Je vaša organizácia pripravená na hrozby z vnútra?

Inštitúcie verejnej správy ako aj organizácie zo súkromného sektora implementujú technologické opatrenia na ochranu ich informačných systémov a sietí s cieľom ochrániť svoje citlivé informácie. Postačuje ale nasadzovanie technických opatrení (ako napríklad firewallov, antivírusov, IPS/IDS zariadení, riadenie prístupu) či vykonávanie skenov zraniteľností a pentestov na zaistenie informačnej bezpečnosti?

Na priečkach rebríčkov [1-5] kybernetických hrozieb sa každoročne objavuje hrozba v podobe vlastného zamestnanca. Predovšetkým zamestnanci s prístupom k citlivým informáciám ako napr. vedúci zamestnanci či administrátori môžu predstavovať hrozbu spojenú s rizikom úmyselného alebo neúmyselného úniku týchto informácií, sabotáže alebo špionáže. Vlastní zamestnanci majú oproti vzdialeným útočníkom viacero výhod. Majú oveľa ľahší prístup do priestorov organizácie, vzbudzujú dôveru u ostatných zamestnancov, sú dobre oboznámení s bežnými praktikami a bezpečnostnými opatreniami v tejto organizácii a predovšetkým – vedia aké typy citlivých informácií sú spracúvané a kde ich hľadať. Rovnako v prípade nedbalosti môžu títo zamestnanci ohroziť bezpečnosť organizácie. Hrozby spojené s vlastnými zamestnancami je možné rozdeliť na tri kategórie: záškodník, obeť a nedbanlivec.

Záškodník

V prípade zamestnanca – záškodníka je možné konštatovať, že realizácia jeho zamýšľanej škodlivej aktivity môže mať pre organizáciu najzávažnejšie dopady, ale na druhej strane je tento typ zriedkavejší. Detegovať záškodníka vo fáze prípravy môže byť pomerne náročné, ale existuje niekoľko indikátorov technického i netechnického charakteru, ktoré je možné si všimnúť. K tým netechnickým ukazovateľom patrí zdržiavanie sa v práci v čase, keď je tam málo, resp. nula kolegov. Najmä v prípade, keď to objektívne nie je potrebné kvôli malej alebo bežnej pracovnej vyťaženosti to môže znamenať, že zamestnanec robí niečo, pri čom ho nemá nikto vidieť. K technickým ukazovateľom môže patriť zvýšenie počtu prihlásení, najmä v zvláštnych časoch, zvýšenie množstva sťahovaných súborov, predovšetkým k tým, ktoré zamestnanec nepotrebuje k svojej činnosti a následné prihlasovanie sa k súkromným cloudovým službám. Zamestnanca môže k záškodníckej činnosti doviesť rada okolností, ktoré keď sú pozorovateľné, môžu rovnako napomôcť k odhaleniu jeho škodlivých úmyslov. Napr. v prípade, že zamestnancovi plynie výpovedná lehota, tak môže mať záujem odniesť si so sebou aj viac ako len osobné veci. Predovšetkým môže ísť o informácie, ktoré mu môžu byť nápomocné v jeho budúcej práci u konkurencie ako napr. databázy klientov, duševné vlastníctvo, proprietárne či utajované informácie. Ďalšími faktormi potenciálne vedúcimi k narušeniu lojality zamestnanca môže byť prísľub nejakej odmeny za interné informácie, stagnácia a pocit nadbytočnosti, konfliktná atmosféra na pracovisku, vzrušenie a pocit dobrodružstva pri exfiltrácii citlivých dát, či vydieranie alebo rodinné problémy.

Obeť

Organizácia môže utrpieť značné škody aj v dôsledku činnosti zamestnancov, ktorí nemajú žiadne nekalé úmysly voči svojmu zamestnávateľovi. Kategória hrozby v podobe vlastného zamestnanca – obete, predstavuje človeka s autorizovaným prístupom do siete, informačného systému alebo k dátam organizácie, ktorého činnosť alebo nečinnosť spôsobí alebo má potenciál spôsobiť škodu bez škodlivého zámeru. Tento zamestnanec môže byť ovplyvnený, oklamaný alebo zmanipulovaný takým spôsobom, že vykoná činnosť v prospech útočníka. Techniky sociálneho inžinierstva, ktoré sú na tieto typy útokov využívané je možné zaradiť do dvoch kategórii – techniky bez priamej interakcie s obeťou ako napr. hrabanie sa v odpadkoch alebo získavanie informácií z verejných zdrojov, najmä internetu, s cieľom získať informácie pre podniknutie ďalších útokov a druhá kategória – priama interakcia s obeťou s použitím predtým získaných informácií prostredníctvom elektronických alebo priamych komunikačných prostriedkov. K najčastejšie používaným technikám sociálneho inžinierstva s použitím elektronických komunikačných prostriedkov patria baiting, čo je nastraženie média s obsahom škodlivého kódu na miesto, kde ho určite niekto nájde; (spear)phishing, ktorý typicky spočíva v (cielenom) zaslaní emailu vyzerajúceho ako legitímny s cieľom vylákať citlivé infrormácie; pretexting, pri ktorom útočník na základe vymysleného scenára predstiera, že je niekto iný s cieľom manipulácie obete na vykonanie nejakej činnosti alebo získania informácií, reverzné sociálne inžinierstvo, kde útočník najskôr vytvorí nejaký problém aby ho pre svoju obeť mohol vyriešiť s cieľom získať dôveru obete, na základe ktorej mu potom obeť vydá prístupové údaje; a škodlivé webové stránky a sociálne médiá. Prostredníctvom priamej komunikácie s obeťou útočník k svojím cieľom využíva schopnosti manipulácie a predstieranú priateľskosť, vydávanie sa za niekoho iného alebo provokáciu. K faktorom prispievajúcim k úspešnosti týchto typov útokov patrí najmä nedostatočné bezpečnostné povedomie, nedostatok sústredenosti, neopatrnosť, nedostatok znalostí o bezpečnostných politikách organizácie, chybný úsudok, stres, únava a ďalšie faktory. O technikách sociálneho inžinierstva a faktoroch prispievajúcich k ich úspešnosti sme uverejnili samostatný článok.

Nedbanlivec

Najčastejšie sa vyskytujúca kategória vnútornej hrozby je zamestnanec – nedbanlivec. Ľudská chyba pri vykonávaní pracovných činností môže byť zapríčinená únavou, prepracovanosťou, nedostatočným bezpečnostným povedomím alebo blúdením mysle. V prípade, že je zamestnanec ospalý alebo unavený pri práci s citlivými informáciami alebo v zabezpečenom priestore, má zníženú schopnosť vnímať, slabú sústredenosť, v prípade stresovej situácie nie je schopný adekvátnej reakcie a rozhodovania sa. Schopnosť adekvátnej reakcie a správneho rozhodovania sa je ovplyvňovaná aj množstvom a kvalitou informácií a situačného povedomia. Zamestnanci s prístupom k citlivým informáciám, ktorí nemajú dostatočné povedomie o súčasných vektoroch útokov predstavujú závažnú zraniteľnosť v reťazi informačnej bezpečnosti organizácie. Príkladom nedbalého správania sa môže byť zaslanie citlivých informácií prostredníctvom e-mailu nesprávnemu adresátovi, alebo nosenie si práce domov a jej výkon v organizáciou nekontrolovanom a nezabezpečenom prostredí. V prípade, že je nedbanlivcom privilegovaný používateľ, môže to mať pre bezpečnosť organizácie neblahé dôsledky. K takýmto dôsledkom patrí špionáž administrátorom nedostatočne zabezpečenej wifi siete, zneužitie otvorených nepoužívaných portov, nedbalé alebo nekontrolované riadenie prístupu alebo nedostatočný manažment používateľov s neodstraňovanými mŕtvymi dušami.

Organizačné faktory umožňujúce hrozby z vnútra

V každom IT prostredí je nutné mať privilegovaných používateľov, ako napr. root alebo administrátor, ktorí majú prístup ku správe dôležitých informačných systémov. Tento fakt sám o sebe nepredstavuje bezpečnostné riziko, pokiaľ sú dodržiavané dobré praktiky ako dostatočne silné heslá a zákaz zdieľaných účtov na zaistenie zodpovednosti za činnosti. Nedostatočný dohľad nad činnosťou zamestnancov je ďalším faktorom, vďaka ktorému môže potenciálny útočník nepozorovane vykonávať nekalé aktivity. V kombinácií s faktorom v podobe veľkej komplexnosti auditných log záznamov vytváraných jednotlivými bezpečnostnými elementmi sa vykonávanie dohľadu môže javiť ako hľadanie ihly v kope sena. Nedostatočná klasifikácia informácií, ich označovanie a chýbajúce alebo nedostatočne vynucované bezpečnostné politiky môžu nechať zamestnancov v nevedomosti o citlivosti dát, ktoré spracúvajú a prispievajú k vytvoreniu nebezpečných zvyklostí.

Ako sa brániť?

Riadenie zamestnancov v súvislosti s predchádzaním rizikám spojeným s vnútorným útočníkom je pomerne náročný proces a vyžaduje správnu komunikáciu a odôvodnenie. Zamestnanci majú potrebu veriť, že ich zamestnávateľ im dôveruje a niektoré bezpečnostné opatrenia môžu vnímať osobne a ako prejav nedôvery. Ako príklad môže slúžiť odobratie prístupu k informačnému systému, ktoré zamestnanec síce ku svojej práci nepotrebuje, ale mal k nej prístup z dôvodu nedbalého riadenia prístupu. Ďalším aspektom je nájdenie správnej rovnováhy medzi používateľským komfortom a bezpečnosťou. V prípade, ak sú z pohľadu zamestnanca bezpečnostné opatrenia príliš silné a obmedzujú ho v samotnom výkone jeho pracovných povinností, môže sa stať, že tento zamestnanec začne vnímať bezpečnostné opatrenia ako príťaž a bude sa snažiť nájsť si cestičky ako sa im vyhnúť a uľahčiť si tak prácu. Vnútorný program vzdelávania a zvyšovania povedomia o informačnej bezpečnosti je preto veľmi dôležitým bezpečnostným opatrením na zníženie rizika spojeného s vnútornou hrozbou. V rámci pravidelných školení je potrebné správnou formou vysvetliť najdôležitejšie zásady pre bezpečnú prácu a používanie informačných a komunikačných technológii a informovať o vnútorných predpisoch. Je v záujme organizácie aby bola zamestnancom vysvetlená ich dôležitosť a potrebná angažovanosť v procese zaisťovania informačnej bezpečnosti

Ďalším dôležitým opatrením je správne nastavenie procesov prijímania nových zamestnancov ako aj odchodu zamestnancov. Okrem preverenia profesionálnych zručností, certifikácií, vzdelania a pripravenosti vykonávať novú prácu by malo byť tiež samozrejmosťou vyžadovanie výpisu, resp. odpisu z registra trestov pri prijímaní všetkých nových zamestnancov, ktorým bude udelený prístup do informačných systémov. Ďalšou oblasťou preverovania je pracovná história vybraného zamestnanca uvedená v jeho profesijnom životopise. Cieľom nie je len overiť, či je obsah životopisu v súlade so skutočnosťou, ale aj preverenie skúseností bývalých zamestnávateľov s uchádzačom a dôvody a okolnosti jeho odchodu.

K organizačným opatreniam na minimalizáciu rizík súvisiacich s neúmyselnými vnútornými hrozbami patrí minimalizácia ruchov na pracovisku pre vysokú sústredenosť zamestnancov, efektívne plánovanie úloh na minimalizáciu stresu z vysokého pracovného zaťaženia, zvyšovanie pripravenosti zamestnancov na bezpečnostné hrozby prostredníctvom tréningov a cvičení a zlepšovanie použiteľnosti informačných systémov a softvéru na minimalizáciu rizika ľudskej chyby.

Dobrým a zaujímavým edukačným nástrojom na zvýšenie bezpečnostného povedomia sú neohlásené testovania, napr. zaslanie simulovaného phishingového emailu. Takéto cvičenia umožnia vedeniu urobiť si prehľad o potrebe školení pre zamestnancov a zamestnancom názorne preukážu, že je potrebné zvýšiť svoju ostražitosť. Ak máte záujem, môžete vyskúšať náš vlastný phishingový test, ktorý je umiestnený na našej webovej stránke.

K technickým opatreniam na prevenciu proti rizikám spojených s vnútornými hrozbami možno zaradiť nasadenie nástrojov na monitorovanie (SIEM), analýzu sieťovej prevádzky a prevenciu proti úniku dát (DLP). Pomocou týchto nástrojov je možné detegovať prenosy veľkého objemu dát, odchádzajúcu poštu s obsahom citlivých dát a používanie podozrivých alebo neštandardných portov. Ďalším technickým opatrením je nastavenie politiky hesiel na vynucovanie používania silných hesiel s adekvátnou frekvenciou menenia týchto hesiel a zabránenie používaniu starých hesiel alebo ich variácií. Veľmi dôležitým nástrojom boja proti nespokojným administrátorom s nekalými úmyslami je monitorovanie privilegovaných používateľov a zabránenie možnosti zahladenia stôp po škodlivej aktivite. V prípade záujmu o viac informácií o technických opatreniach odporúčame 20 kritických opatrení pre správcov systémov.

Hrozba z vnútra organizácie je reálna a s existenciou vyššie spomenutých faktorov stúpa. Pokiaľ chce organizácia zabezpečiť komplexnú informačnú bezpečnosť, je potrebné sa týmito hrozbami zaoberať. Napriek tomu, že toto riziko nie je možné nikdy úplne odstrániť, implementácia opatrení na prevenciu úniku informácií, dobre nastavené riadenie prístupu, bezpečnostné politiky a vzdelávací program môžu výrazne prispieť k zvýšeniu odolnosti organizácie voči týmto hrozbám.

Referencie

  1. https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/enisa-threat-landscape-2014
  2. http://www.zdnet.com/article/10-top-security-threats-of-2014-so-far/
  3. http://www.inc.com/issie-lapowsky/5-cyberthreats-2014-mcafee.html
  4. https://heimdalsecurity.com/blog/10-critical-corporate-cyber-security-risks-a-data-driven-list/n
  5. Unintentional Insider Threats: A Foundational Study, 2013 Carnegie Mellon University
  6. Unintentional Insider Threats: Social Engineering, 2014 Carnegie Mellon University
  7. I Have to Trust Someone. …Don’t I? Dealing with insider threats to cyber-security, Russell Miller, Merritt Maxim, 2015
  8. The Insider Threat, An introduction to detecting and deterring an insider spy, FBI
  9. The Malicious Insider, Ifrahn Khimji, 2015
  10. Privileged Users Top List of Insider Threat Concerns: Survey, Brian Prince, 2015
  11. Today’s Requirements To Defend Against Tomorrow’s Insider Threats, Scott Weber, 2015
  12. Unintentional Insider Threat and Social Engineering, David Mundie, 2014
  13. The insider threat: Dealing with malicious and accidental incidents, TrendMicro, 2014
Posledná aktualizácia