Amenintarea cu un atac informatic nu ii mai surprinde demult pe cei care au in mana destinele unei companii, motiv pentru care, incurajati si de legislatia in vigoare referitoare la GDPR, incep sa ia cat mai multe masuri pentru a stopa o eventuala exfiltrare de date sau alterare a acestora. Toate acestea sunt insa in van daca sursa atacului vine din interior, iar consecintele pot fi infinit mai mari decat in cazul unui atac informatic efectuat de un hacker.
Conform unui raport furnizat de Proofpoint, lider in domeniul protectiei impotriva atacurilor de tip phishing, in 2020, 60% dintre companiile analizate au avut cel putin 30 de incidente legate de o amenintare din interior si, in cele mai multe cazuri, timpul de identificare a acestora a fost mai mare de 30 de zile, cauzand in final pierderi in medie de 11 milioane dolari/companie, in crestere fata de valoarea din 2018, de 8.76 milioane dolari/companie. De asemenea, in acelasi interval de timp si numarul de atacuri informatice generate de persoane din interiorul companiei a crescut cu 47%.
Daca in majoritatea cazurilor vorbim de actuali angajati care se preteaza la un moment dat la astfel de actiuni, nu trebuie neglijati nici partenerii sau colaboratorii care sunt in stransa legatura cu o companie ori fosti angajati care cunosc arhitectura interioara si automat si punctele slabe. Atacurile din interior sunt printre cele mai greu de depistat intrucat persoanele enumerate mai sus au de cele mai multe ori acces extins in cadrul sistemelor de lucru, cunosc in multe cazuri si metodele de depistare si cum sa le evite. Mai grav este atunci cand, prin natura rolului indeplinit, persoana are acces la informatii sensibile, cum ar fi date financiare sau clienti si informatii confidentiale legate de acestia.
„Ce-i mana in lupta?”
Cauzele care duc la aceste incidente pot fi diverse si majoritatea au o stransa legatura cu motivatia pe care fiecare atacator o are pentru a-si duce la bun sfarsit planul. Pentru a intelege factorii declansatori ai unui astfel de incident trebuie intelese diferentele intre tipurile de persoane care recurg la acest tip de activitati:
- Angajatul neglijent: in majoritatea companiilor, angajatii parcurg cursuri despre modalitatea in care trebuie prelucrate si transmise datele, amenintarile la care sa fie atenti si procedurile de urmat atunci cand constata o activitate suspecta in mediul online. Nu de putine ori se intampla sa existe persoane care, fie din nestiinta, superficialitate ori din dorinta de a trece peste anumite reguli pentru a rezolva mai repede o sarcina de serviciu, expun datele informatice ale angajatorului la un risc sporit de a fi transferate neautorizat in mediul extern ori sa le afecteze iremediabil (vezi situatia unui atac de tip ransomware, cand date ale companiei sunt criptate si chiar o eventuala restaurare poate sa nu duca la o recuperare completa a acestora).
- Angajatul rau-intentionat: o marire de salariu care nu a fost pe masura asteptarilor, o avansare care nu a venit la timpul dorit ori incetarea unilaterala din partea angajatorului a contractului de munca sunt situatii in care anumite persoane isi pierd simtul ratiunii si recurg la acte de razbunare. Nu putine au fost cazurile cand astfel de atacatori au sters bazele de date ale companiei sau le-au transferat pe un mediu de stocare personal, santajand ulterior compania cu publicarea acestora in mediul public.
- Angajatul „infractor in timpul liber”: aici se are in vedere cea mai grava forma a acestui tip de atac, in care persoane care au primit acces in mediul informatic al unei companii se folosesc de drepturile pe care le au pentru a copia sistematic informatii confidentiale pe care ulterior sa le vanda pe Darkweb si sa obtina astfel avantaje materiale. De asemenea, au mai fost intalnite deseori situatii in care persoane care supravegheau active financiare ale companiei, beneficiind de increderea care li se acorda combinata cu anumite lipsuri in supravegherea activitatii acestora, au extras, prin diferite artificii in sistemul informatic al companiei, sume de bani pe care le-au folosit ulterior in interes personal.
Cum protejam datele companiei respectand dreptul angajatului la viata privata?
Din ce in ce mai multe companii au adoptat o cultura organizationala sanatoasa care pune in centrul ei angajatul si fidelizarea acestuia. Din acest motiv, implementarea unor masuri care sa previna situatiile in care unul dintre acestia s-ar putea intoarce impotriva angajatorului trebuie luate cu mare atentie pentru a nu afecta libertatea si drepturile majoritatii. Aceasta abordare face insa ca un astfel de atac sa fie si mai greu de identificat.
Practica a aratat ca mecanismele care trebuie adoptate trebuie sa aiba in vedere atat nevoia de a proteja datele companiei, cat si dreptul angajatului la viata privata. Este prevazut fara echivoc atat de catre legislatia muncii, cat si de cea privind protectia datelor cu caracter personal faptul ca angajatul beneficiaza de dreptul la viata privata chiar si atunci cand opereaza de pe dispozitive aflate in administrarea companiei la care lucreaza. Astfel, raspunsul la aceasta problema nu este unul singur, ci mai degraba reprezinta un mixt intre diferitele controale care pot fi puse la un loc pentru a preveni sau identifica la timp acest tip de activitati.
1) Controale tehnice: implementarea de solutii de prevenire si stopare a exfiltrarii de date informatice, asa numitele Data Loss Prevention, care pot fi configurate pe nevoia fiecarei companii in parte, astfel incat sa alerteze si/sau stopeze in momentul cand anumite date sunt scoase in afara companiei. De asemenea, aceasta masura este bine sa fie completata si prin configurarea unor mecanisme prin care datele stocate sau in tranzit sunt criptate, astfel orice interceptare a acestora, fie ea si accidentala, sa nu supuna compania la un risc.
2) Masuri administrative – Desi nu intotdeauna posibil, in functie de natura rolului, sarcinile de serviciu pot fi indeplinite prin rotatie de mai multe persoane, astfel incat eventuale abateri de la procedura normala sa poata fi semnalate. In plus, principiul separatiei sarcinilor trebuie sa fie o regula astfel incat o actiune sa nu poata fi dusa la bun sfarsit decat prin colaborarea a doua sau mai multe persoane, fiecare cu diferite atributii. Un exemplu clasic ar fi situatia in care cineva identifica actiunea care trebuie intreprinsa si demareaza procedurile, o alta persoana aproba si o a treia executa plata.
In completarea acestor masuri ar trebui sa fie mentionate si anumite proceduri clare prin care datele companiei pot fi totusi scoase din companie. Desi acest lucru nu este posibil pentru departamentele a caror activitate zilnica implica schimbul de date constant cu entitati din afara companiei, cu siguranta exista numeroase alte compartimente care lucreaza cu date sensibile si care nu ar implica transferul de date spre exterior.
Nu in ultimul rand, nu trebuie uitata existenta unei proceduri de lucru de raspuns la acest tip de evenimente constand intr-un plan de raspuns la incidente informatice si diferite fluxuri de activitati in functie de specificul fiecarui atac suferit.
3) Coordonare intre departamentul de HR si IT: Poate cea mai delicata componenta din lista recomandarilor intrucat nevoia unei astfel de colaborari are loc in momentul in care sunt suspiciuni clare cu privire la existenta unui atacator din interior. Astfel, departamentele de HR pot sa anunte echipa de monitorizare a incidentelor in momentul in care sunt indicii ca o persoana a manifestat intentii vadite cu privire la o astfel de activitate. Aceasta masura trebuie cuprinsa expres in cadrul unei proceduri, cu indicarea clara a situatiei in care activitatea profesionala este monitorizata, pentru a nu lasa loc abuzurilor din partea angajatorilor, care in ideea protejarii retelei exercita un control ce poate fi intimidant si chiar ilegal pentru persoanele de buna credinta, care, din fericire, reprezinta majoritatea covarsitoare.
Echilibru in adoptarea masurilor
Realitatea a dovedit ca astfel de activitati de rea-credinta indreptate impotriva datelor informatice ale companiei (in unele cazuri chiar impotriva propriilor colegi) sunt o realitate de care fiecare decident trebuie sa tina cont. Insa, cel mai important este gasirea unui echilibru intre crearea unei culturi organizationale axate pe incredere si profesionalism si dezvoltarea unor mecanisme obiective de monitorizare, identificare si raspuns eficient in cazul in care sunt indicii ale unui atac informatic din interior. Oricare miscare spre una dintre cele doua extreme poate cauza fie un mediu impropriu de lucru pentru cea mai importanta resursa, oamenii, fie un risc iminent de compromitere a datelor informatice, aceasta situatie din urma venind la pachet si cu alte inconveniente atat de natura contraventionala, cat si penala in anumite cazuri.