Pracownicy to trudny element polityki bezpieczeństwa

Nie przestrzegają reguł bezpieczeństwa lub łamią je świadomie, czasem sami wymierzają sprawiedliwość w odwecie za pominięcie przy awansie lub zwolnienie. Pracownicy - największa wartość przedsiębiorstwa i najsłabsze ogniowo w łańcuchu ochrony firmowych sieci.

Jak zgodnie przyznają firmy zajmujące się bezpieczeństwem informatycznym pracownik jest najmniej pewnym ogniwem w całym łańcuchu ochrony sieci w przedsiębiorstwach. Jeden z najbardziej znanych hakerów, Kevin Mitnick powiedział, że nawet jeśli firma wyda setki tysięcy dolarów na technologie bezpieczeństwa, to w momencie gdy atakujący znajdzie wewnątrz organizacji choć jedną osobę podatną na sugestie i osoba ta pozwoli sobą manipulować, pieniądze wydane na ochronę będą zmarnowaną inwestycją.

Pracownik najczęściej łamie zasady w wyniku niewiedzy, wyjątkowej beztroski lub błędu, zdarzają się jednak też celowe zdziałania, np. pracowników sfrustrowanych po zwolnieniu z pracy lub przekupionych przez konkurencję.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Dzięki nowym przepisom, walka z nadużyciami w komunikacji elektronicznej będzie łatwiejsza

Niepoważne traktowanie obowiązujących zasad niestety często jest w firmach spotykane. Według badania Cisco z 2014 roku chociaż 93% pracowników korzysta z firmowego Internetu w celach prywatnych, to tylko 26% badanych zna i przestrzega polityki bezpieczeństwa swojej organizacji, 38% wie co prawda o jej istnieniu, ale nigdy się z nią nie zapoznało, a 32% uważa, że polityka bezpieczeństwa ogranicza ich w wykonywaniu codziennych obowiązków i omija obowiązujące zasady. Taka beztroska to otwieranie drzwi atakującym.

O tym, że zatrudnieni w organizacjach są słabym ogniwem w łańcuchu bezpieczeństwa doskonale wiedzą cyberprzestępcy i to wykorzystują, co widać po skali ataków wykonywanych za pomocą różnych socjotechnik. Jak pokazuje opublikowany a kwietniu 2015 roku raport RSA i ISACA "State of Cybersecurity"w skali globalnej najczęściej spotykanym atakiem na przedsiębiorstwa jest atak związany ze zmanipulowaniem pracowników, czyli phishing (w tym SMS phishing), którego doświadczyło ponad 68% zbadanych przedsiębiorstw. Powodem takiej częstotliwości ataków phishingowych może być w dużej mierze brak wiedzy na ten temat, gdyż jak wynika z innego badania, przeprowadzonego w maju 2015 przez Intel Security tylko 3% z pracowników potrafiło bezbłędnie zidentyfikować fałszywego maila oznaczającego atak phishingowy.

Niebezpieczne dla przedsiębiorstw jest to, że czynnik ludzki jest przyczyną incydentów w najbardziej newralgicznych punktach. - Badanie podatności na ataki phishingowe, które Intel Security przeprowadził w dużych firmach, pokazało, że najsłabsze w identyfikowaniu tego typu zagrożeń są działy HR i finansowe, a zatem te, które mają do czynienia z wrażliwymi danymi. Różnica w porównaniu z innymi komórkami w przedsiębiorstwach wynosiła od 4% do 9%. Po raz kolejny zatem widzimy, jak ważne jest przybliżanie tej problematyki wszystkim pracownikom firmy.- mówi Arkadiusz Krawczyk, Country Manager w McAfee, part of Intel Security.

RSA firma zajmująca się bezpieczeństwem (będąca obecnie czescią EMC) podkreśla, że czynnik ludzki prowadzący do incydentów to nie tylko pracownicy, ale wszyscy określeni mianem insiderów. Kim są insiderzy? To wszyscy, którzy posiadają potencjalną możliwość korzystania, nawet okazjonalnie, z wewnętrznej sieci w danej organizacji, czyli także zatrudnieni czasowo, partnerzy biznesowi, a nieraz i klienci. Szkody wyrządzane przez insiderów można podzielić na trzy podstawowe kategorie: oszustwo, kradzież własności intelektualnej, sabotaż infrastruktury IT.

FBI rusza na pomoc

Jak rozpoznać niebezpieczne zachowania pracowników prowadzące potencjalnie do ataku na firmowe zasoby? FBI (Federal Bureau of Investigation) sporządziła spis najczęstszych motywacji, okoliczności i zachowań, które mogą przyczynić się do kradzieży, naruszeń i sabotażu. Służy on nie tylko identyfikacji groźnych zachowań, ale także zapobieganiu atakom zanim one nastąpią, pomaga także określić i zbudować strategię ochrony firmy. Derek Brink przytacza w blogs.rsa.com tę opracowaną przez FBI listę zachowań pracowników na które trzeba zwrócić baczną uwagę, gdyż mogą potencjalnie prowadzić do incydentów naruszenia bezpieczeństwa. Należy zwrócić baczną uwagę na pracownika, który wykonuje poniższe działania:

- wyszukuje informacje lub tematy nie związane z obowiązkami zawodowymi;

- niepotrzebnie kopiuje informacje, zwłaszcza, jeśli są one zakwalifikowane jako zastrzeżone (uwaga: prawie 60% pracowników bez wiedzy swoich przełożonych wyprowadza na zewnątrz dane należące do firmy – nagrywając je na płyty, pendrive’a bądź wysyłając pocztą elektroniczną).

- przekazuje informacje w postaci fizycznych dokumentów, załączników e-mail, cyfrowych mediów, aplikacji etc;

- ignoruje politykę firmy i samowolne instaluje sprzęt lub oprogramowanie, odwiedza zabronione strony, prowadzi nieautoryzowane wyszukiwanie i pobieranie informacji;

- uzyskuje dostęp do infrastruktury IT w organizacji zdalnie i w dziwnych godzinach, nawet wówczas, gdy jest chory lub podczas wakacji;

- wykazuje zauważalny entuzjazm dla pracy w nadgodzinach, w weekendy, lub w nietypowym czasie, kiedy można łatwiej prowadzić niekontrolowaną działalność;

- wykazuje niezwykłe zainteresowanie sprawami pozostającymi poza jego obowiązkami służbowymi, zwłaszcza tymi, które są interesujące dla konkurentów lub podmiotów zagranicznych;

- wykazuje duże zainteresowanie życiem osobistym współpracowników zadając nieodpowiednie pytania dotyczące finansów czy związków;

- często robi sobie krótkie wycieczki z niewyjaśnionych lub dziwnych powodów;

- nawiązuje podejrzane kontakty osobiste z konkurentami, partnerami biznesowymi i cudzoziemcami;

- wygląda na przytłoczonego kryzysami życiowymi lub rozczarowanego karierą;

- posiada niewyjaśnione dochody: kupuje rzeczy na które nie mógłby sobie pozwolić z normalnych wpływów

- wykazuje niepokój kiedy jest kontrolowany.

Edukacja i monitoring

Oczywiście ważną linią obrony przez naruszeniami bezpieczeństwa jest szkolenie pracowników i wiele organizacji skupia się głównie na edukacji, której celem jest umiejętność rozpoznania i unikania ataków socjotechnicznych, ale to nie wystarcza. Organizacje muszą uruchomić rozwiązania technologiczne i wypracować procesy, które zahamują atak zanim dotrze on do użytkownika. Takie narzędzia to nie tylko narzędzia filtrowania poczty i Internetu lecz także profesjonalne rozwiązania które przeanalizują wszystkie źródła i odsuną zagrożenia. Nowe możliwości w zakresie monitorowania, detekcji i szybkiego reagowania na incydenty związane z użyciem big data i analityki dają tu bardzo dobre efekty.

Które z następujących typów ataków miały miejsce w twoim przedsiębiorstwie w 2014?

- phishing - 68,32%

- złośliwe oprogramowanie - 66,48%

- próby włamania do sieci - 50,14%

- ataki socjotechniczne - 46,45%

- zgubienie urządzeń mobilnych - 43,89%

- kradzieże poufnych danych - 25,28

- SQL injection - luki w zabezpieczeniach aplikacji internetowych - 21,88%

- ataki man-in-the-middle - 11,08%

- ataki watering hole - 7,53%

(źródło: State of Cybersecurity: Implications for 2015An ISACA and RSA Conference)

Motywacje do ataków

- korzyści finansowe - 32,79%

- przerwanie usług - 24,45%

- kradzież własności intelektualnej - 19,45%

- kradzież informacji identyfikacyjnych (PII) - 11,74%

- kradzież danych niejawnych - 11,61%

(źródło: State of Cybersecurity: Implications for 2015An ISACA and RSA Conference)

Największe wyzwania bezpieczeństwa IT w 2015

- wykrywanie/ śledzenie podejrzanego zachowania użytkowników oraz zapobieganie incydentom – 60%

- kontrola działalności administratorów systemu i superużytkowników -57 %

- kontrola aktywności strony trzeciej, zewnętrznych partnerów usług IT - 42 %

- wsparcie wewnętrznych procesów biznesowych organizacji (np. raportowania) - 38 %

- przyspieszenie audytów IT i całego procesu dochodzenia śledczego - 27 %

- zmniejszenie kosztów zapewnienia zgodności organizacji z przepisami, regulacjami itp. -19%

(źródło: BalaBit IT Security, ankieta przeprowadzona podczas warszawskiego VIII Forum Bezpieczeństwa i Audytu IT - SEMAFOR 2015 wśród praktyków bezpieczeństwa IT).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200