Insider threat, czyli ryzyko wewnątrz organizacji | Biznes Netia
Menu główne
Wyszukiwarka
linkedin front share icon linkedin reverse share icon facebook front share icon facebook reverse share icon twitter front share icon twitter reverse share icon

Insider threat, czyli ryzyko wewnątrz organizacji. Na czym polega?

09 kwietnia 2024, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.
W Twojej firmie wystąpił atak insider threat? Co robić, gdy zagrożenie dla Twojej firmy pochodzi z wewnątrz? Jak zapobiegać i chronić się przed atakami wewnętrznymi? Czy istnieją metody dające stuprocentową skuteczność? Odpowiedzi na te pytania postaramy się zawrzeć w poniższym artykule.
 
 
 
   

Na czym polega atak insider threat?

 

Zagrożenia dla bezpieczeństwa IT możemy najogólniej podzielić na zagrożenia zewnętrzne oraz wewnętrzne. Choć tak często skupiamy się nad ochroną przed tą pierwszą grupą ataków, to zagrożenia płynące z wewnątrz organizacji są często trudniejsze do wykrycia i zidentyfikowania.

 

Atak insider threat nie jest zdefiniowanym technicznie konkretnym działaniem, a raczej grupą możliwych czynności i zachowań, którymi pracownicy, współpracownicy, kontrahenci czy jednorazowi zleceniobiorcy firmy – mogą w świadomy lub nieświadomy sposób zaszkodzić organizacji.

 

W wyniku działań określanych w ten sposób może dochodzić do wycieku chronionych danych lub ich przechwycenia przez hakerów, uszkodzenia systemów IT, a także sabotowania planów biznesowych.

 

Insider threat w firmie – kim są insiderzy i dlaczego stanowią zagrożenie?

 

Choć w ramach insider threat możemy mówić o różnych typach zagrożeń, wspólnym mianownikiem dla wszystkich jest czynnik ludzki, czyli działania osób mających legalny dostęp do poszczególnych obszarów firmowej infrastruktury. To właśnie oni, popełniając nieświadomie błędy lub celowo działając w złej intencji, mogą narazić firmę na poważne kłopoty.

 

Problemy związane z ryzykiem wewnątrz organizacji mogą mieć różne motywy i podłoża. Insider threat możemy podzielić na trzy podstawowe grupy, choć ich cechy mogą się wzajemnie przenikać.

 

  • Pracownicy firmy nieświadomi zagrożeń, którzy ignorują polityki bezpieczeństwa i procedury, jednak nie mają złych intencji. To prawdopodobnie najliczniejsza grupa insiderów. Składają się na nią najczęściej pracownicy działów nietechnicznych, którzy są nieświadomi zagrożeń, jakie mogą nieść za sobą nieodpowiedzialne zachowania.

     

    Są to też osoby, które w ferworze wykonywanych obowiązków popełniają proste błędy. Ignorują konieczność regularnej zmiany haseł i stosowania unikalnych kombinacji, nie wylogowują się ze swoich stanowisk, otwierają załączniki niewiadomego pochodzenia, czy też na własną rękę pobierają i instalują nieautoryzowane oprogramowanie, dopuszczając się tzw. shadow IT. Tego rodzaju osoby są też podatne na socjotechniki – np. phishing lub spoofing.

     

    Może się okazać, że problem insider threat w większym stopniu leży po stronie firmy, która nie organizuje szkoleń, nie uczula pracowników na niebezpieczne sytuacje i nienależycie dba o podstawy cyberbezpieczeństwa (np. poprzez brak procedur i polityk).


  • Osoby działające na zlecenie cyberprzestępców, konkurencji lub we własnym interesie. To wyjątkowo niebezpieczna, bo zdeterminowana i wyrachowana grupa oszustów, najczęściej motywowanych finansowo. Są nastawieni na osiągnięcie celu dowolnym kosztem. Doskonale znają zarówno metody ataków (m.in. zręcznie posługują się socjotechniką), jak i obrony przed nimi. Świetnie się maskują i zacierają ślady swoich działań, przez co są niezwykle trudni do wykrycia. Działają w zorganizowany sposób, wiedząc, jak to robić, by nie zostać wykrytym. Insider tego typu będzie starał się sabotować działania biznesowe, wykradnie firmowe bazy danych, informacje o procesach czy też wrażliwe dane biznesowe – oferty, analizy, dane kontrahentów. Firmowe dane pozyskanie w nielegalny sposób może próbować wykorzystywać po przejściu do konkurencyjnej firmy.

  • Pracownicy motywowani chęcią zemsty na firmie. Pracownik otrzymujący wypowiedzenie umowy o pracę, niezadowolony stażysta czy specjalista, któremu odmówiono podwyżki – to bardzo często osoby, które mogą dopuścić się świadomego ataku insider threat na szkodę firmy. Ta grupa nie działa na zlecenie konkurencji lub innych osób, a przynajmniej tego nie planuje. Chce po prostu zaszkodzić swojej firmie, narażając ją na konsekwencje prawne lub sabotując procesy biznesowe. W tym gronie rzadko mamy do czynienia z wyszkolonymi oszustami lecz ze sfrustrowanymi pracownikami, popełniającymi zazwyczaj wiele błędów, pozostawiając wyraźne ślady swoich działań, których nie są świadomi. Brak im wiedzy technicznej i doświadczenia, by realnie zaszkodzić firmie czy pozostać niewykrytymi.
 

Insider threat – prawdziwe przykłady ataków

 
  • W 2022 roku jedna z pracownic Taco Bell w USA przechwytywała numery kart kredytowych klientów restauracji. Policji bardzo szybko udało się jednak ustalić dane oszustki, gdy pokrzywdzeni zaczęli zgłaszać dziwne transakcje na swoich kontach bankowych. Pracownica Taco Bell wykorzystywała skradzione dane do opłacania własnych rachunków i zakupów online.

  • W wyniku nieprawidłowo skonfigurowanej bazy danych tureckie linie lotnicze Pegasus Airlines udostępniły do ogólnego wglądu 23 miliony plików zawierających dane wrażliwe.

  • Pracownik Yahoo, po otrzymaniu w 2022 roku propozycji pracy od konkurencyjnej firmy, pobrał ponad pół miliona stron informacji o nowym produkcie aktualnego pracodawcy, które następnie wykorzystał w kolejnej pracy. Byłemu pracownikowi przedstawiono zarzuty.

  • Pracownik firmy lotniczej Boeing wysłał do swojej żony, niebędącej pracownicą tej samej firmy i nieuprawnionej do odbioru tego rodzaju plików, arkusz kalkulacyjny. Chciał, by ta pomogła mu w rozwiązaniu problemu z formatowaniem treści. W arkuszu znajdowały się dane 36 000 pracowników firmy. Pomimo faktu, że dane nie wyciekły poza urządzenie żony pracownika, firma opłaciła pokrzywdzonym dwuletni pakiet monitorowania zapytań kredytowych na ich dane.
 

Każdego dnia dochodzi do wielu mniej spektakularnych, a równie niebezpiecznych naruszeń typu insider threat. Zjawisku da się jednak przeciwdziałać – o czy poniżej.

 

Czy da się ochronić przed insider threat?

 

Choć zapewnienie firmie stuprocentowej ochrony przed insider threat oraz innymi zagrożeniami nie jest możliwe, to istnieją sposoby na ograniczenie ryzyka wystąpienia zagrożeń wewnętrznych. Podstawą wszelkich działań jest rozwijanie świadomości cyberbezpieczeństwa (tzw. security awareness) wśród swojej kadry.

 

Ważna jest także dogłębna weryfikacja zatrudnianych pracowników oraz kandydatów. Poprzednie miejsca zatrudnienia i okoliczności rozwiązania umowy powiedzą nam wiele nie tylko na temat doświadczenia zawodowego, ale także relacji z poprzednimi pracodawcami. Istotne są też oczywiście ewentualne wyroki sądów dotyczące kandydata – jedna z ważniejszych kwestii, która powinna podlegać weryfikacji przed zatrudnieniem.

 

W przypadku rozwiązywania współpracy z danym pracownikiem należy przygotować się do tego odpowiednio wcześniej i w odpowiednim momencie drastycznie zmniejszyć uprawnienia systemowe w ramach działań profilaktycznych. Ograniczenie możliwości kopiowania danych na nośniki czy wysyłania ich do chmury pomoże zapobiec powstawaniu celowych wycieków danych.

 

W przypadku tzw. użytkowników uprzywilejowanych (np. administratorów), mających niemal nieograniczony dostęp do zasobów krytycznych serwerów, pomocne są narzędzia PIM/PAM/PUM.

 

W parze z tymi działaniami powinno iść tworzenie skutecznych polityk i procedur bezpieczeństwa. Warto rozważyć zakaz używania własnej pamięci masowej wewnątrz firmowej sieci i kontrolowanie dostępu do poufnych informacji, przydzielając pracownikom wyłącznie te dane, które są niezbędne do ich pracy. Nadane dostępy należy także regularnie rewidować, sprawdzając czy dany pracownik wciąż potrzebuje wglądu do konkretnych plików i obszarów sieci. Dobrym pomysłem jest również wdrożenie systemu zarządzania uprawnieniami do dokumentów – szczególnie tych o krytycznym znaczeniu dla bezpieczeństwa. Managerowie powinni również monitorować zachowanie pracowników i zwracać uwagę na ich zmianę stosunku do pracy np. poprzez głośne wyrażanie niezadowolenia z firmy, albo nietypowe zachowania – np. zainteresowanie projektami, z którymi nie są związani lub prośby o przydzielenie dostępu do poufnych informacji bez wyraźnego powodu.

 

Istotne jest także dbanie o satysfakcję pracowników i regularne mierzenie jej poziomu – np. za pomocą takich wskaźników jak eNPS (Employee Net Promoter Score).

 

Świadomość zagrożeń wewnętrznych – podstawa w Twojej firmie

 

W przypadku firm, które przetwarzają wrażliwe informacje lub prowadzą działania biznesowe utrzymywane w tajemnicy, kluczowa jest świadomość managementu, dotycząca możliwości wystąpienia ryzyk wewnętrznych.

 

Zasada ograniczonego zaufania jest niezbędna dla zapewnienia odpowiedniej ochrony. Najlepsze efekty w kwestii monitorowania ruchu wewnątrz firmowej sieci daje skorzystanie z doświadczonego zespołu Security Operations Center, takiego jak SOC Netii.

 

Stały, opisany w regulaminie firmy wgląd w aktywność pracowników (o czym pracownicy muszą być poinformowani) i systemów pozwala w porę wykryć wycieki danych, a także nietypowe zachowania. Dodatkowymi narzędziami do odkrywania podatności i ewentualnych luk są testy penetracyjne i audyty wewnętrzne, biorące pod lupę szczelność systemów bezpieczeństwa, baz danych i aplikacji. Wskazane jest również wykorzystywanie narzędzi ochrony poczty elektronicznej, które zmniejszają ryzyko wystąpienia skutecznych ataków socjotechnicznych. Czujność i świadomość pracowników można sprawdzać za pomocą kontrolowanych ataków phishingowych. Przydatne są również systemy DLP (ang. Data Leak Protection), monitorujące wyciek informacji z firmowej sieci różnym drogami, a także DAM (ang.: Database Activity Monitoring) – oferujący opcje monitoringu i analizy aktywności zagrażających bezpieczeństwu baz danych.

 
Dowiedz się więcej o Security Operations Center

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów(Codziennie 8:00 - 18:00) +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne(Dostępne 24/7) 801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

17 kwietnia 2024
Cyberbezpieczeństwo – co to jest i jak zapewnić je w firmie?

Co to jest cyberbezpieczeństwo dla firm? Jak je zapewnić w organizacji? Ataki hakerskie z roku na rok przybierają na sile, a pojawiające się wciąż nowe metody cyberprzestępców zmuszają firmy do zmiany strategii ochrony. W artykule przyjrzymy się...

Czytaj
12 kwietnia 2024
Bezpieczeństwo baz danych – jak zadbać o nie w firmie?

Bezpieczeństwo baz danych to złożony i trudny w realizacji proces, który z biegiem lat nabiera coraz większego znaczenia. Organizacje na całym świecie administrują miliardami gigabajtów informacji, z czego znaczna część stanowi atrakcyjny łup...

Czytaj
09 kwietnia 2024
Insider threat, czyli ryzyko wewnątrz organizacji. Na czym polega?

W Twojej firmie wystąpił atak insider threat? Co robić, gdy zagrożenie dla Twojej firmy pochodzi z wewnątrz? Jak zapobiegać i chronić się przed atakami wewnętrznymi? Czy istnieją metody dające stuprocentową skuteczność? Odpowiedzi na te pytania...

Czytaj
linkedin front share icon linkedin reverse share icon facebook front share icon facebook reverse share icon twitter front share icon twitter reverse share icon
Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

W Netii odpowiedzialny jest za rozwój oferty usług bezpieczeństwa IT. Od początku kariery zawodowej związany z branżą telekomunikacyjną - wcześniej pracował w Tele2 Polska, Exatel, i T-mobile Polska. Ekspert w tworzeniu zaawansowanych rozwiązań ICT w modelu usługowym dla Klientów biznesowych. Prelegent na różnych konferencjach oraz autor publikacji poświęconych tematyce bezpieczeństwa teleinformatycznego. Interesuje się nowymi technologiami oraz tematami związanymi z szereko rozumianą e-gospodarką. Absolwent Szkoły Głównej Handlowej w Warszawie oraz międzynarodowego programu CEMS MIM.
Wyświetl profil Eksperta na LinkedIn

WSZYSTKIE POSTY TEGO AUTORA
Zamów kontakt

lub zadzwoń +48 22 35 81 550

Wybierz swój język ×

enEnglish plPolski