W mojej firmie dzieją się kuriozalne rzeczy. Chyba mam insidera
Cybersecurity Insiders opublikowało raport, według którego 74 proc. firm dostrzega wzrost liczby ataków pochodzenia wewnętrznego tzw. insider attacks. Co ważne, te osoby te mogą działać z premedytacją lub w sposób całkowicie nieświadomy. Z danych wynika, że firma, która pada ofiarą insidera, jest narażona na straty finansowe wynoszące średnio ok. 16,2 mln dol. A proces wykrycia takiego ataku trwa średnio 86 dni.
Celami ataków od wewnątrz padają zazwyczaj firmowe urządzenia końcowe, sieć oraz poufne dane. Incydentem tego typu określić można korupcję, szpiegostwo, dewastację zasobów, sabotaż, terroryzm oraz nieautoryzowane ujawnianie tajnych informacji.
Insider nie zawsze działa z premedytacją
Osoby odpowiedzialne za ataki od wewnątrz nie zawsze działają z premedytacją, choć tak również się zdarza. Ze względu na ten fakt, wyróżnia się dwa typy insiderów:
- Pionki (pawns)– osoby te nie zdają sobie sprawy, że ich działania są szkodliwe dla firmy. Udostępniają swoje dane uwierzytelniające lub pobierają złośliwe oprogramowanie na urządzenia służbowe, ponieważ zostali zmanipulowani np. przez cyberprzestępcę przeprowadzającego atak phishingowy.
- Renegaci (turncloaks)–pracownicy, którzy z premedytacją podejmują działania szkodliwe dla ich firmy. Kierują nimi różne motywy jak chęć wzbogacenia się czy też frustracja warunkami pracy lub wynikająca ze zwolnienia.
Wielu insiderów-renegatów postrzega swoje działania jako formę wyrównania rachunków z firmą, która w jakiś sposób zawiodła ich oczekiwania. Jeżeli zaś chodzi o nieintencjonalne cyberataki od wewnątrz, to ich główną przyczyną jest wykazywana przez personel niewystarczająca znajomość zasad cyberbezpieczeństwa oraz roztargnienie - mówi Robert Dąbrowski szef zespołu inżynierów Fortinet w Polsce.
I wyjaśnia, że o incydencie tego typu można mówić nie tylko w odniesieniu do udanej próby phishingu, ale również w sytuacji, gdzie pracownik np. omyłkowo wysyła wrażliwe informacje do niewłaściwego adresata lub gubi fizyczny nośnik z danymi.
Skąd wiemy, że w naszej firmie jest insider?
Chociaż ataki od wewnątrz są stosunkowo trudne do wykrycia, istnieje kilka oznak, które mogą wskazywać na aktywność insidera w przedsiębiorstwie, oto one:
- Pierwszą z nich jest pojawienie się nieautoryzowanego oprogramowania na firmowym sprzęcie. Nowy program może okazać się bowiem tzw. koniem trojańskim, pobranym przez nieświadomego pracownika. Nazwa ta odnosi się do złośliwego oprogramowania, które podszywa się pod realne aplikacje i narzędzia. Ale nieautoryzowane oprogramowanie może także zostać pobrane przez pracownika celowo.
- Podejrzenia powinny wzbudzać również sytuacje, w których pracownicy alarmują, iż nie są w stanie uzyskać dostępu do danych, do których wcześniej mieli wgląd. Zgłoszenia tego typu należy jak najszybciej zbadać. Mogą one bowiem oznaczać, że insider zmienił hasła, którymi chronione były firmowe zasoby, celem uzyskania do nich wyłącznego dostępu.
- Oznaką ataku od wewnątrz mogą być także powiadomienia o próbach uzyskania dostępu do wrażliwego obszaru sieci.
Zdarza się, że insiderzy-renegaci instalują na firmowym sprzęcie aplikacje umożliwiające im późniejsze zdalne uzyskanie dostępu do zasobów przedsiębiorstwa. Do narzędzi tego typu należą m.in. TeamViewer oraz AnyDesk – tłumaczy Robert Dąbrowski.
Więcej wiadomości na temat cyberprzestępstw można przeczytać poniżej:
Jak chronić firmę przed działaniem insidera?
Zabezpieczenie przedsiębiorstwa przed działaniami insiderów wymaga przede wszystkim zaopatrzenia go w narzędzia do wykrywania zagrożeń. Rozwiązania te zapewnia m.in.:
- Wgląd w szczegółowe informacje związane z logowaniem się pracowników do firmowej sieci i systemów. Wśród danych tych powinna znajdować się godzina, o której użytkownicy usiłują uzyskać dostęp do zasobów przedsiębiorstwa oraz lokalizacja.
- Jeżeli narzędzia ochronne wykryją podejrzaną aktywność, powinna być ona zbadana w trybie natychmiastowym. W ten sposób możliwe staje się zminimalizowanie potencjalnych szkód ataku od wewnątrz.
- Po ustaleniu, że wykryta aktywność rzeczywiście stanowi zagrożenie dla przedsiębiorstwa, koniecznym jest uruchomienie mechanizmów blokujących konkretnym użytkownikom dostęp do firmowej sieci i systemów.
Przede wszystkim jednak przedsiębiorstwa muszą posiadać i egzekwować określone reguły polityki cyberbezpieczeństwa, które będą chronić ich zasoby oraz zapewnią zgodność z regulacjami prawnymi - podsumowuje Robert Dąbrowski.
Należy zadbać też o to, aby personel był dobrze zaznajomiony z tymi zasadami, a także zagrożeniami, na jakie może natknąć się w sieci. Praktyka ta pozwoli na zmniejszenie ryzyka nieintencjonalnego ataku wewnętrznego, będącego skutkiem np. udanej próby phishingu.
