Incydenty inicjowane z wewnątrz organizacji stają się jednym z największych zagrożeń dla korporacyjnych danych. Dlatego firmy powinny szukać sposobów, aby lepiej zarządzać i zabezpieczyć dostęp do sieci wszystkich pracowników i zapobiegać w ten sposób włamaniom, niezależnie czy są zamierzone, czy też wnikają z zaniedbań.

Według raportu firmy Clearswift, aż 58% zagrożeń dla firmowych danych w Wielkiej Brytanii pochodzi z wewnątrz organizacji (pracowników lub byłych pracowników) lub od jej partnerów. Cześć z tych zagrożeń jest skutkiem przypadkowych działań, pozostałe to świadome poczynania osób mających wrogie zamiary. Niezależnie od intencji, konsekwencje ataków z wewnątrz są dla firm bardzo kosztowne. W obu wymienionych przypadkach mamy do czynienia z użytkownikami, którzy mają nadane jakieś prawa dostępu do zasobów sieciowych. Aby zwalczyć zagrożenia z wewnątrz organizacji, trzeba uświadomić sobie konieczność lepszego zarządzania nimi i „załatania” luk w bezpieczeństwie sieci. Pierwszym krokiem do poprawy bezpieczeństwa jest zrozumienie problemu, a następnie opracowanie strategii, która skutecznie umożliwi zwalczanie zagrożenia. Warto przeprowadzić testy podatności, które wskażą słabe punkty systemów zabezpieczeń. Po podjęciu takich działań trzeba też prowadzić przejrzystą dokumentację, która pokaże obraz podejmowanych akcji i wskaże, gdzie pozostały jeszcze luki do załatania. Poniżej opisujemy szereg kolejnych, praktycznych działań, które warto przeprowadzić.

Blokada dostępu, gdy zginą hasła

Spora część włamań i wycieków danych jest skutkiem zaniedbań i kradzieży danych dostępowych. Atakujący mogą np. stosować inżynierię społeczną (socjotechnikę), aby przekonać użytkowników do udostępnienia poufnych danych, w tym haseł. Na taką ewentualność warto stosować rozwiązanie, które zablokuje konto użytkownika w przypadku dwóch równoczesnych prób zalogowania się na nie lub przynajmniej poinformuje administratora o takim zdarzeniu. Dodatkowo można ograniczyć użytkownikowi dostęp poprzez wskazanie konkretnie fizycznej lokalizacji, z której może korzystać. Może to być konkretny komputer lub inne urządzenie, zakres adresów IP, piętro, budynek. Jednocześnie można ustawić limity czasu połączenia, co również ogranicza możliwość wrogiego wykorzystania przejętych danych dostępowych.

Zarządzanie współdzielonymi hasłami

Mimo rosnącej świadomości, wciąż powszechnie używa się współdzielonych haseł. Jest to popularna praktyka w działach IT, w których wielu pracowników korzysta z jednego konta administracyjnego do zarządzania, np. serwerami. Ten problem może jednak ograniczyć mechanizm wykrywania więcej niż jednego równoczesnego logowania do danego konta.

Ograniczanie dostępu do niewielkiej grupy osób

Dobrą praktyką jest nadawanie podwyższonych praw dostępu jak najmniejszej liczbie osób, aby móc łatwiej śledzić, jak te prawa są wykorzystywane. W przypadku niektórych specyficznych zasobów można nawet nadać dostęp do nich tylko pojedynczym osobom. Niestety, zbyt często organizacje dają pracownikom większy dostęp do systemów i danych niż to jest faktycznie potrzebne do wykonywania obowiązków służbowych. Co więcej, nie monitoruje się, a nawet nie usuwa kont, tworzonych na potrzeby zewnętrznych współpracowników, kiedy już skończą swoje zadania. Zapomina się również o odbieraniu uprawnień i usuwaniu kont należących do byłych pracowników. Niektóre firmy również nie monitorują należycie i nie audytują kont administratorów. Tymczasem jest to ważne, ponieważ użytkownicy tych kont mogą używać ich do nieuprawnionych działań.

Oddzielenie uczciwych pracowników od tych o złych zamiarach

Działania tego typu wymagają stosowania kombinacji narzędzi i działań obejmujących ocenę ryzyka, dobre zrozumienie i egzekwowanie reguł oraz procedur, ścisłe kontrolowanie uprzywilejowanych kont oraz podnoszenie świadomości o wewnętrznych zagrożeniach. Wprawdzie nikt nie namawia do grzebania w skrzynkach pocztowych pracowników, ale rozsądnym pomysłem jest – czasem wymagają tego przepisy – aby wdrożyć systemy, które rejestrują, monitorują i audytują czynności pracowników mających przyznane wyższe uprawnienia i dostęp do poufnych danych. W ten sposób można zidentyfikować i zneutralizować zagrożenie, zanim powstaną jakiekolwiek szkody. Jednocześnie pracownicy powinni wiedzieć, jakie reguły i procedury bezpieczeństwa stosuje się w firmie oraz czemu one służą. Informowanie pracowników to druga linia obrony. Spójne i jasne powiadamianie o stosowanych praktykach prowadzi do obniżenia ryzyka, że pracownicy przypadkowo lub niezamierzenie popełnią przestępstwo. Dobrym uzupełnieniem będzie szkolenie dla pracowników z podstaw bezpieczeństwa, uświadamiające o zagrożeniach informatycznych i uczące, jakich ryzykownych zachowań unikać.

Analiza zachowania pracowników

Aby zapobiegać zagrożeniu z wewnątrz, firmy mogą używać narzędzi klasy User Behavior Analytics. Stosuje się w nich mechanizmy analizujące różne zachowania, aby wykryć tych pracowników, którzy postępują w sposób odbiegający od typowych wzorców. Te narzędzia potrafią szybko wykrywać nietypowe zachowania i powiadamiać o takich zdarzeniach. Dobrym przykładem, w którym takie narzędzia potwierdzają skuteczność, jest wysyłanie przez pracownika dokumentów o klientach na prywatny adres. Jeśli działanie to zostanie wykryte przez odpowiednie narzędzia, można zareagować. Jednakże korzystanie z takich systemów w środowisku korporacyjnym nie zawsze jest możliwe ze względów prawnych.

Dodatkowe działania w przypadku ataku wewnętrznego

Firmy powinny mieć także przygotowane plany reakcji na wypadek wykrycia wewnętrznego zagrożenia. Taki plan powinien określać działania w tej szczególnej sytuacji. Potrzebne są bowiem działania nie tylko związane z IT, ale też prawne i kadrowe. Trzeba przy tym pamiętać, że plany reakcji na zagrożenie są tylko tak dobre, jak sam proces wykrywania niepożądanych zdarzeń. Jeśli nie stosuje się żadnych metod wykrywania, wtedy plan reakcji nie przyda się do niczego. Trzeba pamiętać też o tym, aby przechowywać szczegóły sprawy w postaci, która będzie dostępna dla kierownictwa i organów ścigania. Jest to bardzo ważne m.in. z punktu widzenia podejmowania działań prawnych i administracyjnych.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn