Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Rozpoznawanie różnych typów insiderów - osób atakujących z wewnątrz

Tagi:

Insiderzy to ludzie, którzy odgrywają kluczową rolę w wycieku danych. Poniżej przedstawiamy kilka różnych profili insiderów.

Nieostrożny insider

Nieostrożny insider jest najczęstszym typem insidera. Jest on zazwyczaj szeregowym pracownikiem, bez funkcji menedżerskich, który nieumyślnie powoduje naruszenie poufności informacji i nie wykazuje realnych chęci do naruszania wewnętrznych przepisów bezpieczeństwa firmy.

Pracownicy ci stanowią niezamierzone, nieukierunkowane zagrożenie i, mimo ich najlepszych intencji, naruszają zasady przechowywania poufnych danych. Incydenty naruszenia danych obejmujące ten profil insiderów najczęściej są wynikiem wynoszenia informacji poza biuro - aby pracować w domu, w podróży służbowej itd. Nieostrożny insider często nieświadomie traci urządzenie przechowujące dane lub w jakiś inny sposób dopuszcza niepowołane osoby do firmowych danych. Mimo braku złych intencji, ten typ naruszenia danych może spowodować szkody na tę samą skalę, jak te wywołane przez cyberszpiegostwo. Kiedy nieostrożny insider zda sobie sprawę, że nie jest w stanie skopiować danych, postąpi zgodnie z instrukcjami bezpieczeństwa i porozmawia ze swoimi współpracownikami lub administratorem systemu, który wyjaśni mu, że zabieranie poufnych danych poza biuro nie jest dozwolone. Firmy mogą zabezpieczyć się przed tego typu insiderami stosując środki prewencyjne, obejmujące podstawowe kanały potencjalnego wycieku danych, takie jak filtrowanie zawartości wychodzącego ruchu sieciowego w połączeniu z wykorzystaniem menedżera urządzeń wejścia / wyjścia.

Naiwny insider

Ostatnimi czasy określenie 'inżynierii społecznej' jest używane do opisywania różnych metod zwodzenia ludzi w internecie. Jednak, ten typ manipulacji jest stosowany w przypadkach daleko przekraczających nielegalnie pozyskiwanie danych osobowych: haseł, pinów, numerów kart kredytowych i adresów. Były haker, Kevin Mitnick - obecnie szanowany konsultant ds. bezpieczeństwa IT - wierzy, że socjotechnika to wykorzystywanie słabych ogniw w łańcuchu bezpieczeństwa danych systemowych. Książka Mitnicka, 'The Art of Deception' ('Sztuka podstępu') zawiera kilka przykładów, które pokazują, w jaki sposób np. praworządna sekretarka, posiadająca jak najlepsze intencje, może kopiować poufne, korporacyjne wiadomości e-mail na prywatną, niestrzeżoną skrzynkę pocztową, tylko dlatego, że nieznany 'ekspert' doradził jej, aby to zrobiła 'na wszelki wypadek'.

W tym scenariuszu sekretarka mogła otrzymać telefon od kierownika oddziału, który przedstawia się i mówi jej, że nieznane problemy techniczne sprawiły, iż chwilowo niemożliwe jest, aby przekazać wiadomość e-mail za pośrednictwem sieci firmowej. Zamiast tego sugeruje, że w tej sytuacji pomóc może wysłanie e-maila na jego osobisty adres, który operuje na publicznej usłudze pocztowej. 'Menedżer' jest na tyle przekonujący, że sekretarce na myśl nie przychodzi jakiekolwiek podejrzenie oszustwa i natychmiast wysyła wiadomość e-mail na alternatywny adres pocztowy. Można się tylko domyślać, kim naprawdę był rzekomy kierownik, ale jedno jest pewne: poszukiwał konkretnych informacji, a jego intencje nie były szlachetne.

Naiwni i nieostrożni insiderzy mogą zostać określeni jako 'niezłośliwi': wierzą, że działają dla dobra firmy, ale często mają wrażenie, że oficjalne procedury wchodzą im w drogę. Podczas, gdy rzeczywiste intencje insiderów mogą nie mieć żadnego wpływu na szkody, które są ostatecznie powodowane, to określają one działania, jakie podejmie insider, gdy dowie się, że nie może pozyskać żądanych danych. Ci pracownicy są lojalni - będą rozmawiać ze swoimi współpracownikami, zespołem wsparcia technicznego lub członkami Zarządu, aby dowiedzieć się, dlaczego ich próby pracy z danymi (i jednocześnie nieświadome próby naruszenia bezpieczeństwa) zostały zablokowane, aż dowiedzą się, że działania te są zabronione.

Kolejne profile insiderów klasyfikują się do kategorii 'złośliwych'. Oznacza to, że w przeciwieństwie do typów pracowników opisanych powyżej, są w pełni świadomi, że ich działania zaszkodzą przedsiębiorstwu. Motywy, które określą ich działania po spostrzeżeniu się, że próby pozyskania danych, jakie chcą podjąć zostały zablokowane, dzielą ich na cztery podkategorie: sabotażystów, nielojalnych pracowników, 'moonlighterów' i kretów.

Sabotażysta

Sabotażyści to pracownicy, którzy próbują zaszkodzić firmie z własnych, osobistych powodów. Często są niezadowoleni i czują się tak, jakby byli traktowani jak zło konieczne: ich wynagrodzenie jest niskie, są zbyt nisko w hierarchii korporacyjnej drabiny, nie są uprawnieni do pewnych wygód, takich jak laptop, samochód służbowy, sekretarka itd.

Możemy lepiej poznać typ sabotażysty badając dwie kluczowe różnice w porównaniu z innymi rodzajami insiderów. Przede wszystkim - nie planują oni opuścić firmy. Po drugie, sabotażysta zamierza raczej zaszkodzić spółce, niż kraść informacje. Innymi słowy, nie chce, aby władze dowiedziały się, że to on był przyczyną wycieku danych; nagle odkrywa, że jego próby kradzieży niektórych danych zostały zablokowane więc skupia swoją niszczycielską energię gdzie indziej - niszczy inne dane, fabrykuje publiczne informacje albo kradnie inne aktywa. Ponadto, na podstawie własnej oceny cennych informacji i potencjalnych zniszczeń, określa konkretnie, jakie dane byłoby najsensowniej ukraść i komu należy je przekazać. Najczęściej potencjalnymi odbiorcami są m. in. media (które z chęcią opublikują pozyskane informacje) lub organizacje przestępcze (które użyją informacji do szantażu). Dobrym przykładem może być pracownik odpowiedzialny za monitorowanie stanu zatopionych okrętów atomowych, który przekazuje poufne informacje do ekologów i prasy.

Nielojalny pracownik

Nielojalny pracownik to kolejny typ złośliwego insidera. Nielojalni pracownicy to grupa, która może obejmować stażystów i pracowników, którzy zamierzają opuścić firmę, ale jeszcze nie poinformowali o tym fakcie swoich współpracowników i przełożonych. Planują działania dla uzyskania swoich własnych korzyści i czynią to ze znaczną szkodą dla firmy. Zawsze gdy chodzi o zagrożenia wewnętrzne, nielojalni pracownicy są głównym problemem dla menedżerów. Dla przykładu, obecnie powszechną praktyką członków działów handlowych lub finansowych podczas kończenia stosunku pracy jest zabieranie ze sobą kopii baz danych finansowych klientów firmy. Było kilka incydentów w Stanach Zjednoczonych i Europie, w których stażyści w firmach technologicznych kradli własność intelektualną. Zagrożenie stwarzane przez tę kategorię insiderów nie jest specjalnie ukierunkowane - po prostu próbują oni ukraść tyle danych, ile mogą, i często nie są świadomi wartości informacji, ani nie mają konkretnych planów, w jaki sposób ich użyć. Najczęstsze sposoby uzyskania dostępu do źródeł informacji lub możliwości skopiowania informacji obejmują stwierdzenie, że dane są im niezbędne do wykonywania powierzonych obowiązków.

Różnica między nielojalnymi pracownikami a sabotażystami jest taka, że nielojalni pracownicy nie próbują ukrywać faktu, iż naruszyli procedury bezpieczeństwa. Co więcej, skradzione informacje są czasem wykorzystywane do szantażowania spółki w celu otrzymania dodatkowych korzyści tytułem odprawy.

Sabotażysta i nielojalny pracownik nie stanowią jednak tak wielkiej groźby, jak kolejne dwa rodzaje insiderów ponieważ samodzielnie decydują, jakie dane chcą zniszczyć lub ukraść i gdzie je sprzedać. Dyrektor handlowy, który zdecyduje się na rezygnację, może zabrać ze sobą bazę klientów, ale może zostać później zatrudniony przez firmę, która nie jest bezpośrednim konkurentem poprzedniego pracodawcy. Informacje, które zostaną ujawnione mediom, mogą się okazać niezbyt interesujące i być może nawet nie zostaną opublikowane. Stażysta, który kradnie tajniki obiecującego projektu, może nie znaleźć nabywcy. W tych przypadkach informacje, które wyciekły, nie szkodzą. A jeżeli insider tego typu napotka trudności w próbach kradzieży informacji, nie będzie próbował ich obejść, ponieważ nie dysponuje wystarczającą wiedzą techniczną, jak to zrobić.

"Moonlighter"

Jeśli sabotażysta lub nielojalny pracownik nawiąże kontakt z potencjalnym nabywcą konkretnych informacji, zanim informacja zostanie skradziona (może to być konkurencja, media, organizacje przestępcze lub rząd), staje się najgroźniejszym rodzajem insidera: 'moonlighterem'. Jego praca, dobre samopoczucie, a w niektórych przypadkach nawet i jego zdrowie, zależą od tego momentu od wiarygodności i przydatności informacji, które ukradnie.

'Moonlighterzy' i krety (kolejny typ insidera) to pracownicy, którzy mają za zadanie dotrzeć do konkretnych informacji na żądanie ich 'zleceniodawcy'. W obu przypadkach insiderzy ci próbują ukryć swoje działania (przynajmniej do momentu pomyślnej kradzieży danych), mimo że ich motywy różnią się. Profil 'moonlightera' zawiera szeroki wybór pracowników, którzy zdecydowali się na kradzież informacji z wielu różnych powodów: może potrzebowali dodatkowych pieniędzy, aby kupić samochód, czy może zostali zwerbowani przez kogoś spoza firmy. W wielu przypadkach pracownik był początkowo lojalny, ale został przekupiony lub zastraszony. Dlatego 'moonlighterzy' robią wszystko co mogą, aby nie napotkać żadnych komplikacji i zrealizować powierzone zadanie od ręki. W zależności od sytuacji, mogą przestać kraść dane lub udawać, że potrzebują ich do pracy. W bardziej skrajnych przypadkach mogą nawet próbować włamać się do systemu informatycznego lub przekupić swoich współpracowników.

Kret

Ten ostatni profil insidera pochodzi od określenia szpiegów, znanych z thrillerów szpiegowskich epoki zimnej wojny. Podrzucanie kreta to powszechna taktyka stosowana w szpiegostwie przemysłowym i rządowym. Dla przykładu: administrator systemu w znanej firmie otrzymuje bardzo atrakcyjną ofertę pracy z innej firmy - hojne wynagrodzenie, doskonałe warunki i elastyczny harmonogram pracy. Byłby niespełna rozumu, gdyby nie przyjął tej propozycji. Tymczasem, jego obecny pracodawca otrzymuje aplikację od eksperta IT z imponującym dorobkiem, która wygląda zbyt dobrze, aby ją odrzucić. Ewentualnie, ekspert IT został zaproponowany jako zmiennik dla odchodzącego administratora systemu (na zasadach podobnych do usług oferowanych przez agencje rekrutacji). W czasie gdy odchodzący administrator szkoli swojego następcę, ten drugi szybko zdobywa dostęp do poufnych danych, które kradnie dla swojego 'zleceniodawcy'. Kiedy szkoda zostanie wyrządzona, zarówno ekspert - figurant, jak i agencja zatrudnienia, rozpływają się w powietrzu. W efekcie przedsiębiorstwo traci cenne firmowe tajemnice, a administrator systemu traci pracę.

Krety są szczególnie niebezpieczne - jeżeli istnieją jakieś fizyczne bariery utrudniające lub uniemożliwiające kradzież danych z sieci firmowej, 'zleceniodawca' kreta może mu dostarczyć urządzenia lub oprogramowanie niezbędne do obejścia systemu zabezpieczeń. Kret zrobi wszystko co trzeba, aby uzyskać potrzebne informacje. Jego arsenał bardzo często obejmuje zaawansowane techniki programistyczne i profesjonalne umiejętności hakerskie.