74 proc. firm zauważa wzrost liczby ataków pochodzenia wewnętrznego (ang. insider attacks), według raportu Cybersecurity Insiders. Nazwa ta odnosi się do rodzaju incydentu, w którym pracownicy, partnerzy biznesowi lub członkowie zarządu wykorzystują posiadany przez siebie dostęp do zasobów przedsiębiorstwa w sposób dla niego szkodliwy. Osoby te mogą działać na niekorzyść firmy w sposób świadomy lub nie. Niezależnie od zamiarów insidera, potencjalne konsekwencje ataku od wewnątrz są bardzo poważne. Firma, która pada ofiarą incydentu tego typu, jest narażona na straty finansowe wynoszące średnio ok. 16,2 mln dolarów. Trudność sprawia również wykrycie takiego ataku – proces ten trwa średnio 86 dni (źr. DTEX Systems).
Celami ataków „od wewnątrz” padają zazwyczaj firmowe urządzenia końcowe, sieć oraz poufne dane. Incydentem tego typu określić można korupcję, szpiegostwo, dewastację zasobów, sabotaż, terroryzm oraz nieautoryzowane ujawnianie tajnych informacji.
Osoby odpowiedzialne za ataki od wewnątrz nie zawsze działają z premedytacją. Ze względu na ten fakt, wyróżnia się dwa typy insiderów:
1. Pionki (pawns) – osoby te nie zdają sobie sprawy, że ich działania są szkodliwe dla firmy. Udostępniają swoje dane uwierzytelniające lub pobierają złośliwe oprogramowanie na urządzenia służbowe, ponieważ zostali zmanipulowani np. przez cyberprzestępcę przeprowadzającego atak phishingowy.
2. Renegaci (turncloaks) – pracownicy, którzy z premedytacją podejmują działania szkodliwe dla ich firmy. Kierują nimi różne motywy, jak chęć wzbogacenia się czy też frustracja warunkami pracy lub wynikająca ze zwolnienia.
– Wielu insiderów-renegatów postrzega swoje działania jako formę wyrównania rachunków z firmą, która w jakiś sposób zawiodła ich oczekiwania. Jeżeli zaś chodzi o nieintencjonalne cyberataki od wewnątrz, to ich główną przyczyną jest wykazywana przez personel niewystarczająca znajomość zasad cyberbezpieczeństwa oraz roztargnienie. O incydencie tego typu możemy bowiem mówić nie tylko w odniesieniu do udanej próby phishingu, ale również w sytuacji, gdzie pracownik np. omyłkowo wysyła wrażliwe informacje do niewłaściwego adresata lub gubi fizyczny nośnik z danymi – wyjaśnia cytowany w komunikacie Robert Dąbrowski szef zespołu inżynierów Fortinet w Polsce.
Chociaż ataki od wewnątrz są stosunkowo trudne do wykrycia, istnieje kilka oznak, które mogą wskazywać na aktywność insidera w przedsiębiorstwie. Pierwszą z nich jest pojawienie się nieautoryzowanego oprogramowania na firmowym sprzęcie. Sytuacja ta zawsze powinna wzbudzać niepokój. Nowy program może okazać się bowiem tzw. koniem trojańskim, pobranym przez nieświadomego pracownika. Nieautoryzowane oprogramowanie może także zostać pobrane przez pracownika celowo.
– Zdarza się, że insiderzy-renegaci instalują na firmowym sprzęcie aplikacje umożliwiające im późniejsze zdalne uzyskanie dostępu do zasobów przedsiębiorstwa. Do narzędzi tego typu należą m.in. TeamViewer oraz AnyDesk – mówi Robert Dąbrowski.
Podejrzenia powinny wzbudzać również sytuacje, w których pracownicy alarmują, iż nie są w stanie uzyskać dostępu do danych, do których wcześniej mieli wgląd. Może to oznaczać, że insider zmienił hasła, którymi chronione były firmowe zasoby, celem uzyskania do nich wyłącznego dostępu. Oznaką ataku od wewnątrz mogą być także powiadomienia o próbach uzyskania dostępu do wrażliwego obszaru sieci.
Zabezpieczenie przedsiębiorstwa przed działaniami insiderów wymaga przede wszystkim stosowania narzędzi do wykrywania zagrożeń. Rozwiązania te muszą zapewniać m.in. wygląd w szczegółowe informacje związane z logowaniem się pracowników do firmowej sieci i systemów. Wśród danych tych powinna znajdować się godzina, o której użytkownicy usiłują uzyskać dostęp do zasobów przedsiębiorstwa oraz lokalizacja. Następnie, jeżeli narzędzia ochronne wykryją podejrzaną aktywność, powinna być ona zbadana w trybie natychmiastowym. Po ustaleniu, że wykryta aktywność rzeczywiście stanowi zagrożenie dla przedsiębiorstwa, koniecznym jest uruchomienie mechanizmów blokujących konkretnym użytkownikom dostęp do firmowej sieci i systemów.
Przede wszystkim jednak przedsiębiorstwa muszą posiadać i egzekwować określone reguły polityki cyberbezpieczeństwa, które będą chronić ich zasoby oraz zapewnią zgodność z regulacjami prawnymi.
