Jeżeli Twój pracownik zacznie kraść dane, dokonywać cyberataków z wykorzystaniem Twoich serwerów albo wręcz zainstalować ransomware w Twojej firmie, badania mówią iż tylko w co drugiej takiej sytuacji zareagujesz na czas. Jak to zmienić?

Po czynach ich poznacie

Większość firm ma trudności z identyfikacją i wykrywaniem okoliczności, które mogą sugerować, że osoba mająca dostęp do informacji poufnych planuje kradzież tych danych lub dokonanie innych nadużyć.

Badania przeprowadzone przez instytut Ponemon Institute i firmę DTEX Systems sugerują, że ponad połowa firm uważa, że zapobieganie atakom z wykorzystaniem informacji wewnętrznych jest niemożliwe lub bardzo trudne. Firmy te nie dostrzegają sygnałów, że coś może być nie tak. Należą do nich nietypowe ilości otwieranych plików, próby korzystania z urządzeń USB, celowe obchodzenie zabezpieczeń przez pracowników, maskowanie ich aktywności online lub przenoszenie i zapisywanie plików w nietypowych lokalizacjach. Wszystkie te czynniki mogą sugerować, że dany użytkownik planuje złośliwe działania, w tym kradzież danych firmowych.

Zagrożenia wewnętrzne mogą przybierać różne formy, począwszy od pracowników, którzy planują zabrać poufne dane, odchodząc do innej pracy, po tych, którzy aktywnie współpracują z cyberprzestępcami, potencjalnie nawet w celu stworzenia podstaw do ataku typu ransomware.

W wielu przypadkach osoba mająca dostęp do informacji poufnych, przygotowująca się do przeprowadzenia ataku, będzie postępować zgodnie z ustalonym schematem działań, obejmującym rozpoznanie, obejście, agregację, ukrycie i eksfiltrację, z których każda powinna adminom czy sysopom sugerować, że coś jest nie tak.

Problemy z wykryciem i interpretacją zagrożenia

Jednak firmy mają trudności z wykryciem wskaźników zagrożeń wewnętrznych na każdym z tych etapów z powodu braku skutecznych kontroli i praktyk w zakresie monitorowania. Zdaniem Larry’ego Ponemona, prezesa i założyciela Ponemon Institute:

Zdecydowana większość zagrożeń bezpieczeństwa ma pewien schemat lub sekwencję działań prowadzących do ataku, a zagrożenia wewnętrzne nie są tu wyjątkiem.

Wielu specjalistów ds. bezpieczeństwa zna już Cyber Kill Chain firmy Lockheed Martin oraz MITRE ATT&CK Framework, które opisują różne etapy ataku i taktykę stosowaną przez zewnętrznego przeciwnika. Ale ponieważ ludzkie zachowanie jest bardziej zniuansowane niż zachowanie maszyn, ataki wewnętrzne podążają nieco inną ścieżką i dlatego wymagają nowoczesnego podejścia do tej walki.

Zaledwie jedna trzecia firm uważa, że skutecznie zapobiega wyciekom danych z organizacji

Według badań, jednym z głównych powodów, dla których zagrożenia związane z wykorzystaniem informacji poufnych nie są wykrywane, jest zamieszanie wokół tego, kto jest odpowiedzialny za kontrolowanie i ograniczanie ryzyka. 15% ankietowanych zasugerowało, że jest za to odpowiedzialny prezes lub dyrektor generalny, ale już zdaniem kolejnych 15% nikt nie ponosi ostatecznej odpowiedzialności w tym obszarze - co oznacza, że zarządzanie i wykrywanie ryzyka i zagrożeń może zostać pominięte w zarządzaniu przedsiębiorstwem.

Istnieje kilka czynników, które utrudniają wykrywanie ryzyka związanego z bezpieczeństwem cybernetycznym - w tym zagrożeń związanych z wykorzystaniem informacji poufnych. Ponad połowa firm wskazuje na brak wewnętrznej wiedzy specjalistycznej w zakresie radzenia sobie z zagrożeniami, podczas gdy nieco mniej niż połowa ankietowanych stwierdziła, że brakuje na to budżetu a przejście na pracę zdalną również niejako dodatkowo utrudnia ograniczanie ryzyka związanego z cyberbezpieczeństwem.

Co z tym począć?

Według Ponemona i DTEX, najlepszym sposobem na poprawę zdolności firm do wykrywania zagrożeń związanych z wykorzystaniem informacji poufnych jest poprawa stanu bezpieczeństwa w firmie, a także wyznaczenie wyraźnego organu odpowiedzialnego za kontrolę i ograniczanie tego ryzyka - takiego, który może badać działania sugerujące potencjalny atak z wykorzystaniem informacji poufnych.

Nasze wyniki wskazują, że aby w pełni zrozumieć każdy incydent związany z wykorzystaniem informacji poufnych, kluczowa jest znajomość niuansów i sekwencji ludzkich zachowań. Organizacje muszą przyjąć ludzkie podejście do zrozumienia i wykrywania zagrożeń ze strony insiderów, ponieważ elementy ludzkie są w samym sercu tych zagrożeń.