Сигурност

Как да се борим с вътрешните рискове

Александър Главчев

Броят на инцидентите с течове данните, причинени от вътрешни действия, предизвикани от недобросъвестни служители, контрагенти и партньори, нараства бързо, сочи доклад на Ponemon Institute, публикуван през февруари 2020 г. В рамките му са интервюирани 964 специалисти по ИТ и информационна сигурност от 204 организации с над 1000 служители. Общо при тях са се случили случили 4716 такива инциденти за 12 месеца. Това е с 47% повече спрямо аналогично проучване от 2018 г.

Изследователите идентифицират три основни типа инциденти свързани с т.нар инсайдъри: такива, възникнали поради небрежност на служител или партньор, поради злонамерени действия, както и след кражба на пълномощия ("прости" или на привилегировани акаунти).


Най-честата причина - небрежност

Невнимателни и незнаещи служители причиняват течове в 63% от случаите. Злоумишлените действия са на второ място (23%), а кражбата на пълномощия - на трето (14%). Трябва да се има предвид обаче, че почти една трета от кражбите се случват чрез привилегировани акаунти, компрометирането на каквито е особено болезнено за всяка компания. Също така кражбата на идентификационни данни често е отправна точка за външни атаки.

Растат и загубите от такива вътрешни действия - от 8,76 млн. долара през 2018 г. до 11,45 млн. през 2020-та. Увеличението е 31 на сто.

От всички предизвикателства, пред които са изправени службите за информационна сигурност, предотвратяването на вътрешни заплахи е най-трудно. Това особено се отнася за противопостащянето на киберпрестъпници, които познават вътрешните разпоредби за сигурност и какви са използваните средства за защита. Затова все повече внимание се обръща на "нетехнически" начини за противодействие на нападатели.

"Не съществува общ тип вътрешни заплахи, но всички те имат едно общо нещо: желанието на инсайдърите да получат достъп до критичните активи на организацията - хора, информация, технологии и съоръжения, обяснява Майкъл Тайс, главен инженер, стратегически комуникации в Националния център за вътрешна информация Заплахи от Американската група за реагиране при извънредни ситуации (CERT). В своя презентация по време на конференцията Insider risk summit той говори за математически модел, изграден от CERT върху набор от данни от 2500 потвърдени вътрешни инциденти, довели до конкретни корпоративни заплахи.

Вътрешната заплаха се описва Таис като възможност за достъп до активите на организацията, която може, злонамерено или неволно, да доведе до негативен ефект. Такъв риск могат да представляват широк кръг от лица. Те включват настоящи и бивши служители, работници на непълен работен ден, временни служители, подизпълнители и бизнес партньори.


Предвиждане на човешкото поведение

Докато специалистите по информационна сигурност са склонни да търсят технически индикатори за вътрешна дейност, най-голяма представа за потенциалните проблеми може да даде анализът на човешкото поведение и най-вече неговите отклонения от обичайното.

Майкъл Тайс съветва да се обръща внимание на поведенческите показатели: личните предразположения на служителите, задаването на въпроси за техния темперамент, как се справят с определени неща. Също така е важно да сте наясно с личните, професионалните и финансовите причинители на стрес, на които са изложени хората и как те се справят с тях. Разбира се, най-показателно е поведението, което демонстрират.

Не на последно място е необходимо да се знае "кое е добро, кое е лошо". Например, войник може да организира изтичане на стратегически важна информация, просто като докладва в социалните мрежи своето място на престой.


Наблюдение на поведенчески белези

Почти всички вътрешни рискове се предшестват от промени в поведението на хората. "Промените в поведението, проблемите на работното място или в междуличностната среда предшестват показателите за технически риск", посочва Елсин Ван Ос, главен изпълнителен директор на консултантска консултантска фирма Signpost Six. По нейни данни до 97% от инсайдърите вече са привличали вниманието на службите за сигурност чрез нарушаване на правилата и политиките, приети в организацията, или чрез неподходящо междуличностно поведение.

С такива рискове се свързва и следната интересна статистика: 58% от инсайдърите съобщават за негативни чувства, недоволство или намерение да навредят на организация или нейн член преди инцидента, а в 31% от случаите колегите, приятелите или членовете на семейството на вътрешния човек са знаели за плановете или действията му.

"Тази информация вече е налице, преди инсайдърът да извърши злонамерени действия, така че на първо място е достатъчно да свържете фактите, за да спрете нападателя", заключва Ос.


Не уволнявайте, а подкрепяйте

Липсата на внимание към служителите, липсата на процес за оценка на рисковете, свързани с тях, неадекватно разследване, уволненията по дисциплинарен ред и някои други подходи за работа със служителите увеличават риска от вътрешни заплахи, отбелязва Тайс. По-ефективен подход е да се помогне на служителя. "Ако моделът на поведение на служител започне да прилича на този на злоумишленик, то си струва да разгледаме под какви фактори на стрес се намира този човек и да се запитаме дали можем да му помогнем", казва още той.

Подчертава се, че един от най-важните фактори при прогнозирането на вътрешен риск е убеждението, че служителите имат подкрепата на организацията. "В този случай, когато човек е изправен пред стрес, той си мисли:" Тази организация е много добра за мен, обичам хората, с които работя, наистина харесвам работата си, няма да правя нищо, което би изложило всичко това на риск чре действия срещу нея", казва Тайс.


X