Όλα ξεκίνησαν αθώα, όταν ένας υπάλληλος της Tesla έλαβε πρόσκληση από έναν πρώην συνεργάτη του για να βρεθούν για ποτό.
Αρκετά ποτά και γεύματα αργότερα, ο παλιός γνώριμος ξεκαθάρισε τις πραγματικές του προθέσεις: προσέφερε στον υπάλληλο της Tesla 1 εκατομμύριο δολάρια για την παράνομη εισαγωγή κακόβουλου λογισμικού στο δίκτυο υπολογιστών της αυτοκινητοβιομηχανίας, σε ένα σχέδιο που, αν ήταν επιτυχές, θα επέτρεπε σε ένα κύκλωμα ηλεκτρονικού εγκλήματος να κλέψει ζωτικά δεδομένα από την Tesla και να τα κρατήσει για λύτρα.
Ευτυχώς, το σχέδιο ναυάγησε αφού ο υπάλληλος έκανε το σωστό – ανέφερε την προσφορά στον εργοδότη του και συνεργάστηκε με το FBI για την προσαγωγή του παλιού του συνεργάτη στη δικαιοσύνη.
«Ωστόσο, όλα θα μπορούσαν να είχαν εξελιχθεί πολύ διαφορετικά. Αυτή η απόπειρα επίθεσης ήταν μια υπενθύμιση ότι οι εργαζόμενοι δεν είναι μόνο το μεγαλύτερο περιουσιακό στοιχείο ενός οργανισμού, αλλά συχνά και ο μεγαλύτερος κίνδυνος – και ένας κίνδυνος που συχνά περνάει απαρατήρητος» προειδοποιεί ο Márk Szabó από την ομάδα της παγκόσμιας εταιρείας ψηφιακής ασφάλειας ESET.
Ας δούμε κάποια στατιστικά στοιχεία θα μας βοηθήσουν να συνειδητοποιήσουμε πόσο σημαντικό είναι το θέμα. Σύμφωνα με την έκθεση της Verizon 2023 Data Breach Investigations Report (DBIR), το 19% από τις περίπου 5.200 παραβιάσεις δεδομένων που εξετάστηκαν στη μελέτη προκλήθηκαν από εσωτερικούς παράγοντες.
Εν τω μεταξύ, η έρευνα του Ponemon Institute σε 1.000 επαγγελματίες πληροφορικής και ασφάλειας πληροφορικής από οργανισμούς που είχαν βιώσει «σημαντικά συμβάντα που προκλήθηκαν από κάποιον μέσα στην εταιρεία» διαπίστωσε ότι ο αριθμός των συμβάντων ασφαλείας που σχετίζονται με εσωτερικούς παράγοντες είχε αυξηθεί κατά 44% σε μόλις δύο χρόνια. Η παγκόσμια έκθεση 2022 Cost of Insider Threats Global Report προσδιόρισε τον αριθμό αυτών των συμβάντων σε περισσότερα από 6.800, ενώ οι οργανισμοί που επηρεάστηκαν δαπανούν 15,4 εκατομμύρια δολάρια ετησίως για την αποκατάσταση των απειλών από εσωτερικούς χρήστες.
Η επιφάνεια επίθεσης διευρύνεται – και για τις εσωτερικές απειλές
Οι σοβαρές και ισχυρές απειλές στον κυβερνοχώρο, όπως οι επιθέσεις στην αλυσίδα προμήθειας λογισμικού, η απάτη επιχειρησιακού ηλεκτρονικού ταχυδρομείου (BEC) και άλλες απάτες που αξιοποιούν κλεμμένα logins εργαζομένων, μαζί με το ransomware και άλλες επιθέσεις που συχνά διευκολύνονται από ένα ακμάζον μοντέλο ηλεκτρονικού εγκλήματος ως υπηρεσία, έχουν ωθήσει την κυβερνοασφάλεια στην κορυφή της ημερήσιας διάταξης των διοικητικών συμβουλίων.
Με τη κούρσα για τον ψηφιακό μετασχηματισμό, τη στροφή σε ευέλικτες μορφές εργασίας που βασίζονται στο cloud και την αυξανόμενη εξάρτηση από τρίτους προμηθευτές, η επιφάνεια επίθεσης κάθε οργανισμού έχει διευρυνθεί σημαντικά. Το τοπίο της κυβερνοασφάλειας είναι πλέον πιο πολύπλοκο από ποτέ, και καθώς οι επιτιθέμενοι εκμεταλλεύονται αυτή την πολυπλοκότητα, ο εντοπισμός και η ιεράρχηση των πιο κρίσιμων κινδύνων δεν είναι πάντα μια απλή διαδικασία.
Θολώνοντας ακόμη περισσότερο τα νερά, το να κρατάμε τους εξωτερικούς επιτιθέμενους μακριά είναι συχνά μόνο η μισή μάχη. Οι εσωτερικές απειλές συνήθως δεν είναι ψηλά στις προτεραιότητες, παρόλο που ο αντίκτυπος ενός περιστατικού που προκαλείται από μια επίθεση εκ των έσω είναι συχνά ακόμη πιο τρομακτικός από τον αντίκτυπο ενός περιστατικού που προκαλείται αποκλειστικά από μια εξωτερική επίθεση.
Κάτω από τη μύτη μας
Η εσωτερική απειλή είναι ένας τύπος απειλής κυβερνοασφάλειας που εγκυμονεί στο εσωτερικό μιας επιχείρησης ή οργανισμού, καθώς συνήθως αναφέρεται σε έναν υπάλληλο ή συνεργάτη, νυν ή πρώην, ο οποίος μπορεί να προκαλέσει βλάβη στα δίκτυα, τα συστήματα ή τα δεδομένα μιας εταιρείας.
Οι απειλές εκ των έσω διακρίνονται συνήθως σε δύο τύπους – τις εκούσιες και τις ακούσιες, με τις τελευταίες να αναλύονται περαιτέρω σε τυχαίες και απρόσεκτες πράξεις. Μελέτες δείχνουν ότι τα περισσότερα περιστατικά που σχετίζονται με εσωτερικές απειλές οφείλονται σε απροσεξία ή αμέλεια και όχι σε δόλο.
Η απειλή μπορεί να λάβει πολλές μορφές, όπως η κλοπή ή η κατάχρηση εμπιστευτικών δεδομένων, η καταστροφή εσωτερικών συστημάτων, η παροχή πρόσβασης σε κακόβουλους φορείς και ούτω καθεξής. Τέτοιες απειλές συνήθως υποκινούνται από διάφορους παράγοντες, όπως οικονομικούς, ιδεολογικούς, αμέλειας, απλής κακοβουλίας, ή εκδίκησης.
Αυτές οι απειλές θέτουν μοναδικές προκλήσεις για την ασφάλεια, καθώς είναι δύσκολο να εντοπιστούν και ακόμη πιο δύσκολο να αποτραπούν, μεταξύ άλλων επειδή οι υπάλληλοι ή συνεργάτες έχουν πολύ μεγαλύτερο παράθυρο ευκαιρίας από ό,τι οι εξωτερικοί επιτιθέμενοι. Φυσικά, οι εργαζόμενοι και οι συνεργάτες απαιτούν νόμιμη και αυξημένη πρόσβαση στα συστήματα και τα δεδομένα ενός οργανισμού προκειμένου να κάνουν τη δουλειά τους, πράγμα που σημαίνει ότι η απειλή μπορεί να μην είναι εμφανής μέχρι να πραγματοποιηθεί η επίθεση ή αφού έχει γίνει η ζημιά. Οι εργαζόμενοι είναι επίσης συχνά εξοικειωμένοι με τα μέτρα και τις διαδικασίες ασφαλείας του εργοδότη τους και μπορούν να τα παρακάμψουν ευκολότερα.
Επιπλέον, παρόλο που οι διαβαθμίσεις ασφαλείας απαιτούν ελέγχους ιστορικού, δεν λαμβάνουν αυστηρά υπόψη την προσωπική ψυχική κατάσταση, καθώς αυτή μπορεί να αλλάξει με την πάροδο του χρόνου.
Παρ’ όλα αυτά, υπάρχουν ορισμένα μέτρα που μπορεί να λάβει ένας οργανισμός για να ελαχιστοποιήσει τον κίνδυνο εσωτερικών απειλών. Βασίζονται σε έναν συνδυασμό ελέγχων ασφαλείας και μιας κουλτούρας ευαισθητοποίησης σε θέματα ασφαλείας και καλύπτουν εργαλεία, διαδικασίες και ανθρώπους.
Προληπτικά μέτρα για τον μετριασμό του κινδύνου απειλών εκ των έσω
«Να σημειωθεί ότι κανένα από αυτά τα μέτρα δεν προσφέρει από μόνο του ασφάλεια και καμία λύση δεν μπορεί να εξαλείψει πλήρως τις εσωτερικές απειλές. Ωστόσο, με την εφαρμογή ενός συνδυασμού αυτών των μέτρων και με την τακτική επανεξέταση και ενημέρωση των πολιτικών ασφαλείας, οι επιχειρήσεις μπορούν να μειώσουν σημαντικά την έκθεσή τους σε εσωτερικές απειλές» εξηγεί ο Márk Szabó από την ESET.
Τα προτεινόμενα μέτρα είναι:
- Εφαρμογή ελέγχων πρόσβασης: Η εφαρμογή ελέγχων πρόσβασης, όπως ο έλεγχος πρόσβασης βάσει ρόλων (RBAC), μπορεί να συμβάλει στον περιορισμό της πρόσβασης σε ευαίσθητα δεδομένα και συστήματα μόνο στους υπαλλήλους που τη χρειάζονται για την εκτέλεση των καθηκόντων τους. Χορηγώντας πρόσβαση μόνο σε εκείνους τους υπαλλήλους που τη χρειάζονται για την εργασία τους, μια εταιρεία μπορεί να μειώσει σημαντικά την έκθεσή της σε εσωτερικές απειλές. Είναι επίσης σημαντικό να επανεξετάζονται τακτικά αυτά τα προνόμια πρόσβασης, ώστε τα επίπεδα πρόσβασης να παραμένουν κατάλληλα και ευθυγραμμισμένα με τους ρόλους των εργαζομένων.
- Παρακολούθηση της δραστηριότητας των εργαζομένων: Η εφαρμογή εργαλείων ελέγχου για την παρακολούθηση της δραστηριότητας των εργαζομένων στις συσκευές της εταιρείας ή στο δίκτυό τους μπορεί να βοηθήσει στον εντοπισμό ύποπτης συμπεριφοράς που μπορεί να είναι ενδεικτική μιας εσωτερικής απειλής. Η επιτήρηση μπορεί επίσης να βοηθήσει στον εντοπισμό τυχόν ασυνήθιστων μεταφορών δεδομένων ή μη φυσιολογικών μοτίβων πρόσβασης σε ευαίσθητα συστήματα και δεδομένα. Ωστόσο, βεβαιωθείτε ότι διασφαλίζεται η συμμόρφωση με τους τοπικούς κανονισμούς και θεσπίστε σαφείς κατευθυντήριες γραμμές σχετικά με τον έλεγχο για την αντιμετώπιση πιθανών ανησυχιών σχετικά με την προστασία της ιδιωτικής ζωής.
- Διενέργεια ελέγχων ιστορικού: Η διενέργεια ελέγχων ιστορικού για όλους τους υπαλλήλους, τους συνεργάτες και τους προμηθευτές πριν τους χορηγήσετε πρόσβαση σε ευαίσθητα και εμπιστευτικά δεδομένα μπορεί να βοηθήσει στον εντοπισμό πιθανών κινδύνων. Οι έλεγχοι αυτοί μπορούν επίσης να χρησιμοποιηθούν για την επαλήθευση του ιστορικού απασχόλησης και του ποινικού μητρώου ενός ατόμου.
- Εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας: Η παροχή τακτικής εκπαίδευσης ευαισθητοποίησης για θέματα ασφάλειας συμβάλλει καθοριστικά στην αύξηση της κατανόησής των υπαλλήλων σχετικά με τους κινδύνους κυβερνοασφάλειας και τον τρόπο μετριασμού τους. Αυτό μπορεί να συμβάλει στη μείωση της πιθανότητας τυχαίων εσωτερικών απειλών, όπως το να πέσει κάποιος θύμα ηλεκτρονικού ψαρέματος (phishing).
- Πρόληψη απώλειας δεδομένων (Data Loss Prevention): Η εφαρμογή ενός συστήματος DLP μπορεί να συμβάλει στην πρόληψη της απώλειας ή της κλοπής δεδομένων με την παρακολούθηση, τον εντοπισμό και τον αποκλεισμό οποιασδήποτε μη εξουσιοδοτημένης μεταφοράς ή κοινής χρήσης ευαίσθητων δεδομένων. Αυτό μπορεί να συμβάλει στη μείωση των απειλών εκ των έσω αλλά και στην προστασία των εμπιστευτικών δεδομένων. Η επιφύλαξη εδώ, ωστόσο, είναι ότι οι πάροχοι DLP βρίσκονται επίσης στο στόχαστρο των επιτιθέμενων, οπότε αυτό αποτελεί μια πρόσθετη ανησυχία.
Εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας: Η κορυφαία επιλογή
Πρόκειται για μια κορυφαία επιλογή από τα περιγραφόμενα μέτρα για διάφορους λόγους. Πρώτα απ’ όλα, αυτού του είδους η εκπαίδευση βοηθά τις επιχειρήσεις να εξοικονομήσουν κάποια χρήματα μειώνοντας τον κίνδυνο ακούσιων εσωτερικών απειλών.
Τις περισσότερες φορές, οι εργαζόμενοι δε γνωρίζουν ορισμένους κινδύνους κυβερνοασφάλειας και μπορεί να κάνουν άθελά τους κλικ σε έναν σύνδεσμο ηλεκτρονικού «ψαρέματος», να κατεβάσουν κακόβουλο λογισμικό ή να μοιραστούν εμπιστευτικά εσωτερικά δεδομένα, οδηγώντας σε παραβιάσεις δεδομένων ή άλλα περιστατικά. Με την παροχή τακτικής εκπαίδευσης στους υπαλλήλους, μπορούν να προληφθούν αυτού του είδους τα περιστατικά, μειώνοντας το κόστος που συνδέεται με αυτή την εσωτερική απειλή, καθώς και τη ζημιά στη φήμη που συνδέεται με τις παραβιάσεις και τα νομικά προβλήματα.
Επιπλέον, η παροχή εκπαίδευσης σε θέματα ασφάλειας μπορεί να βελτιώσει τόσο την υγιεινή στον κυβερνοχώρο όσο και τη συνολική κατάσταση της ασφάλειας μιας εταιρείας, οδηγώντας σε αύξηση της αποδοτικότητας και της παραγωγικότητας, καθώς οι εργαζόμενοι που εκπαιδεύονται να αναγνωρίζουν και να αναφέρουν περιστατικά ασφάλειας μπορούν να βοηθήσουν στον έγκαιρο εντοπισμό και μετριασμό των απειλών ασφάλειας, μειώνοντας τις επιπτώσεις τους και το κόστος που συνδέεται με αυτές.
Ωστόσο, η εφαρμογή ενός συνδυασμού μέτρων προσαρμοσμένων στις συγκεκριμένες ανάγκες μιας εταιρείας εξακολουθεί να αποτελεί την καλύτερη προσέγγιση για την καταπολέμηση των εσωτερικών απειλών και την εξοικονόμηση κόστους μακροπρόθεσμα.