Коли ви бачите або чуєте в ЗМІ термін “витік даних”, то насамперед думаєте про те, що до цього причетний хакер? Можливо, вас здивує той факт, що хакери насправді не є основною причиною втрати даних та витоку інформації в організаціях. Більшість із них можна віднести до інсайдерських загроз, в основному з боку співробітників, які просто намагаються виконувати свою роботу і роблять помилку через неуважність, наприклад, надсилають електронного листа не тій людині. Що робить інсайдерські загрози небезпечними? Які типи внутрішніх загроз, як вони відбуваються і як класифікація даних може зміцнити вашу екосистему безпеки, щоб запобігти цим видам загроз?
Небезпеки інсайдерської загрози
Для того, щоб зрозуміти і, зрештою, пом’якшити інсайдерські загрози, давайте спочатку подивимося, що робить їх настільки небезпечними для організацій. Хоча інсайдерські загрози є небезпечними з багатьох причин, у статті Techradar названо чотири основні причини, через які організації повинні серйозно ставитися до інсайдерських загроз:
· Їх важко ідентифікувати
Оскільки внутрішні загрози мають доступ до мережі з авторизованими обліковими даними, їх доступ не фіксується традиційною системою моніторингу. Вони також часто мають доступ до конфіденційних даних та обізнані про існуючі заходи безпеки та способи їх обходу. Якщо об’єднати все це з відсутністю видимості доступу користувачів та активності даних, виявлення суб’єктів загроз стає неймовірно складним завданням.
· Вони дорогі
Як і у випадку з традиційними агентами загроз, чим довше вони залишаються непоміченими і вільно блукають по мережі, тим більших збитків вони можуть завдати. Навіть при використанні базової обробки часто активність загрозливих агентів може потрапити до базової лінії, що значно ускладнює виявлення їх несанкціонованої поведінки. Той факт, що вони не піднімають тривогу, означає, що йдеться про серйозну потенційну шкоду. Глобальний звіт Ponemon Cost of Insider Threats Global Report за 2022 рік показав, що загальна середня вартість заходів щодо усунення внутрішніх загроз за 12-місячний період становить 15,38 млн. доларів.
· Вони ризикують дотриманням нормативних вимог
Слід також враховувати питання захисту даних та відповідності нормативним вимогам, оскільки інсайдерська загроза часто має на меті витік даних. У 2018 році компанія Coca Cola зазнала атаки інсайдерської загрози, в результаті якої стався витік особистої інформації близько 8000 її співробітників. Крім того, час перебування інциденту було збільшено. Вони не розуміли, що це сталося, поки правоохоронні органи не повідомили про витік даних.
· Вони викликають операційну катастрофу
Як бачимо на прикладі компанії Tesla, внутрішня загроза може саботувати роботу і поставити під загрозу конкурентну перевагу організації. У цьому випадку незадоволений співробітник, який втратив підвищення, вніс “прямі зміни до коду операційної системи Tesla Manufacturing під вигаданими іменами і експортував велику кількість дуже важливих даних невідомим особам”, йдеться в листі, адресованому співробітникам.
Види інсайдерських загроз та способи їх виникнення
Існує безліч типів внутрішніх загроз, і вони можуть виникати з різних причин – від чесних помилок до невдоволення співробітників чи особистої фінансової вигоди. IBM наводить чотири категорії, за якими Gartner групує внутрішні загрози:
· Пішка
Пішки – це співробітники, які, сам того не підозрюючи, зазнають маніпуляцій з метою здійснення шкідливих дій. Завантажуючи шкідливе програмне забезпечення або розкриваючи облікові дані шахраям за допомогою фішингу або соціальної інженерії, пішаки завдають шкоди організації.
· Гуф
Гуфи – це неосвічені чи самовпевнені користувачі, які вважають, що на них не поширюються правила безпеки. Зі зручності чи некомпетентності вони активно намагаються обійти засоби контролю безпеки. Всупереч безпековій політиці “гуфи” залишають вразливі дані та ресурси незахищеними, надаючи зловмисникам легкий доступ. Глобальний звіт Ponemon Institute “Вартість інсайдерських загроз у 2022 році” показав, що 56% інцидентів, пов’язаних з інсайдерами, були пов’язані з недбалістю і коштували в середньому $484 931 за інцидент.
· Колабораціоніст
Колабораціоністи співпрацюють із сторонніми особами, такими як конкуренти компанії чи національні держави, для скоєння злочину. Вони використовують свій доступ, щоб вкрасти інтелектуальну власність та інформацію про клієнтів або порушити роботу підприємства, часто заради фінансової чи особистої вигоди.
· Одинокий вовк
Також самотні вовки, часто заради фінансової вигоди, діють незалежно та зловмисно без зовнішнього впливу чи маніпуляцій. Самотні вовки особливо небезпечні, коли вони мають підвищений рівень привілеїв, наприклад системні адміністратори або адміністратори баз даних.
Як класифікація даних може пом’якшити внутрішні загрози
Тепер, коли ми знаємо, чому внутрішні загрози небезпечні і як вони виникають, що можна зробити для їхнього пом’якшення та захисту цінних даних вашої організації? Використання рішення для класифікації даних у вашій організації безпосередньо усуває загальні причини внутрішніх загроз шляхом:
· Запобігання витоку конфіденційних даних з організації
Одним із найпростіших способів порушення конфіденційності даних є випадкове надсилання співробітником електронного листа, що містить конфіденційну інформацію, не тому одержувачу. Наприклад, у користувача може бути документ, який він збирався відправити на внутрішню адресу johndoe@companyA.com, але поспіхом випадково вибрав johndoe@companyB.com зі списку контактів. Ця проста помилка призводить до розкриття конфіденційних даних неправильному одержувачу. Рішення для класифікації даних надають категорії даних (автоматично або вручну) відповідно до конфіденційності, а політики класифікації можуть бути розроблені таким чином, щоб запобігти витоку конфіденційної інформації з організації або навіть відділу. Якщо документ у наведеному вище прикладі був класифікований як “Конфіденційний”, а політика компанії визначала, що “Конфіденційна” інформація не повинна пересилатися за межі компанії, то при спробі користувача надіслати листа не тому одержувачу, з’явиться просте діалогове вікно класифікації, яке повідомить користувача, що він не може надіслати “Конфіденційний” документ цьому одержувачу, і запропонує йому видалити документ або вибрати інший контакт. Це не тільки запобігає витоку конфіденційних даних, але й залучає користувачів до процесу безпеки даних, які вони створюють і обробляють.
· Обмеження доступу лише тим, кому він необхідний
В умовах, коли гібридна робота досягла свого апогею, багато співробітників отримали повний доступ до всіх даних, які можуть знадобитися для ефективного виконання роботи з дому. Проблема полягає в тому, що чим більше співробітників мають доступ до конфіденційних даних, тим вища ймовірність їх витоку. Дослідження 2021 року, проведене IBM, показало, що “в 100% інцидентів, у яких було підтверджено або ймовірно наявність у інсайдера адміністративного доступу, наявність такого підвищеного доступу (до більшої кількості даних, ніж належить) відіграла роль у самому інциденті”. Дані, які ефективно класифіковані, дозволяють легко визначити чутливі категорії даних, доступ до яких повинен надаватися лише тим, кому він необхідний. Це обмежує кількість людей, які мають доступ до конфіденційних даних, тим самим допомагаючи пом’якшити внутрішні загрози.
· Підвищення видимості даних
Ви не можете захистити дані, які ви не знаєте! Видимість даних стає все більш складним завданням для організацій, і в недавньому звіті Fortra “Перспективи CISO: огляд безпеки даних 2022” 63% директорів з інформаційної безпеки заявили, що видимість даних є найбільшою проблемою, з якою сьогодні стикаються організації. Рішення щодо ідентифікації та класифікації даних дозволяють організації встановити, де знаходяться всі конфіденційні дані, та класифікувати ці дані на основі заздалегідь визначених рівнів конфіденційності. Після того, як дані ідентифіковані та класифіковані, при необхідності можуть бути вжиті відповідні дії, включаючи видалення даних, якщо вони не потрібні, їх маркування та визначення того, хто має до них доступ.
· Моніторинг та звітність про доступ до даних
Внутрішні загрози буває складно виявити, оскільки їхні дії в мережі можуть залишатися непоміченими протягом тривалого часу. Функції моніторингу та звітності дають вам уявлення про те, хто і до яких даних звертається, і що робиться з цими даними (наприклад, завантаження їх у сторонню систему). Журнали моніторингу та звітності дозволяють швидко виявляти внутрішню загрозу та вживати заходів якнайшвидше.
Нещодавня стрімка цифрова трансформація ненавмисно підготувала ґрунт для зростання інсайдерських загроз – свідчить Глобальний звіт про вартість інсайдерських загроз за 2022 рік, підготовлений Ponemon Institute. Тепер набагато простіше вжити належних запобіжних заходів для захисту своїх даних, і, зміцнивши свою екосистему безпеки за допомогою кращого у своєму класі рішення для класифікації даних, ваша організація зможе випередити та пом’якшити внутрішні загрози.
Джерело: https://bit.ly/3up2Mnj
