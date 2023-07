Z ankiety Ponemon Institute przeprowadzonej wśród 1000 specjalistów ds. IT i bezpieczeństwa IT w organizacjach, które doświadczyły „istotnych zdarzeń spowodowanych przez osoby mające dostęp do informacji poufnych” wynika, że liczba takich incydentów wzrosła o 44 proc. w ciągu zaledwie dwóch lat.

Termin „zagrożenie wewnętrzne” zazwyczaj odnosi się do pracownika lub kontrahenta, zarówno obecnego, jak i byłego, który może wyrządzić szkodę sieciom, systemom lub danym firmy. Są one umyślne i nieumyślne, przy czym te ostatnie dzielą się dalej na przypadkowe i wynikające z nieostrożności. Badania pokazują, że większość incydentów związanych z dostępem do informacji poufnych wynika z nieostrożności lub zaniedbania, a nie ze złych intencji.

Zagrożenie wewnętrzne może przybierać różne formy. Najczęściej są to kradzież lub niewłaściwe wykorzystania poufnych danych, naruszenie systemów wewnętrznych czy udzielenie dostępu zewnętrznym podmiotom. Takie zagrożenia są zwykle motywowane czynnikami takimi jak osiągnięcie korzyści finansowej, zemsta, ideologia, zaniedbanie lub zwykła złośliwość.

– Tego rodzaju zagrożenia stanowią wyjątkowe wyzwanie w zakresie cyberbezpieczeństwa, ponieważ mogą być trudne do wykrycia, a w zapobieganiu nawet trudniejsze. „Insiderzy” mają znacznie większe możliwości niż cyberprzestępcy atakujący z zewnątrz. Pracownicy i podwykonawcy muszą przecież mieć dostęp do systemów i danych organizacji, aby móc wykonywać swoje obowiązki. To oznacza, że zagrożenie z ich strony może nie być widoczne, dopóki atak faktycznie nie nastąpi. Co więcej, osoby, które mają dostęp do informacji poufnych, często znają również środki i procedury bezpieczeństwa swojego pracodawcy, a więc mogą je łatwiej obejść. Nawet jeśli dane stanowisko wymaga sprawdzenia przeszłości pracownika, czyli wykonania tzw. background check, nie da się w nim uwzględnić stanu emocjonalnego danej osoby, który może zmieniać się wraz z upływem czasu – mówi Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa w firmie ESET.

Większość incydentów związanych z dostępem do informacji poufnych wynika z nieostrożności lub zaniedbania (fot. Shutterstock)

Niemniej istnieją pewne środki, które organizacja może podjąć, aby zminimalizować ryzyko zagrożeń wewnętrznych. Opierają się one na połączeniu kontroli i kulturze świadomości cyberbezpieczeństwa.

Lepiej zapobiegać niż płacić okup. Kluczem szkolenia pracowników

Jak się okazuje, pracownicy bardzo często nie są świadomi zagrożeń związanych z cyberbezpieczeństwem i mogą nieświadomie kliknąć w link phishingowy, pobrać złośliwe oprogramowanie lub udostępnić poufne dane wewnętrzne. Kluczem jest więc zapewnienie im regularnych szkoleń.

Odpowiednio przeszkoleni w zakresie rozpoznawania i zgłaszania incydentów bezpieczeństwa pracownicy mogą pomóc w wykrywaniu i łagodzeniu zagrożeń bezpieczeństwa na wczesnym etapie.

- Aby szkolenia z zakresu cyberbezpieczeństwa były skuteczne, muszą zachęcać do samodzielnego myślenia. Najlepiej działa tu pokazywanie prawdziwych historii i przykładów. Takie rozmowy uświadamiają, że zagrożenia są realne, często też przypominają uczestnikom o sytuacjach, w których spotkali się z danym zagrożeniem, ale nie wiedzieli, z jakimi konsekwencjami mogło się wiązać ani w jaki sposób można było mu zapobiec. Im większa liczba omówionych problemów, tym większa szansa, że w czasie zagrożenia słuchacze przypomną sobie zasady bezpieczeństwa. Należy również pamiętać, że najlepiej uczymy się na własnych błędach. Nie chodzi oczywiście o to, aby czekać, aż pracownicy zostaną oszukani i wtedy tłumaczyć im, co źle zrobili. Pracodawcy mogą przeprowadzać, na potrzeby szkoleniowe, edukacyjne akcje phishingowe, dostosowane do obecnej sytuacji w miejscu pracy. Pracownicy poznają w ten sposób najnowsze sposoby, z których korzystają cyberprzestępcy, a jednocześnie otrzymują przydatny feedback na temat swojej reakcji i wiedzę, jak należy zachować się w przyszłości – radzi Paweł Majewski, trener Autoryzowanego Centrum Szkoleniowego Dagma.

Wiele zmienić trzeba także w podejściu do cyberzagrożeń wśród właścicieli firm.

Kiedy były pracownik ma dostęp do kluczowych haseł

Badanie PasswordManagera wykazało, że 58 proc. byłych pracowników nadal może posługiwać się hasłami pozwalającymi korzystać z zasobów poprzedniej firmy. Około 20 proc. organizacji twierdzi, że doświadczyło naruszenia danych przez byłych pracowników. A zdaniem zajmującej się bezpieczeństwem w sieci firmy Unit 42 - 75 proc. cyberataków może być dziełem niezadowolonych byłych pracowników.

Sytuacja jest na tyle poważna, że FBI i Amerykańska Agencja ds. Bezpieczeństwa Infrastruktury Cyberbezpieczeństwa wydały alert dotyczący bezpieczeństwa cyfrowego, w którym ostrzegają pracodawców przed problemem.

O tym, ile może kosztować złość byłego pracownika, przekonała się m.in. holenderska firma hostingowa Verelox, która musiała zmierzyć się z poważną awarią wszystkich swoich usług po tym, jak większość jej serwerów została usunięta przez byłego pracownika. Amerykańska firma Allegro Microsystems pozwała byłego administratora IT za rzekome zainstalowanie złośliwego oprogramowania, które usunęło krytyczne dane finansowe.

PasswordManager.com w marcu tego roku przeprowadził ankietę, która wykazała, że 58 proc. respondentów stwierdziło, że po odejściu nadal może używać haseł swojej poprzedniej firmy. Jeden na trzech ankietowanych przyznał, że korzysta z takiego dostępu od ponad dwóch lat.

– Usunięcie dostępu byłych pracowników do systemów jest krokiem koniecznym, jeśli chcemy ograniczenia ryzyka przyszłych naruszeń danych lub innych incydentów związanych z bezpieczeństwem. To po prostu dobra higiena bezpieczeństwa – podkreśla Christian Putz, country manager w Vectra AI, dostarczającej rozwiązania cyberbezpieczeństwa oparte na zaawansowanej AI.

W ankiecie, którą Unit 42 przeprowadził wśród 500 menedżerów IT, tylko około połowa stwierdziła, że jest pewna, że byli pracownicy nie mogą już uzyskać dostępu do aplikacji korporacyjnych.

48 proc. organizacji przyznało, że są świadome, że byli pracownicy nadal mają dostęp do sieci firmowej.

