Jak namierzyć kreta

Pracownicy potencjalnie stanowią poważne, wewnętrzne zagrożenie dla bezpieczeństwa firmowego IT. Mimo to wiele przedsiębiorstw wciąż nie robi nic, aby temu problemowi zaradzić.

SANS Institute, współpracując z firmą SpectorSoft, przeprowadził ankietę wśród 772 specjalistów od bezpieczeństwa informatycznego. Aż 74% ankietowanych odpowiedziało, że ma obawy związane z zagrożeniem ze strony pracowników. Badanie objęło firmy z różnych sektorów, w tym instytucje finansowe, rządowe, firmy technologicznego oraz dostawców usług IT. Wyniki pokazały również, że 32% pytanych nie stosuje żadnych technologii ani procesów, które mogłyby zapobiec atakowi „kreta”.

Odpowiedź na pytanie, dlaczego niektóre firmy nie stosują specjalnej ochrony przed wewnętrznymi zagrożeniami, jest prosta. Osoby podejmujące decyzję o wdrożeniu takich zabezpieczeń są ludźmi mającymi naturalnie pozytywne nastawienie do innych, ale czasem jest to również ignorancja. Niektóre organizacje uważają, że takie rzeczy nie mogą się u nich wydarzyć. Może to wynikać, np. z przekonania, że stosowany w firmie solidny proces rekrutacji eliminuje jednostki niegodne zaufania. Inną przyczyną jest dotychczasowy brak wystąpienia w firmie zagrożeń IT ze strony pracowników. Żadna organizacja nie jest jednak w stanie przewidzieć, co mogą zrobić pracownicy.

Zobacz również:

Oszust lub przywódca

Na początek warto zastanowić się, czy są jakieś cechy, które wyróżniają te żywe „podatności”. Według ekspertów ze SpectorSoft można wyróżnić kilka archetypów osób, które świadomie lub nieświadomie wystawiają na niebezpieczeństwo firmowe środowisko IT. Z każdym z nich powiązany jest inny profil zachowań, intencji i stwarzanych zagrożeń. Te archetypy to kret, oszust, niezadowolony pracownik, haktywista oraz przywódca.

Motywacja

Bliższe przyjrzenie się wymienionym archetypom pokazuje, jaka motywacja kieruje tymi osobami. Kret to oczywiście osoba, która działa na zlecenie kogoś z zewnątrz, być może dla konkurencji, ale również może pracować dla kogoś, kto z jakiś powodów jest w opozycji do atakowanej firmy. Kret często ma wykształcenie i wiedzę inżynieryjną, zajmuje stanowisko związane z tworzeniem własności intelektualnej. Ma również dostęp do krytycznych danych, które będzie próbował podkradać.

Oszust to właściwe osoba z zewnątrz, która weszła w posiadanie danych uwierzytelniających obecne lub byłego pracownika. Wykradzione dane dostępowe służą mu następnie do przeprowadzania włamań i kradzieży własności intelektualnej. Z kolei celem niezadowolonego pracownika jest zemsta za prawdziwe lub wyimaginowane krzywdy ze strony pracodawcy. Takiego pracownika łatwiej wykryć niż inne typy wewnętrznego zagrożenia. Takiej osobie należy odebrać dostęp do wartościowych zasobów, zanim dokona sabotażu, kradzieży, włamania czy wyłudzenia.

Haktiwista z reguły niszczy systemy i dane należące do dużych, znanych organizacji lub rządów w taki sposób, aby informacja o zdarzeniu przedostała się do publicznej wiadomości. W ten sposób chce zwrócić uwagę na jakiś problem czy zjawisko według niego ważne społecznie. Zupełnie inne cele ma przywódca, który szuka korzyści finansowych poprzez zdobywanie danych, często spoza jego obszaru obowiązków. Z uzyskanych środków próbuje finansować założenie własnej firmy. Często te osoby podejmują następnie pracę u konkurencji. Przywódca próbuje zwerbować do pomocy każdego, kto może wesprzeć go w osiągnięciu celu. Każdy z tych typów, z wyjątkiem oszusta, to zaufanych pracownik, który w niewłaściwy sposób wykorzystuje nadane mu przez firmę uprawnienia i dostęp do danych.

Toporem w szkodnika

Ograniczanie uprawnień czy stosowanie modelu bezpieczeństwa Zero Trust może ograniczyć szkody wyrządzane przez własnych pracowników, ale nie są to wystarczające zabezpieczenia. W niektórych przypadkach wymagana jest dodatkowa ochrona. Przykładowo, pracownik może mieć przyznane znaczne uprawnień, ponieważ inaczej nie mógłby wykonywać swoich zadań. Podobnie, oszust może wykradać dane ukradkiem, stopniowo, unikając w ten sposób wykonywania czynności, które są szybko wykrywane przez systemy zabezpieczeń.

Aby zapobiegać zagrożeniu z wewnątrz, firmy mogą używać narzędzi klasy User Behavior Analytics. Stosuje się w nich mechanizmy analizujące różne zachowania, aby wykryć tych pracowników, którzy postępują w sposób odbiegający od typowych wzorców. Te narzędzia potrafią szybko wykrywać nietypowe zachowania i powiadamiać o takich zdarzeniach. Jednocześnie dają możliwość podjęcia ręcznych lub zautomatyzowanych działań naprawczych. Dobrym przykładem, w którym takie narzędzia potwierdzają swoją skuteczność, jest wysyłanie przez pracownika dokumentów o klientach na prywatny adres. Nie jest to typowe, dopuszczone działanie, jeśli zostanie wykryte przez odpowiednie narzędzia, można zareagować.

Jednakże korzystanie z takich systemów w środowisku korporacyjnym nie zawsze jest możliwe ze względów prawnych. Nawet jeśli są zbierane jakieś dane o działaniach użytkowników, mogą być ograniczenia co do przekazywania takich danych do systemów analizy zachowań.

Inne mechanizmy

Oprócz korzystania z zabezpieczeń i analizy zachowań, firmy powinny mieć przygotowane plany reakcji na wypadek wykrycia wewnętrznego zagrożenia. Taki plan powinien określać działania w tej szczególnej sytuacji, gdy problem dotyczy własnego pracownika. Potrzebne są bowiem działania nie tylko związane z IT, ale również prawne i kadrowe. Trzeba przy tym pamiętać, że plany reakcji na zagrożenie są tylko tak dobre, jak sam proces wykrywania wrogich pracowników. Jeśli nie stosuje się żadnych metod wykrywania, wtedy plan reakcji nie przyda się do niczego.

Eksperci często doradzają, aby w sytuacji zagrożenie odrzucać połączenia i zamykać luki. Jednakże masowa akcja odrzucania połączeń ma negatywny wpływ na działalność biznesową. Takie rozwiązanie nie oferuje odpowiedniej szczegółowości, aby odrzucać tylko określone połączenie. W efekcie cierpi wiele systemów i aplikacji, często cały biznes. Na koniec, trzeba pamiętać o tym, aby przechowywać szczegóły sprawy w postaci, która będzie dostępna dla kierownictwa i organów ścigania. Jest to bardzo ważne z punktu widzenia usuwania skutków ataku oraz podejmowania działań prawnych i administracyjnych.

Podejrzane typki

Prawda jest taka, że nie zawsze da się rozpoznać, który pracownik ma potencjał, aby stać się wrogiem swojego pracodawcy. Eksperci wskazują, że jest kilka czynników, które trzeba traktować jako ostrzeżenie. Niestety nie można ich traktować jako jednoznacznych objawów wrogiego nastawienia, a jedynie jako lampki ostrzegawcze wskazujące na potencjalne zagrożenie. Z reguły chodzi bowiem o określone formy zachowania.

Już podczas rozmowy rekrutacyjnej mogą pojawić się oznaki, kto może być nieuczciwy. Problem dotyczy osób, które ukrywają różne niewygodne fakty o swojej osobie, np. zatargi z prawem. Dlatego zatrudnieniu nowego pracownika, szczególnie na odpowiedzialne stanowisko, powinno towarzyszyć sprawdzenie jego przeszłości, np. czy był karany. Oczywiście, trzeba pamiętać, że nawet osoba o wątpliwej przeszłości może okazać się dobrym pracownikiem, szczególnie jeśli nie ukrywa jej przed nowym pracodawcą.

Wielu pracowników, jeśli nie zdecydowana większość, ma złe doświadczenia z jednym czy z kilkoma byłymi pracodawcami. Jeśli jednak kandydat narzeka na wszystkich dotychczasowych pracodawców, jest prawie pewne, że historia się powtórzy i będzie on źródłem kłopotów. Szczególnie, jeśli narzeka, że byli pracodawcy nie ufali mu. „O wewnętrznych zagrożeniach trzeba myśleć już na etapie zatrudniania pracownika” – potwierdza Andrzej Kubacki, Dyrektor Sprzedaży Business Continuity & Data Security w firmie Qumak. „Kandydat, który twierdzi, że przyniesie nam jego wcześniejszy projekt powinien budzić refleksję, co się stanie, gdy będzie odchodził z naszej firmy?”

Jeśli pracownik wie więcej, niż powinien, to ogólnie powinno wzbudzić podejrzenia. Początkowo jest to trudne do zauważenia, ale w tej sytuacji może pomóc rozpoznawanie powtarzających się wzorców. Przykładowo, gdy pracownik zawsze wie, kiedy nastąpi reorganizacja, kto zostanie zwolniony lub zatrudniony, oraz szereg innych detali.

Większość pracowników potrafiących włamywać się do komputerów współpracowników czy firmowych systemów z reguły lubi się pochwalić tym faktem komuś w firmie. Jest to dziwne, ale prawdziwe. Jeśli taki firmowy haker zaczyna chwalić się, co mógłby zrobić, gdyby chciał, należy to potraktować jako ostrzeżenie. W większości wypadków nikt jednak nie przekaże takich informacji kierownictwu, a jeśli nawet, raczej zostaną one zignorowane.

Tymczasem takie zachowanie któregoś z pracowników powinno wystarczyć, żeby podjąć działania zaradcze. Dlatego należy edukować pracowników, aby informowali o takich zdarzeniach. Jeśli rzeczywiście coś takiego nastąpi, z tym pracownikiem warto odbyć rozmowę w towarzystwie jego przełożonego i osoby z działu HR. Warto też sprawdzić zawartość twardego dysku jego komputera, pod kątem śladów nieautoryzowanych działań oraz narzędzi hakerskich. Podobne działania trzeba podjąć również w przypadku pracowników, którzy korzystają z nieuatoryzowanych narzędzi hakerskich, mimo że nie są im potrzebne do wykonywania służbowych zadań.

Jeśli okazałoby się, że pracownik nie hakował aktywnie, w sposób naruszających dobro pracodawcy czy innych osób, należy taką osobę jedynie ostrzec, że jej zachowania są niedozwolone i mogą skutkować natychmiastowym zwolnieniem dyscyplinarnym. W najlepszym wypadku taki pracownik powinien być w przyszłości dokładnie kontrolowany. Poważne potraktowanie takich zdarzeń może też być sygnałem dla pozostałych pracowników, że podejmowanie wrogich działań nie ujdzie bezkarnie.

Kolejny objaw to sytuacja całkiem częsta w biurach – pracownicy szybko przełączają otwarte okna, gdy do pomieszczenia wchodzi, np. ich przełożony. To wyraźna wskazówka, że zajmują się czymś, co nie jest związane z ich pracą. Czerwona lampka powinna się mocno zapalić dopiero, gdy coś takiego ma miejsce w momencie, gdy pracownik ma otwartą firmową aplikację. Przecież każda baza danych czy firmowa strona internetowa nie powinna być przedmiotem ukrywania przed przełożonymi. Jeśli taka sytuacja się powtarza, należy dokładnie sprawdzić, jakie jest tego podłoże.

Warto też przyjrzeć się osobom, które nigdy nie biorą urlopów. Osoby podejmujące wrogie działania często uważają, że stale muszą maskować to, co robią, aby nie zostać złapanymi. Dlatego nie biorą wolnego. To jeden z powodów, dlaczego firmy zmuszają pracowników do brania urlopów.

Przymusowe wypowiedzenie nigdy nie jest łatwe dla pracownika. Temu zawsze powinno towarzyszyć wyłączenie konta zwolnionego pracownika, szczególnie jeśli jest ktoś z działu IT. Tymczasem wielu firmom zdarza się o tym zapomnieć. Dodatkowo dochodzi problem używania wielu haseł, szczególnie administratorskich, w wielu miejscach. Takie hasła najczęściej zna kilka osób. Każdy system dostępny przez Internet powinien zostać dokładnie zbadany, a dane uwierzytelniające zmienione. Trzeba też zmienić hasła do kont o podwyższonych uprawnieniach wykorzystywanych przed administratorów. Sprawdzenia wymaga, czy były pracownik znał jeszcze hasła do jakiś kont. Jeśli tak, również należy je zmienić.


TOP 200