Pericolul din spatele zidurilor de apărare, când amenințarea vine din interior

Amenințarea cu un atac informatic nu îi mai surprinde demult pe cei care au în mână destinele unei companii, motiv pentru care, încurajați și de legislația în vigoare referitoare la GDPR, încep să ia cât mai multe măsuri pentru a stopa o eventuală exfiltrare^[1] de date sau alterare a acestora. Toate acestea sunt însă în van dacă sursa atacului vine din interior, iar consecințele pot fi infinit mai mari decât în cazul unui atac informatic efectuat de un hacker.

Conform unui raport furnizat de Proofpoint, lider în domeniul protecției împotriva atacurilor de tip phishing, în 2020, 60% dintre companiile analizate au avut cel puțin 30 de incidente legate de o amenințare din interior și, în cele mai multe cazuri, timpul de identificare a acestora a fost mai mare de 30 de zile, cauzând în final pierderi în medie de 11 milioane dolari/companie, în creștere față de valoarea din 2018, de 8.76 milioane dolari/companie. De asemenea, în același interval de timp și numărul de atacuri informatice generate de persoane din interiorul companiei a crescut cu 47%.

Dacă în majoritatea cazurilor vorbim de actuali angajați care se pretează la un moment dat la astfel de acțiuni, nu trebuie neglijați nici partenerii sau colaboratorii care sunt în strânsă legătură cu o companie ori foști angajați care cunosc arhitectura interioară și automat și punctele slabe. Atacurile din interior sunt printre cele mai greu de depistat întrucât persoanele enumerate mai sus au de cele mai multe ori acces extins în cadrul sistemelor de lucru, cunosc în multe cazuri și metodele de depistare și cum să le evite. Mai grav este atunci când, prin natura rolului îndeplinit, persoana are acces la informații sensibile, cum ar fi date financiare sau clienți și informații confidențiale legate de aceștia.

„Ce-i mână în luptă?”

Cauzele care duc la aceste incidente pot fi diverse și majoritatea au o strânsă legătură cu motivația pe care fiecare atacator o are pentru a-și duce la bun sfârșit planul. Pentru a înțelege factorii declanșatori ai unui astfel de incident trebuie înțelese diferențele între tipurile de persoane care recurg la acest tip de activități:

− Angajatul neglijent: În majoritatea companiilor, angajații parcurg cursuri despre modalitatea în care trebuie prelucrate și transmise datele, amenințările la care să fie atenți și procedurile de urmat atunci când constată o activitate suspectă în mediul online. Nu de puține ori se întâmplă să existe persoane care, fie din neștiință, superficialitate ori din dorința de a trece peste anumite reguli pentru a rezolva mai repede o sarcină de serviciu, expun datele informatice ale angajatorului la un risc sporit de a fi transferate neautorizat în mediul extern ori să le afecteze iremediabil (vezi situația unui atac de tip ransomware, când date ale companiei sunt criptate și chiar o eventuală restaurare poate să nu ducă la o recuperare completă a acestora) (…).

Materialul integral este disponibil aici.