Uważaj na cyberataki w swojej firmie. Te cztery strategie ci pomogą

Każdy zna powiedzenie "najciemniej pod latarnią". Według raportu Verizon Data Breach Investigations Report (DBIR) z 2023 r., 19 proc. z około 5200 przebadanych naruszeń zostało spowodowanych przez podmioty wewnętrzne. W ciągu lat liczba tego typu wykroczeń rośnie, a dostęp do złośliwego oprogramowania staje się łatwiejszy, dzięki pomysłowości cyberprzestępców.

Przez ostatnie dwa lata liczba takich incydentów wzrosła o 44 proc., jak informuje ankieta Ponemon Institute.

Czym są zagrożenia wewnętrzne dla firm

W raporcie Cost of Insider Threats Global Report z 2022 roku liczbę tych zdarzeń oszacowano na ponad 6800, a organizacje dotknięte cyberatakami wydają rocznie średnio 15,4 mln dolarów na usuwanie "zagrożeń wewnętrznych". To termin mogący kojarzyć się paranoicznie, ale odnosi się on do pracownika lub kontrahenta, obecnego lub byłego, który ma możliwość wyrządzenia szkody w sieci lub wyłudzenia danych firmy.

Specjaliści od bezpieczeństwa dzielą szkodliwe zachowania tego rodzaju na dwa typy: umyślne i nieumyślne. Te drugie dzielą się następnie na przypadkowe i wywołane nieostrożnością. Według badań większość incydentów z wyciekiem danych wynika właśnie z zaniedbań czy pośpiechu, a nie ze złych intencji.

Kradzież i celowe udostępnianie wrażliwych danych wiąże się z psychologicznym czynnikiem ludzkim. Eksperci ostrzegają przed zemstą źle traktowanych pracowników, działaniami ideologicznymi, czy nawet złośliwością.

Trudne do wykrycia, trudne do wycenienia

– Tego rodzaju zagrożenia stanowią wyjątkowe wyzwanie w zakresie cyberbezpieczeństwa, ponieważ mogą być trudne do wykrycia, a w zapobieganiu nawet trudniejsze. "Insiderzy" mają znacznie większe możliwości niż cyberprzestępcy atakujący z zewnątrz. Pracownicy i podwykonawcy muszą przecież mieć dostęp do systemów i danych organizacji, aby móc wykonywać swoje obowiązki – tłumaczy Kamil Sadkowski, ekspert ds. cyberbezpieczeństwa ESET.

Z własnego doświadczenia przypomina mi się sytuacja z innej pracy, gdzie informatyk, z którym zerwano umowę, postanowił się zemścić, wpisując maile firmy na czarną listę Google. Były nagle identyfikowane jako źródła siejące złośliwe oprogramowanie. Utrudniało to korespondencję elektroniczną przez automatyczną blokadę kont albo wrzucanie ich do spamu, przez co do kontrahentów nie docierały umowy i kluczowe informacje. Straty były trudne do oszacowania, bo zaległe płatności zdołano uzyskać innymi drogami komunikacji, ale doszło do opóźnień w pracy.

Problem nie został wykryty, póki nie zauważono braku płatności i nie skontaktowano się ze zdziwionymi klientami. Wydano też dodatkowe pieniądze na konsultacje z innymi firmami informatycznymi, aby wykluczyć inne powody i porozumieć się z Google.

– Zagrożenie z ich strony [wewnętrznych osób - red.] może nie być widoczne, dopóki atak faktycznie nie nastąpi. Co więcej, osoby, które mają dostęp do informacji poufnych, często znają również środki i procedury bezpieczeństwa swojego pracodawcy, a więc mogą je łatwiej obejść. Nawet jeśli dane stanowisko wymaga sprawdzenia przeszłości pracownika, czyli wykonania tzw. background check, nie da się w nim uwzględnić stanu emocjonalnego danej osoby, który może zmieniać się wraz z upływem czasu – mówi Kamil Sadkowski.

Mimo wszystko eksperci wskazują, że są pewne środki, jakie przedsiębiorca może podjąć, aby zminimalizować to ryzyko.

Jak zapobiegać zagrożeniom wewnętrznym w firmie

Nie ma metod niezawodnych. Mówimy w końcu o kapryśnej ludzkiej naturze i emocjach, które z powodu jednego złego dnia mogą skierować pracownika na tor szkodliwego działania, przypadkiem bądź celowo. Eksperci podesłali mi kilka metod, które stosowane łącznie mogą pomóc zmniejszyć ekspozycję firmy na zagrożenia wewnętrzne.

• wdrożenie kontroli dostępu - czyli pilnowanie kto ma jaki dostęp, sprawdzanie przydzielonych uprawnień i dostosowywanie ich do zmieniających się ról pracowników.
• background check - przeprowadzenie kontroli pracowników, wykonawców i dostawców przed przekazaniem im wrażliwych danych lub kontroli nad jakimiś systemami firmy.
• organizowanie szkoleń - podnoszenie świadomości w zakresie cyberbezpieczeństwa.
• zapobieganie utracie danych - monitorowanie, wykrywanie i blokowanie wszelkich nieautoryzowanych transferów lub udostępniania wrażliwych danych. Eksperci przypominają, że dostawcy systemów DLP są również na celowniku cyberprzestępców.

Najważniejsza jest edukacja

Regularne szkolenia mogą pomóc w uświadomieniu sobie zagrożeń dla cyberbezpieczeństwa. Nieświadomi pracownicy mogą paść ofiarą linków phishingowych, pobrać ransomware lub doprowadzić do innego incydentu.

– Aby szkolenia z zakresu cyberbezpieczeństwa były skuteczne, muszą zachęcać do samodzielnego myślenia. Najlepiej działa tu pokazywanie prawdziwych historii i przykładów. Takie rozmowy uświadamiają, że zagrożenia są realne, często też przypominają  uczestnikom o sytuacjach, w których spotkali się z danym zagrożeniem, ale nie wiedzieli, z jakimi konsekwencjami mogło się wiązać ani w jaki sposób można było mu zapobiec – radzi Paweł Majewski, trener Autoryzowanego Centrum Szkoleniowego DAGMA. 

Ekspert podkreśla potrzebę omówienia szerokiej puli przykładów, aby przygotować słuchaczy na różne scenariusze. Sugeruje również… symulacje. Nazywa to "edukacyjnymi akcjami phishingowymi". Ich celem jest to, żeby pracownicy na własnej skórze przekonali się, jak działają złodzieje.

– Pracownicy poznają w ten sposób najnowsze sposoby, z których korzystają cyberprzestępcy, a jednocześnie otrzymują przydatny feedback na temat swojej reakcji i wiedzę, jak należy zachować się w przyszłości – przekonuje Paweł Majewski.

Wyłudzenia nie tylko w sieci

W sezonie wakacyjnym oszuści używają technologii, aby żerować na nas także w czasie wypoczynku.

Zzłodzieje atakują m.in. w Krakowie i próbują zagrać na potrzebie wygody, oferując nalepki z kodami QR, które mają rzekomo zapewnić szybki sposób na opłacenie miejsca parkingowego. Miasto Kraków zareagowało szybko, ale według specjalistów, to być może dopiero początek problemów.