Ciebie właśnie takim krokiem — teraz pozostało Ci zachęcić do jego wykonania swoich pracowników. Powodzenia!

Rate the article:


03.09.2020