Jednym z największych zagrożeń dla organizacji w sieci, jest utrata wrażliwych danych, takich jak: numery kart kredytowych czy informacje identyfikujące pracowników lub klientów. Zagrożenia takie mają charakter wewnętrzny, tj. powstają głównie ze strony administratorów systemów lub sieci, którzy mają uprzywilejowany dostęp do zasobów danych korporacyjnych. To właśnie oni odpowiadają za największe straty rekordów w wyniku wewnętrznych incydentów.

Naruszenia danych mogą być świadome - kradzież informacji finansowych lub dotyczących własności intelektualnej, ale również nieświadome - popełniane przez pracowników przypadkowo otwierających zainfekowane pliki, instalujących nieautoryzowane oprogramowanie lub korzystających beztrosko z sieci społecznościowych.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Specjaliści zalecają działom IT podejmowanie praktycznych kroków, w celu zminimalizowania zagrożeń wewnętrznych. A oto sześć takich porad:

1. Ograniczanie specjalnych uprawnień i ich monitorowanie.

Według "2010 Data Breach Investigations Report" przygotowanego przez Verizon, niemal połowa (48%) wszystkich naruszeń danych to incydenty z udziałem osób "dobrze poinformowanych", a jeżeli przyjrzeć się bliżej tym osobom, to okazuje się, że dysponowały one specjalnymi uprawnieniami dostępu. Verizon zaleca dokładne "prześwietlanie" zatrudnianych, aby wyeliminować pracowników, którzy w przeszłości naruszali reguły polityki bezpieczeństwa danych. Trzeba również przestrzegać zasady nieprzydzielanie większych uprawnień niż to jest konieczne do wykonywania bieżących zadań, a obowiązki powinny być tak rozdzielane, aby zbyt wielki zakres dostępu nie był skoncentrowany na jednym pracowniku. Korzystanie z uprawnień powinno być rejestrowane i komunikowane na szczebel zarządzania.

2. Uaktualnianie na bieżąco uprawnień dostępu.

Raport Verizon podaje, że 24% naruszeń wewnętrznych spowodowali pracownicy, którzy niedawno zmienili zajęcie. Połowa z nich została zwolniona, pozostałym przydzielono inne role w firmie. Naruszenia były możliwe dzięki temu, że konta tych pracowników nie zostały dostatecznie szybko zlikwidowane czy uaktualnione, lub pracownikom tym umożliwiono przedłużenie dnia pracy po ich zwolnieniu lub przesunięciu do innych zadań. Verizon zaleca organizacjom tworzenie dokładnego planu przydzielania uprawnień, który obejmuje wszystkie obszary dostępu.

3. Monitorowanie pracowników przyłapanych na drobnych występkach

W opinii Verizon pracownicy zamieszani w mniejsze występki "online", często kończą jako więksi przestępcy, którzy są zdolni np. do kradzieży własności intelektualnej. Dobrze jest więc mieć baczenie na pracowników naruszających reguły polityki obowiązującej w pracy online, a także wykazujących się innymi niewłaściwymi zachowaniami, jak sprowadzanie pornografii czy nielegalnych treści do systemów. W teorii cyberkryminalistyki istnieje pojęcie "wybitej szyby" - pracownicy, którzy popełniali kradzież danych często byli w przeszłości przyłapywani na mniejszych formach nadużyć.

4. Analizy logów i alarmowanie o pojawiających się anomaliach

Analiza naruszeń bezpieczeństwa przeprowadzona przez Verizon wykazała, że ślady 86% takich incydentów można znaleźć w plikach logów. Według firmy, trzy główne anomalie, których należy poszukiwać w logach to: anormalny przyrost danych w logach, zbyt długie wiersze zapisów w logach i anormalne zmniejszenie lub brak danych w logach. Według Verizon, pozycje logów mogą zwiększać się nawet o 500% po incydencie naruszenia danych, a także można spotkać się z sytuacją zniknięcia zapisów w logu, kiedy napastnik wyłączy rejestrowanie zdarzeń. Ataki takie, jak np. "SQL injection", pozostawiają znacznie dłuższe zapisy w logu niż standardowe zdarzenia. Zbyt wiele działów IT wprowadza monitorowanie zdarzeń i narzędzia analiz, ale zapomina o regularnym przeglądaniu rezultatów monitorowania i analizowania.

5. Rozważenie wprowadzenia technologii DLP

Raport zaleca, aby wszystkie organizacje filtrowały ruch wychodzący z sieci pod kątem wycieków danych. Monitorując, identyfikując i kontrolując ruch wychodzący z sieci, każda organizacja może zwiększyć szanse znacznego ograniczenia złośliwych działań prowadzących do naruszenia danych.

6. Szkolenie personelu w zakresie zagrożeń wewnętrznych

Szkolenie o zagrożeniach bezpieczeństwa i sposobach rozpoznawania współpracowników, którzy mogą być zaangażowani w szkodliwe działania, powinny obejmować wszystkich pracowników, a zwłaszcza cały zespół IT. Firmy mogą zakładać "gorące linie", gdzie pracownicy będą mogli anonimowo zgłaszać zaobserwowane nadużycia lub działania mogące prowadzić do nadużyć. Do edukacji można wykorzystywać też usługi sieci społecznościowych.