Cyberzagrożenia nie zawsze przychodzą z zewnątrz. Ich źródłem mogą być działania tzw. insiderów, czyli osób, które mają legalny dostęp do firmowych systemów – pracowników, partnerów lub podwykonawców. Z opublikowanego przez Gurucul dokumentu 2024 Insider Threat Report wynika, że aż 83 proc. podmiotów zgłosiło w ciągu ostatniego roku co najmniej jeden cyberatak o pochodzeniu z wewnątrz. Incydenty tego typu są trudne do wykrycia, a odzyskanie pełnej sprawności operacyjnej po ich wystąpieniu w skrajnych przypadkach może trwać miesiąc lub dłużej.
Skala występowania i szkodliwości wewnętrznych incydentów pokazuje, jak ważne jest wdrażanie w firmach skutecznych mechanizmów ich identyfikowania oraz zarządzania nimi. Aby skutecznie przeciwdziałać tego typu atakom, w pierwszej kolejności konieczne jest zrozumienie kim są insiderzy, jakie mają motywacje oraz w jaki sposób dochodzi do naruszeń bezpieczeństwa w ich wykonaniu.
Dlaczego insiderzy atakują firmy, z którymi są powiązani?
Działania insiderów nie zawsze wynikają z ich złej woli. Wewnętrzny przypadek naruszenia bezpieczeństwa może być np. konsekwencją nieuwagi pracownika, który podczas wysyłania e-maila pomylił adresatów. Za insidera uznaje się także osobę będącą ofiarą ataku phishingowego, w wyniku którego udostępniła firmowe dane nieupoważnionemu odbiorcy.
– Duża część osób odpowiedzialnych za wewnętrzne ataki nie działa z premedytacją. Do incydentów bezpieczeństwa doprowadzają przypadkiem, co – niestety – wcale nie oznacza, że konsekwencje takiego „ataku” stają się mniej szkodliwe dla przedsiębiorstwa – zaznacza Jakub Andrzejewski, Business Development Manager for Poland & CIS w firmie Progress Software, która jest dostawcą rozwiązań do tworzenia aplikacji biznesowych, wdrażania ich i zarządzania nimi. – Oczywiście, istnieją również insiderzy, których celem rzeczywiście jest zaszkodzenie danej firmie. Motywem dla takiego postępowania mogą być korzyści finansowe, zemsta, aspekty polityczne lub współpraca z konkurencyjnym podmiotem. Tacy insiderzy przeważnie uciekają się do kradzieży danych lub sabotują działanie kluczowych systemów.
Oznaki ataku wewnętrznego
Aktywność insiderów często pozostawia ślady, które można zidentyfikować, o ile systemy bezpieczeństwa są odpowiednio skonfigurowane. Do sygnałów ostrzegawczych należą m.in. logowania w nietypowych dla danego pracownika godzinach lub próby uzyskiwania przez niego dostępu do zasobów niepowiązanych z jego codziennymi zadaniami. Czujność powinna wzbudzić także zwiększona liczba błędnych uwierzytelnień lub nagłe transfery dużych wolumenów danych – szczególnie, gdy dzieje się to poza standardowymi godzinami pracy.
– Kluczem do skutecznego wykrywania tego typu incydentów jest kompleksowa analiza ruchu sieciowego, na którą pozwalają rozwiązania typu NDR. Firmy muszą zadbać również o monitoring aktywności na urządzeniach końcowych oraz kontrolę przepływu informacji pomiędzy użytkownikiem a środowiskiem IT. Równie ważne jest stosowanie zasad ograniczonego dostępu. Użytkownicy powinni posiadać uprawnienia adekwatne do realizowanych przez nich zadań. Z kolei firma musi mieć możliwość śledzenia działań wykonywanych na wrażliwych systemach, zarówno w czasie rzeczywistym, jak i w ramach późniejszej analizy incydentów – wyjaśnia ekspert Progress Software.
Takie rozwiązania zapewniają zwiększoną widzialność aktywności w sieci oraz umożliwiają szybkie reagowanie na potencjalne nadużycia, zanim doprowadzą do wycieku danych lub zakłóceń w funkcjonowaniu systemów.
Jak ograniczyć ryzyko?
Aby realnie ograniczyć ryzyko wewnętrznego ataku, konieczne jest połączenie narzędzi technicznych z odpowiedzialnym zarządzaniem procesami. Kluczowe znaczenie mają przejrzyste procedury odbierania dostępu osobom kończącym współpracę, regularne przeglądy uprawnień oraz cykliczne audyty bezpieczeństwa – także pod kątem wykrywania potencjalnych luk w ochronie danych.
– Biorąc pod uwagę, że znaczna część ataków wewnętrznych wynika z nieświadomych działań pracowników, firmy muszą priorytetowo traktować inwestowanie w ich edukację. Programy podnoszące świadomość wśród pracowników, szkolenia dotyczące rozpoznawania prób phishingu oraz promowanie odpowiedzialnego podejścia do korzystania z firmowych systemów muszą stać się standardem. Wysoki poziom świadomości użytkowników może znacząco zmniejszyć prawdopodobieństwo nieumyślnych naruszeń – komentuje Jakub Andrzejewski.
Skuteczne reagowanie na incydent wymaga z kolei posiadania jasno określonych scenariuszy działania. Plan reagowania na ataki wewnętrzne – tak jak w przypadku innych typów zagrożeń – powinien uwzględniać zarówno szybkie wykrycie nieprawidłowości, jak i możliwość ich dokładnej analizy po fakcie. Tylko w ten sposób firmy mogą zyskać pełen obraz sytuacji i wprowadzać korekty zwiększające odporność środowiska IT.
Chociaż wewnętrzne zagrożenia nie są zjawiskiem nowym, ich rosnąca skala oraz trudność w wykrywaniu sprawiają, że muszą być traktowane jako istotny element krajobrazu cyberzagrożeń. Utrzymanie kontroli nad tym, co dzieje się wewnątrz firmowej infrastruktury, wymaga zarówno odpowiednich narzędzi, jak i dojrzałości organizacyjnej. Działania w tym zakresie powinny być prowadzone nie doraźnie, lecz systemowo.