Jak chronić się przed coraz liczniejszymi zagrożeniami wewnętrznymi?

Zagrożenia przychodzą nie tylko z zewnątrz. Według szacunkowych danych blisko 40% naruszeń bezpieczeństwa w obszarze IT jest popełnianych przez osoby związane z firmą. Jak wynika z raportów, w ciągu ostatnich 12 miesięcy ponad 50% organizacji padło ofiarą ataków wewnętrznych, a 90% przyznaje, że jest narażonych na wewnętrzne zagrożenia. Dlaczego mają miejsce takie ataki? Najczęściej w celu uzyskania korzyści materialnych; czasami jednak są one spowodowane zemstą lub możliwością uzyskania korzyści w przyszłości dzięki dostarczeniu danych do nowej pracy.

Wydawnictwo IT Digital Media zgromadziło ekspertów ds. cyberbezpieczeństwa w celu omówienia wewnętrznych zagrożeń, które są coraz bardziej powszechne i kosztowne. Javier Osuna z GMV zaprezentował swe doświadczenie i wiedzę na temat zagrożeń wewnętrznych, podkreślając, że procesy cyfrowej transformacji powodują zacieranie się granic fizycznych i logicznych. Aspekty takie jak time to market, mobilność, telepraca, łączenie firm, jak również podwykonawstwo w firmach i wśród specjalistów spowodowały rozluźnienie oraz wydłużenie zarówno łańcucha wartości, jak i łańcucha dostaw. W konsekwencji problemy zagrożeń wewnętrznych mają coraz większy wymiar, co wymaga świadomości i rekonceptualizacji związanej z ochroną bez granic.

W obliczu tak szerokiej koncepcji jak zagrożenia wewnętrzne Javier Osuna zaleca skupienie się przede wszystkim na osobach i ich motywacjach: kim są osoby mające dostęp do informacji poufnych i czego poszukują?

Osoba posiadająca dostęp do informacji poufnych jest niezbędnym ogniwem w „ciemnym łańcuchu” dostaw informacji, niezbędnym do innych celów, które mogą mieć różne motywacje (polityczne, gospodarcze, społeczne, przestępcze itp.). Niebezpieczeństwo tkwi w zaufaniu oraz w łatwości dostępu do poufnych informacji lub do wrażliwych systemów w normalny sposób, bez wzbudzania podejrzeń. Jest to skomplikowany scenariusz, w którym uprawnione osoby mają dostęp do poufnych informacji, a ich przeznaczenie określa, czy mamy do czynienia ze zdarzeniem zagrażającym bezpieczeństwu czy nie.

Motywacje mogą być różne: wynikające z przekonań, jak haktywizm czy przestępczość zorganizowana, szpiegostwo przemysłowe, a nawet między krajami; oraz zdarzenia przypadkowe, spowodowane przez „roztargnionego pracownika” lub pracownika nieświadomego, a w niektórych przypadkach nawet działającego pod przymusem.

Powyższe „modus operandi” osób są nieustannie analizowane w GMV pod kątem bezpiecznego korzystania z zasobów IT, jak również pod kątem informacji, które organizacje przetwarzają, w celu opracowania modeli użytkowania (każda organizacja ma swoją własną kazuistykę) oraz w celu oceny ryzyka potencjalnych nadużyć związanych z dostępnością informacji wrażliwych, łatwością ich uzyskania lub wizualizacji, jak też z wymogami ich rozpowszechniania. Pozwala nam to na określenie taksonomii potencjalnych zdarzeń dotyczących eksfiltracji informacji, na monitorowanie działalności organizacji związanej z danymi, na doradzanie w kwestii „Forensic Readiness” w celu nabycia wiedzy na temat tego typu zdarzeń i wreszcie na ustanowienie „alarmów powiadamiających o niewłaściwym wykorzystywaniu” informacji.

W przypadku gdy skradziono pieniądze, prędzej czy później wychodzi to na jaw, ponieważ zmieniają one lokalizację lub właściciela. Jednak wykrycie, czy doszło do uzyskania dostępu do informacji, ich powielenia lub modyfikacji, jest trudne, ponieważ właściciel nadal je posiada. Dlatego w większości przypadków w celu zidentyfikowania wycieków informacji należy przyjrzeć się temu, co dzieje się na zewnątrz. W GMV zamykamy ten krąg poprzez nasze usługi CERT i procesy cybernadzoru.

Podsumowując, dużo mówi się o wykrywaniu anomalii, ale trzeba być ostrożnym, ponieważ normalność nie zawsze jest czymś pożądanym. Największym zagrożeniem jest to, czego nie wykryłeś i co uważasz za normalne.

• NAGRANIE WIDEO Z DEBATY
• SPECJALNE WYDANIE ITDM – ZAGROŻENIA WEWNĘTRZNE