Kibernetička sigurnost

Tradicionalni pristupi i kibernetička sigurnost jamče zaštitu korporativne mreže od vanjskih prijetnji. Međutim, u današnjem kompleksnom svijetu, sigurnosne paradigme mijenjaju se kako bi štitile vašu tehnologiju i infrastrukturu od unutarnjih prijetnji.

 

Kako izgleda unutarnja prijetnja kibernetičkoj sigurnosti, koji su primjeri iz stvarnog života i što učiniti kao bi se te prijetnje umanjile – saznat ćete u nastavku teksta.

 

Što je to unutarnja prijetnja ili insiderska prijetnja?

 

Unutarnje prijetnje kibernetičkoj sigurnosti predstavljaju pojedinci koji su iz bilo kojeg razloga privilegirani unutar ciljane organizacije. Ove prijetnje često uključuju zaposlenike ili vanjske suradnike koji iskorištavaju informacije koje su stekli radom u ili za organizaciju.

 

Obrana od ovakvih unutarnjih prijetnji težak je zadatak jer je ponekad nije jednostavno otkriti koji zaposlenici zlorabljuju svoja prava pristupa informacijama.

U trenutku kad odluče počiniti štetu poslodavcu, ta šteta može biti velikih razmjera a period u kojem ju potencijalno nitko neće otkriti, može biti dugačak.

Insiderske prijetnje vrlo često se podcjenjuju, a ugroza koju mogu predstavljati često je neprocjenjivo velika.

 

Što trebate znati o kibernetičkom napadima

Unutarnje prijetnje primarni su uzrok u  čak 60%  sigurnosnih proboja.

 

Nedavna studija otkrila je da je postotak unutarnjih sigurnosnih incidenata porastao za 47% od 2018. godine, a troškovi ovakvih prijetnji porasli su 31% u istom vremenskom periodu.

 

Insideri se obično definiraju kao – pojedinci s legitimnim pravom pristupa podatcima koji namjerno ili nenamjerno rade štetu organizaciji.

Prijetnja može poteći od trenutnih zaposlenika, bivših zaposlenika, vanjskih suradnika ili partnera koji imaju (ili su nekad imali) pristup sustavima ili podatcima unutar organizacije.

 

Razlozi zašto se takvi pojedinci odlučuju na kriminalne radnje, mogu biti različiti:

  • Prilika ili mogućnost pristupa osjetljivim informacijama zahvaljujući pravima pristupa koje imaju radi svoje razine unutar organizacija
  • Pokušaj opravdanja takvog djelovanja kao npr. uvjerenje da su njihova prava na neki način prekršena od strane tvrtke ili organizacije
  • Financijska kompenzacija za otkrivanje povjerljivih podataka

 

Čak i zaposlenik koji se čini niskorizičnim za kibernetičku sigurnost prilikom zapošljavanja, takvim nužno ne treba ostati tijekom radnog odnosa.

Prema posljednjim informacijama, postoje razne online zajednice koje su upravo osmišljene u cilju regrutacije insidera koji su spremni, u zamjenu za financijsku kompenzaciju, osigurati pristup mreži ili podatcima organizacije za koju rade.

Zaposlenik može biti posebno podložan takvim vanjskim ponudama ako je u bilo kakvoj financijski nezahvalnoj situaciji ili je iz bilo kojeg razloga nezadovoljan organizacijom u kojoj je zaposlen.

 

Nisu sve insiderske prijetnje automatski maliciozne

Naziv „insiderska prijetnja“  često se koristi kako bi opisala namjeran čin dok u stvarnosti postoji cijeli široki spektar potencijalnih incidenata koji imaju raspon od nenamjernog klika na maliciozan link do namjerne krađe tvrtkinih podataka.

U većini nevinih scenarija, zaposlenik može nenamjerno izložiti tvrtku opasnosti nasjedanjem na phishing kampanju ili spremanjem nekriptiranih podataka na način koji krši sigurnosnu politiku tvrtke.

U najgorem slučaju, maliciozni insider može namjerno naštetiti tvrtki krađom ili uništavanjem podataka ili sabotažom sustava.

Nije rijetkost niti da neki zaposlenici po odlasku iz tvrtki sa sobom odluče ponijeti podatke za koje smatraju da im mogu biti korisni u budućnosti.

Kao čest razlog ovakvim potezima, zaposlenici će navesti osjećaj da imaju pravo na dokumente ili projekte na kojima su radili ili na one za koje smatraju da nisu primili adekvatnu kompenzaciju.

 

Vrste insiderskih prijetnji

Mnogo je vrsta insiderskih prijetnji koje mogu imati utjecaj na sigurnost podataka vaše organizacije.

Srećom, neke je lakše otkriti i spriječiti, ali baš sve imaju potencijal napraviti ozbiljnu štetu.

  • Maliciozni insider – članovi tima koji namjerno zlorabljuju prava pristupa informacijama i vjerodajnice za pristup osjetljivim podatcima, modificiraju sustav ili sabotiraju resurse. Često ovakvi insideri rade za konkurenciju ili se osvećuju za nešto što smatraju pogrešnim.
  • Nemarni insideri – zaposlenici koji nemaju namjeru napraviti štetu, ali neznanjem izlože podatke ili pruže pristup sustavu koji ne bi trebao biti dopušten. Primjerice, download malwarea ili pružanje prava pristupa kroz phishing linkove spadaju u najčešće izvore insiderskih prijetnji.
  • Kompromitirani insider (uljez) – individualci koji koriste kompromitirane vjerodajnice kako bi se predstavili kao unutarnji korisnik, U ovim slučajevima, zaposlenici su ti koji (često iz neznanja) opskrbljuju vanjskog uljeza pristupnim podatcima. Osim nenamjernog pružanja podataka, događa se da ovakvi pojedinci to rade iz vlastite koristi ili u dogovoru s konkurentskom tvrtkom ili organizacijom.

 

Stvarni slučajevi proboja i krađa podataka koje su uzrokovali maliciozni insideri

 

Boeing

 

Iako se radi o starijem proboju, Boeing je bio žrtvom insiderske prijetnje koja se protegnula preko nekoliko desetljeća i kroz par organizacija.

U ovom slučaju, insideri su krali informacije od Boeinga i Rockwella od 1979 do 2006 – dok napokon nisu uhićeni. U ovom proboju, zaposlenik koji je radio za Kinesku obavještajnu službu ukrao je stotine kutija dokumenata koji sadržavaju informacije o letjelicama i proizvodnim operacijama.

Do ovog trenutka, nije poznata točna količina ukradenih podataka.

Još jedan veći proboj, Boeing je doživio 2016. godine.

Tada je zaposlenik tvrtke poslao dokument koji je sadržavao podatke o 36 000 Boeingovih zaposlenika svojem supružniku koji ne radi za tvrtku.

Dokument je sadržavao razne vrste osjetljivih informacija uključujući: imena, mjesta rođenja, korporativne ID brojeve i brojeve socijalnog osiguranja.

Proboj je otkriven sredinom siječnja, međutim zaposlenici su za njega saznali tek 8. veljače.

Boeing tvrdi da je uništio dokumente na računalima supružnika, izvršio forenzičku istragu te ponudio svojim zaposlenicima besplatan dvogodišnji pristup službama za zaštitu od krađa identiteta.

Ovo je jedan od primjera nemara zaposlenika koji predstavlja izvorište većine incidenata kibernetičke sigurnosti.

 

Waymo

 

Waymo je Googleov projekt samovozećeg automobila, koji je pretrpio napad malicioznog insidera u 2016. godini.

U ovom slučaju je insider bio glavni inženjer na projektu koji je ukrao detalje projekta kako bi osnovao novu tvrtku, s namjerom da ju proda Uberu.

 

Prema izvještajima, inženjer je bio nezadovoljan s Googleom i to je prethodilo krađi više od 14 000 datoteka koje sadrže intelektualno vlasništvo.

Datoteke su uključivale:

  • Dijagrame i crteže, simulacije i opise rada radarske tehnologije
  • Isječke iz source koda
  • Videa testnih vožnji
  • Informacije o marketingu i poslovnom razvoju

Prema nekim procjenama, vrijednost intelektualnog vlasništva ukradenog u ovom slučaju seže čak do 1,1 milijarde dolara.

Srećom po Waymo, tvrtka je uspjela dokazati da su joj podatci otuđeni na ilegalan način te je dobiti kompenzaciju od Ubera.

Kompenzacija je uključivala dionice Ubera u vrijednosti od 245 milijuna dolara te zabranu da Uber koristi ukradene informacije na svojem hardveru ili softveru.

 

Anthem

 

Američki osiguravateljski div Anthem pretrpio je insiderski proboj 2017. godine.

U ovom proboju, podatci od više od 18 000 članova zdravstvenog osiguranja ukradeni su od strane zaposlenika te prosljeđivani konkurenciji. Krađa podataka se odvijala barem 6 mjeseci prije nego je otkrivena.

Ukradeni podatci su uključivali ID brojeve članova, brojeve socijalnog osiguranja, imena i prezimena, datume rođenja i ostale podatke.

U ovom slučaju, insider se poslužio s nekoliko metoda kako bi došao do podataka, a jedna od njih je bilo korištenje legitimnog prava pristupa informacijama.

 

Capital One

 

Američka tvrtka koja pruža financijske usluge pretrpjela je ozbiljan proboj u 2019. godini.

Haker je namjerno izložio insiderski proboj hvaleći se kolegama preko Slacka, postanjem informacija na GitHubu i na društvenim mrežama.

Radilo se o bivšem softverskom inženjeru koji je radio u Amazon Web Services (AWS). Napadač je iskoristio pogrešnu konfiguraciju web aplikacije tvrtke hostanu na AWS-u.

Kao rezultat, insider je uspio ukrasti preko 100 milijuna podataka o klijentima, uključujući one o računu i formulara za prijave za kreditnu karticu.

Capital One procijenio je štetu na oko 150 milijuna dolara.

 

Koji su sve načini zaštite od malicioznih prijetnji?

Zaštita od insiderskih prijetnji jednako je važna kao i ostale sigurnosne mjere koje možete poduzeti.

Napadači koji se nalaze unutar tvrtke mogu uzrokovati veliku štetu u smislu gubitaka podataka ili čak reputacije branda.

 

Kako biste umanjili šansu da postanete žrtva insiderskih prijetnji, preporučuje se uvesti sljedeće mjere u vašu organizaciju:

 

Educirajte članove svojeg tima

Sprečavanje mogućnosti pojave kompromitiranih insidera trebao bi biti primarni fokus.

Jedan od načina na koji se to može postići je ulaganje u edukaciju zaposlenika o sigurnosnim protokolima i načinima na koje mogu otkriti povjerljive informacije. Anti-phishing treninzi nužni su kako biste bili sigurni da vaši zaposlenici znaju prepoznati maliciozne e-mailove.

Također je potrebno neprestano voditi brigu o tome da je sigurnost svačija odgovornost.

Jedan od načina na koji to možete postići je da istrenirate zaposlenike kako bi znali prepoznati i prijaviti bilo kakvu sumnjivu aktivnost koju evenutualno primijete. Osim samog treninga, važno je i da zaposlenici razumiju koja je svrha ovih mjera.

Za sve tvrtke koje u ovom trenutku nemaju vremena ili resursa za edukaciju djelatnika, osmislili smo e-book koji pomaže u osvještavanju problema IT sigurnosti i educira kako voditelje, tako i djelatnike.  Skidanjem ovog besplatnog e-booka “Cyber sigurnost u službi modernog poslovanja”, naučit ćete koliko je važno IT održavanje, kako kreirati snažne lozinke, koje su sve vanjske prijetnje kibernetičkoj sigurnosti vaše tvrtke te kako prepoznati phishing napade. Ovaj koristan priručnik jednostavno ćete podijeliti sa svojim djelatnicima i tako osigurati i nijihovu edukaciju o ovoj važnoj temi.

 

Koordinirajte IT sigurnost i upravljanje ljudskim potencijalima

Osigurajte jasnu i neprekinutu komunikaciju između IT odjela i odjela upravljanja ljudskim potencijalima.

Kad se radni odnos djelatnika iz bilo kojeg razloga prekine, potrebno je uspostaviti proceduru obavještavanja IT-a kako bi pravovremeno znao povući dopuštenja i pristup informacijama konkretnom zaposleniku.

Propuštanje ukidanja prava pristupa informacijama nakon što pojedinac napusti organizaciju značajno povećava rizik za napade.

Jedna od dobrih praksi je prethodno obavještavanje IT odjela ako će doći neizbježnih otkaza ili čak ako član tima očekuje povišicu ili unapređenje do kojeg neće doći.

U danima namjernog smanjenja broja zaposlenika ili nakon odbijanja nekog od zahtjeva zaposlenika, za očekivati je da će se rizik od odmazde u obliku krađe povjerljivih informacija povećati.

Ako je IT pravovremeno obaviješten, lakše će popratiti sve potencijalno sumnjive radnje.

 

Korištenje softvera za analizu ponašanja korisnika

Ova vrsta softvera koristi strojno učenje kako bi detektirao promjene u obrascima ponašanja zaposlenika.

Ovakva analitika omogućava IT odjelu da identificira korisnike kojima su kompromitirana pristupna prava, ali i one koji su naglo promijenili svoje ponašanje u maliciozno.

Što je još važnije, ovakva vrsta softvera može se inkorporirati u sustave za nadzor i koristiti kako bi se tim alarmirao ako dođe do sumnjive aktivnosti.

 

Koja je uloga odjela upravljanja ljudskim resursima u borbi protiv malicioznih zaposlenika?

 

Timovi za IT sigurnost sasvim sigurno igraju ključnu ulogu u otkrivanju unutarnjih incidenata, uz korištenje naprednih tehničkih rješenja.

Međutim, stručnjaci tvrde da bi „teret“ upravljanja psihološkim i bihevioralnim elementom zaposlenika, odnosno procjenom koliku prijetnju oni predstavljaju organizaciji – trebao pasti upravo na leđa odjela upravljanja ljudskim resursima.

Odjel ljudskih resursa trebao bi se pobrinuti za to da tvrtka ne uvodi rizik u svoj ekosustav – bilo to zapošljavanjem osobe koja ima maliciozne namjere ili propustom pri prepoznavanju člana tima koji je počeo predstavljati sigurnosni rizik tijekom svog radnog vijeka u tvrtki.

 

8 savjeta koji pomažu u detekciji i izbjegavanju unutarnjih prijetnji:

 

  • Provjerite ili uspostavite sigurnosne mjere – prema stručnjacima, mjere osiguranja kibernetičke sigurnosti trebale bi uključivati procedure za sprečavanje i detekciju pogrešnog korištenja tvrtkinih resursa te potencijalne posljedice za počinitelje
  • Pažljivo provjerite nove zaposlenike – iako je u nekim slučajevima ovo uistinu težak i opširan zadatak, stručnjaci savjetuju što opširniju provjeru potencijalnog zaposlenika
  • Pratite potencijalno nezadovoljne ili zaposlenike za koje sumnjate da su kompromitirani – timovi koji se bave upravljanjem ljudskim resursima trebali bi obratiti pažnju na potencijalne „crvene zastave“ kao to je nizak moral ili službene pritužbe koje dolaze od strane zaposlenika. Odjel upravljanja ljudskim potencijalima i IT odjel u ovakvim slučajevima bi trebali surađivati kako bi osmislili prikladna tehnička rješenja, kao što je korištenje softvera za praćenje bilo kakvog neuobičajenog pristupa sustavima ili podatcima.
  • Uvođenje redovnih treninga kibernetičke sigurnosti – kroz analize rizika koji zaposlenik predstavlja za kibernetičku sigurnost tvrtke, nameće se zaključak da je redoviti trening zaposlenika kako bi pravovremeno prepoznali prijetnju  – jedan od ključnih načina zaštite. Ovo može uključivati trening kibernetičke sigurnosti tijekom onboardinga i/ili rutinske vježbe kojime se osvješćuju mogućnosti pojave prijetnji i vježbaju potencijalni odgovori na proboje.
  • Nemojte zanemarivati fizičku sigurnost – stručnjaci vjeruju da jednostavno ograničavanje pristupa djelatnicima kritičnoj infrastrukturi tvrtke ponekad može biti dovoljno da spriječi mnoge insiderske incidente.
  • Istražite sve prethodne sigurnosne incidente – na greškama se uči. Iskoristite sve prethodne sigurnosne incidente kako biste pripremili sažetak sigurnosnih rizika i na osnovu toga kreirali prijedloge unapređenja sigurnosnih procesa.
  • Osmislite proces osiguranog off-boardinga – može se dogoditi da zaposlenici gaje vlasničke odnose nad podatcima ili projektima na kojima su radili tijekom svog radnog vijeka u tvrtki, čak i kad tvrtku napuštaju u prijateljskoj atmosferi. Odjel upravljanja ljudskim potencijalima igra ključnu ulogu u podsjećanju zaposlenika u odlasku na tvrtkinu sigurnosnu politiku i paralelno s tim obavještavanjem tima za IT sigurnost o tome kad zaposleniku prestaje radni odnos. Imajuću u vidu količinu informacija i redovnih procesa koji pripadaju domeni upravljanja ljudskim resursima, osmislili smo aplikaciju “MyIntranet”. Uz redovne evidencije, aplikacija podsjeća korisnike na sve važne isteke (ugovora, probnih rokova, certifikata i još mnogo više) i može se koristiti upravo u svrhu automatizacije ovakvih procesa. Za više informacija o aplikaciji koja uvelike pojednostavnjuje proces upravljanja ljudskim potencijalima, kontaktirajte DuplicoIT.
  • Balansiranje privatnosti zaposlenika – zaštita sigurnosti podataka od vlastitih zaposlenika nije jednostavna zadaća. Uz zaštitu podataka, potrebno je balansirati smanjenje potencijalnih rizika sa zaštitom privatnosti zaposlenika. Preporuke za uspješno osiguranje od unutarnjih prijetnji uključuju komuniciranje pravila zaštite kibernetičke sigurnosti prema zaposlenicima, jasno identificirajući konačni cilj ove politike i informiranje o ulozi za koju se očekuje da će zaposlenici igrati u zaštiti kibersigurnosti tvrtke. U ovom slučaju također je važno voditi računa da se izbjegne prioritizacija sigurnosti nad produktivnosti te se preporučuje korištenje hibridnog zero-trust modela.

 

Kako umanjiti unutarnje prijetnje kibernetičkoj sigurnosti?

Insiderske prijetnje nastaju slučajnim ili namjernim neautoriziranim korištenjem privilegiranog pristupa korporativnim resursima. Takve prijetnje tipično se kategoriziraju u 3 grupe: maliciozni insider, nemarni insider i kompromitirani insider. Svaka od tri skupine može predstavljati značajnu opasnost za kibernetičku sigurnost organizacije.

 

Primjeri velikih tvrtki koje smo naveli pokazuju da nitko nije imun na unutarnje prijetnje sigurnosti i krađu dragocjenih podataka. Iako su ove krađe nanijele značajnu štetu konkretnim organizacijama, postoje načini na koje možete zaštititi svoje podatke od takvih prijetnji.

 

Kako bi smanjile rizik od unutarnjih prijetnji, organizacije bi trebale trenirati svoje zaposlenike kako bi znali primijeniti ispravne sigurnosne protokole. Što su bolje vaši zaposlenici istrenirani, na lakši će način štititi svoja prava i privilegije. Također možete stvoriti kanal komunikacije koji povezuje odjel upravljanja ljudskim potencijalima i IT odjel. Ovo je i najjednostavniji način da osigurate da bivši zaposlenici nakon odlaska više nemaju pristup tvrtkinim resursima.

 

Ako u ovom trenutku ne posjedujete znanje ili resurse koji vam omogućavaju učinkovite treninge zaposlenika po pitanju kibernetičke sigurnosti, skinite naš besplatni e-book “Cyber sigurnost u službi modernog poslovanja” ili nam se obratite s upitom.  Naši IT stručnjaci preuzet će brigu o održavanju vaših IT sustva i savjetovati vas o optimalnim načinima zaštite kibernetičke sigurnosti vaše tvrtke.

 

Kontakt