Ο “εχθρός” είμαστε εμείς – Μια αναλυτική ματιά στις εσωτερικές απειλές
Εσωτερική Απειλή: το ενδεχόμενο τα άτομα που έχουν ή είχαν εξουσιοδοτημένη πρόσβαση στα περιουσιακά στοιχεία ενός οργανισμού να χρησιμοποιούν την πρόσβασή τους, είτε κακόβουλα είτε ακούσια, να ενεργούν κατά τρόπο που θα μπορούσε να επηρεάσει αρνητικά τον οργανισμό.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Εισαγωγή – Τι είναι οι εσωτερικές απειλές
Οι εσωτερικές απειλές αποτελούν για έναν οργανισμό, τις απειλές εκείνες που προέρχονται από ανθρώπους του οργανισμού, οι οποίοι έχουν εσωτερικές (και συνήθως εμπιστευτικές) πληροφορίες τόσο για τις λειτουργίες του οργανισμού, τα δεδομένα και τα συστήματα πληροφορικής και τις υποδομές του οργανισμού, όσο και για τις πρακτικές και τις μεθόδους ασφάλειες που εφαρμόζονται για την προστασία τους. Αυτές είναι και οι πιο επιβλαβείς απειλές, σε σχέση με αυτές που προέρχονται από κακόβουλους εξωγενείς παράγοντες ή κακόβουλο λογισμικό.
Συνήθεις υπαίτιοι για την πραγματοποίηση τέτοιων απειλών είναι οι εργαζόμενοι του οργανισμού (νυν και πρώην), υπεργολάβοι και επιχειρηματικοί συνεργάτες, οι οποίοι έχουν νόμιμη πρόσβαση στα συστήματα πληροφορικής του οργανισμού για την εκτέλεση των καθηκόντων τους.
Οι εσωτερικές απειλές που αντιμετωπίζουν οι οργανισμοί, μπορεί να προέρχονται είτε από σκόπιμες ενέργειες, είτε από παραλείψεις, και έχουν ως αποτέλεσμα την απάτη, την κλοπή εμπιστευτικών ή εμπορικά πολύτιμων πληροφοριών, την κλοπή πνευματικής ιδιοκτησίας, ή την δολιοφθορά των συστημάτων πληροφορικής. Οι δράστες τέτοιων ενεργειών ανήκουν σε μια εκ των τριών ακόλουθων κατηγοριών:
- κακόβουλα άτομα, τα οποία είναι άνθρωποι που επωφελούνται από την πρόσβασή τους σε βλάβη σε έναν οργανισμό,
- αμέτοχοι, οι οποίοι είναι άνθρωποι που κάνουν λάθη και αγνοούν πολιτικές που θέτουν σε κίνδυνο τις οργανώσεις τους, και
- εισβολείς, οι οποίοι είναι εξωτερικοί φορείς που αποκτούν νόμιμα διαπιστευτήρια πρόσβασης χωρίς άδεια.
Οι οργανισμοί, στην σύγχρονη εποχή, συνειδητοποιούν ότι τα δεδομένα δεν είναι πλέον μόνο ένας πόρος πληροφορικής (IT Asset), αλλά αποτελούν ένα βασικό στρατηγικό πλεονέκτημα και ορισμένοι τύποι δεδομένων είναι πιο πολύτιμοι από τους άλλους. Οι εμπιστευτικές επιχειρηματικές πληροφορίες, οι οποίες περιλαμβάνουν τα οικονομικά της εταιρείας μαζί με τα στοιχεία (πολλές φορές και ιδιωτικά δεδομένα) των πελατών και των εργαζομένων, αποτελούν ένα στρατηγικό πλεονέκτημα και εξίσου στόχο υψηλής αξίας.
Άνοδος της σημασίας των εσωτερικών απειλών
Στο πρόσφατο παρελθόν, οι οργανισμοί πίστευαν ότι οι κίνδυνοι για τα υψηλής αξίας τους περιουσιακά στοιχεία και δεδομένα, προέρχονται μόνο από εξωτερικούς παράγοντες. Αυτή η εντύπωση σταδιακά αλλάζει, όπως καταδεικνύει πλήθος μελετών που δείχνουν ότι οι εσωτερικές απειλές αποτελούν έναν διαρκώς ανερχόμενο παράγοντα ρίσκου για τους οργανισμούς.
Δεν πρέπει να μας διαφεύγει της προσοχής, ότι οι εσωτερικές απειλές αντιπροσωπεύουν το ¼ των οκτώ υψηλότερων κινδύνων ασφάλειας που επηρεάζουν σημαντικά τον ιδιωτικό και τον δημόσιο τομέα[1]. Με άλλα λόγια, οι σημερινοί και πρώην υπάλληλοι ενός οργανισμού, προμηθευτές τρίτων, εργολάβοι, συνεργάτες, προσωπικό καθαρισμού γραφείων και άλλοι φορείς που έχουν φυσική ή ψηφιακή πρόσβαση σε εταιρικούς πόρους, κρίσιμα συστήματα και δίκτυα κατατάσσονται συλλογικά τον ίδιο κατάλογο με το κακόβουλο λογισμικό (ransomware), τις επιθέσεις phishing και spear-phishing, καθώς και τις επιθέσεις κυβερνο-εγκληματιών και κυβερνο-τρομοκρατών.
Όπως αναφέρεται χαρακτηριστικά στην μελέτη Insider Threat Report 2018[2], το 90% των οργανισμών αισθάνονται ευάλωτοι στις εσωτερικές απειλές. Οι κύριοι παράγοντες κινδύνου περιλαμβάνουν πολλούς χρήστες με υπερβολικά δικαιώματα πρόσβασης (37%), αυξανόμενο αριθμό συσκευών με πρόσβαση σε ευαίσθητα δεδομένα (36%) και αυξανόμενη πολυπλοκότητα της τεχνολογίας των πληροφοριών (35%).
Επίσης, μια πλειοψηφία 53% επιβεβαίωσε την εκτέλεση επιτυχημένων επιθέσεων κατά του οργανισμού ως αποτέλεσμα εσωτερικών απειλών τους τελευταίους 12 μήνες (συνήθως λιγότερο από πέντε επιθέσεις), ενώ 27% των οργανισμών υποστηρίζουν ότι οι εκτέλεση επιθέσεων ως αποτέλεσμα εσωτερικών απειλών έχουν γίνει συχνότερες.
Η πλειοψηφία των επιθέσεων σε οργανισμούς που προήλθαν ως αποτέλεσμα εσωτερικών απειλών δεν έχει απαραίτητα τεχνικό υπόβαθρο. Στην πραγματικότητα, δεν προήλθαν καν από την επιθυμία ή την τάση κακόβουλης ενέργειας έναντι του οργανισμού. Το γεγονός αυτό, βέβαια, δεν αναιρεί το υψηλό κόστος των επιθέσεων αυτών, που το 2018 ήταν αυξημένο σε σχέση με το 2017[3]. Αντίθετα, ένα σημαντικό ποσοστό επιθέσεων προερχόμενες από εσωτερικές απειλές δεν προκλήθηκε από εγκληματικά κίνητρα, αλλά από αβλεψία αμελών υπαλλήλων.
Ως αποτέλεσμα των παραπάνω, η συντριπτική πλειοψηφία (86%) των οργανισμών αναγνωρίζει την σημασία ενός προγράμματος αντιμετώπισης εσωτερικών απειλών.
Κατανοώντας εις βάθος τις εσωτερικές απειλές
Από τον ορισμό των εσωτερικών απειλών που δώσαμε παραπάνω, μπορούμε να τις κατατάξουμε σε δύο βασικές κατηγορίες: τις σκόπιμες και τις ακούσιες.
Στις κατηγορίες αυτές, διακρίνονται οι 5 πιο διαδεδομένοι τύποι εσωτερικών απειλών:
Η κακόβουλη εσωτερική απειλή
Ίσως η κύρια διαφοροποίησή αυτού του τύπου της απειλής από την επαγγελματική εσωτερική απειλή (όπως θα δείτε παρακάτω) είναι ότι αρχικά δεν υπήρχε η πρόθεση για την εκτέλεση κακόβουλων πράξεων. Ορισμένοι δυσαρεστημένοι υπάλληλοι, για παράδειγμα, ενδέχεται να μετατραποούν σε εσωτερική απειλή αποφασίζοντας να θέσουν σε κίνδυνο τον οργανισμό αν θεωρήσουν ότι αδικούνται, με χρήση κακόβουλου λογισμικού, τη διαγραφή αρχείων, την κλοπή πνευματικής ιδιοκτησίας προς πώληση ή την παρακράτηση λογαριασμών και δεδομένων για λύτρα.
Οι εργαζόμενοι που εξαναγκάζονται ή αναγκάζονται να προβούν σε κακόβουλες πράξεις εξ ονόματος τρίτων, υπάγονται επίσης σε αυτόν τον τύπο εσωτερικής απειλής.
Η επαγγελματική εσωτερική απειλή
Αυτού του τύπου οι εσωτερικές απειλές εισέρχονται σε έναν οργανισμό ως υπάλληλοι ή εργολάβοι με πρόθεση να κλέψουν, να υπονομεύσουν, να σαμποτάρουν και / ή να βλάψουν τα περιουσιακά στοιχεία και την ακεραιότητα του οργανισμού. Μπορούν είτε να χρηματοδοτηθούν και να διοικούνται από εθνικά κράτη ή ιδιωτικούς οργανισμούς – συνήθως ανταγωνιστές της εταιρείας-στόχου.
Η βίαια εσωτερική απειλή
Πράξεις που επηρεάζουν αρνητικά τους οργανισμούς δεν αφορούν αποκλειστικά στην κατάχρηση, κλοπή ή και καταστροφή μη φυσικών περιουσιακών στοιχείων. Μπορούν επίσης να περιλαμβάνουν απειλές βίαιης φύσης. Ο άνθρωπος είναι εξίσου σημαντικός με τα δεδομένα, το λογισμικό και το υλικό που χρησιμοποιεί ένας οργανισμός, αν όχι και πιο κρίσιμος. Έτσι, αυτό που επηρεάζει αρνητικά τους υπαλλήλους με τη σειρά του επηρεάζει και τον οργανισμό.
Επομένως, είναι επιτακτική ανάγκη οι οργανισμοί να εντοπίζουν, να μετριάζουν και να προστατεύουν το προσωπικό τους από πιθανές φυσικές απειλές, ειδικά εκείνες που γεννιούνται εσωτερικά στον οργανισμό. Η βία στο χώρο εργασίας αναγνωρίζεται ως ένας άλλος τύπος εσωτερικής απειλής. Η βία στο χώρο εργασίας ορίζεται ως βία ή απειλή βίας κατά των εργαζομένων. Αυτό μπορεί να εκδηλωθεί με τη μορφή φυσικών επιθέσεων, απειλητικών ή εκφοβιστικών συμπεριφορών και ομιλίας (γραπτών, προφορικών ή ηλεκτρονικά μεταδιδόμενων), παρενόχλησης ή άλλων πράξεων που ενδέχεται να θέσουν σε κίνδυνο τους ανθρώπους.
Η τυχαία εσωτερική απειλή
Ονομάζονται επίσης και αφελής ή απρόσεκτη εσωτερική απειλή. Αυτός ο τύπος εσωτερικών απειλών είναι ίσως ο πιο υποτιμημένος σχετικά με τον πιθανό κίνδυνο και τη ζημία που μπορεί να επιφέρει σε έναν οργανισμό. Ωστόσο, πολλαπλές μελέτες επιβεβαιώνουν ότι οι τυχαίες εσωτερικές απειλές είναι οι συχνότερες, και προκάλεσαν στο παρελθόν την πλειοψηφία των σημαντικών παραβιάσεων οργανισμών που αποτέλεσαν πρωτοσέλιδες ειδήσεις στα μέσα.
Περιστατικά, όπως αθέλητα κλικ σε ένα σύνδεσμο σε μήνυμα ηλεκτρονικού ταχυδρομείου αμφίβολης προέλευσης, κατά λάθος διαρροή πληροφοριών ηλεκτρονικά ή σε κοινωνικά μέσα, εσφαλμένη διάθεση ευαίσθητων εγγράφων και απώλεια ιδιόκτητων πόρων του οργανισμού (π.χ. smartphones, CD, USB, φορητοί υπολογιστές) ακόμα και αν συμβούν άπαξ, μπορεί να μην θεωρηθούν σημαντικό θέμα, αλλά οδηγούν σε αύξηση της έκθεσης ενός οργανισμού σε κίνδυνο, που θα μπορούσε να οδηγήσει σε παραβίαση ασφάλειας.
Η αμελής εσωτερική απειλή
Οι υπάλληλοι αυτού του τύπου είναι γενικά εξοικειωμένοι με τις πολιτικές ασφάλειας του οργανισμού και τους κινδύνους που συνεπάγεται αν αγνοηθούν. Ωστόσο, αναζητούν τρόπους για την αποφυγή τους ούτως ή άλλως, ειδικά εάν αισθάνονται ότι τέτοιες πολιτικές περιορίζουν την ικανότητά τους να κάνουν τη δουλειά τους αποδοτικά.
Στρατηγική αντιμετώπιση εσωτερικών απειλών
Η φύση των εσωτερικών απειλών τις καθιστά πολύ δύσκολες στην ανίχνευση και την αντιμετώπισή τους. Οι εργαζόμενοι ενός οργανισμού, χαρακτηριζόμενοι σε κάποιες περιπτώσεις από γενική έλλειψη προσοχής και κατάχρηση των προνομίων πρόσβασης, ελάχιστη γνώση και κατάρτιση αναφορικά με την ασφάλεια των πληροφοριών και τους κινδύνους που επιφέρουν οι νέες τεχνολογίες, σε συνδυασμό με την εξοικείωση με τα δεδομένα και την πνευματική ιδιοκτησία του οργανισμού, τις μεθόδους που εφαρμόζονται για την προστασία τους και την φυσική εγγύτητα με αυτά διευκολύνει την παράκαμψη των μέτρων ασφάλειας και καθιστά την αποδοτικότητα μηχανισμών περιμετρικής ασφάλειας ή ελέγχου πρόσβασης και τερματικών συσκευών εξαιρετικά περιορισμένη.
Το παραπάνω γεγονός, σε συνδυασμό με ευρήματα ερευνών[4] που καταδεικνύουν αφενός την δυστοκία στον σύντομο εντοπισμό και αντιμετώπισης επιθέσεων, με μέσο όρο 197 ημέρες ανίχνευσης επιθέσεων και 69 ημέρες αντιμετώπισης / περιορισμού, έχουν οδηγήσει τους οργανισμούς στην αλλαγή της προσέγγισής τους. Οι οργανισμοί, για την αποδοτικότερη αντιμετώπιση των εσωτερικών απειλών που αντιμετωπίζουν, μετατοπίζουν τις προτεραιότητές τους από τους μηχανισμούς εντοπισμού εξωτερικών απειλών, στον σχεδιασμό και υλοποίηση προγραμμάτων αντιμετώπισης εσωτερικών απειλών που εστιάζουν τόσο σε θέματα τεχνολογίας, όσο κυρίως σε θέματα πολιτικών / βέλτιστων πρακτικών και εκπαίδευσης.
Ενώ η εκπαίδευση και η ευαισθητοποίηση είναι πρωτοβουλίες τις οποίες κάθε οργανισμός πρέπει να επενδύσει, υπάρχουν στιγμές που απλώς δεν επαρκούν. Τέτοιες πρωτοβουλίες ενδέχεται να μειώσουν την πιθανότητα ατυχημάτων εσωτερικών απειλών, αλλά όχι απειλές που βασίζονται σε αμέλεια, για επαγγελματικές ή άλλες εξελιγμένες εκστρατείες επίθεσης. Οι οργανισμοί πρέπει επίσης να σχεδιάζουν πολιτικές και μέτρα προστασίας τόσο για την ανίχνευση, όσο και για τον περιορισμό, την ανάλυση, την διαλεύκανση και την ανάκαμψη των καθημερινών λειτουργιών, για την ελαχιστοποίηση των περιστατικών εσωτερικών απειλών.
Η επιτυχία ενός τέτοιου ολιστικού προγράμματος αντιμετώπισης εσωτερικών απειλών εξασφαλίζεται με τις παρακάτω παραμέτρους.
Υποστήριξη της Διοίκησης – Καθώς όλο και περισσότεροι οργανισμοί συνειδητοποιούν την επίπτωση των εσωτερικών απειλών, γίνεται επίσης ευκολότερη η απόκτηση της ενεργής υποστήριξης της διοίκησης σχετικά με την αξία της μείωσης των περιπτώσεων εσωτερικών απειλών στο χώρο εργασίας καθώς και των επιπτώσεών τους.
Δημιουργία ομάδας – Εάν ένας οργανισμός απασχολεί μεγάλο αριθμό υπαλλήλων, θα ήταν ιδανικό να σχηματιστεί μια ομάδα που να χειρίζεται αποκλειστικά το πρόγραμμα απειλών εσωτερικών. Τα μέλη πρέπει να παρακολουθούν, να επιβλέπουν, να ερευνούν και να τεκμηριώνουν περιπτώσεις ή περιστατικά εσωτερικών απειλών. Αυτή η ομάδα πρέπει να αποτελείται από μια άτομα διαφόρων ειδικοτήτων μεταξύ άλλων φυσική ασφάλεια, ασφάλεια πληροφοριών, το Ανθρώπινο δυναμικό, τη νομική υπηρεσία, την επικοινωνία και άλλα τμήματα.
Προσδιορισμός και εκτίμηση κινδύνων – Οι εσωτερικές απειλές διαφέρουν για κάθε επιχειρηματικό τομέα. Είναι ζωτικής σημασίας οι οργανισμοί να προσδιορίσουν σε ποιες απειλές εκτίθενται στον κλάδο τους πριν μπορέσουν να σχεδιάσουν ένα πλαίσιο για τον εντοπισμό και τον μετριασμό τους.
Ενημέρωση υφιστάμενων πολιτικών. Με την προϋπόθεση ότι ο οργανισμός έχει ήδη δημιουργήσει ένα πλαίσιο πολιτικών και διαδικασιών ασφάλειας πληροφοριών, είναι απαραίτητη η διαρκής ενημέρωσή τους για την αποτελεσματική ανταπόκριση σε περιστατικά εσωτερικών απειλών. Αν όχι, η δημιουργία ενός θεωρείται εκ των ουκ άνευ. Είναι επίσης σημαντικό για την ομάδα αντιμετώπισης να δημιουργήσει ένα σχέδιο ή διαδικασία για το πώς θα πρέπει να ανταποκρίνεται σε περιστατικά εσωτερικών απειλών, έχοντας υπόψη ότι δεν υπάρχει μια μονοδιάστατη προσέγγιση για το σύνολο των σεναρίων εσωτερικών απειλών.
Υλοποίηση μηχανισμών ελέγχου. Ένας οργανισμός που διαθέτει ελάχιστους ελέγχους δεν θεωρείται ασφαλής. Στην πραγματικότητα, είναι εύκολος στόχος για εξωτερικές και εσωτερικές απειλές. Οι μηχανισμοί ελέγχου διατηρούν τα συστήματα, το δίκτυο και τα στοιχεία ενεργητικού ενός οργανισμού ασφαλή. Επίσης, ελαχιστοποιούν τους κίνδυνους των εσωτερικών απειλών. Οι μηχανισμοί ελέγχου διακρίνονται σε διοικητικούς, οργανωτικούς και τεχνικούς (οι τεχνικοί μηχανισμοί ελέγχου υλοποιούνται με κατάλληλα συστήματα προστασίας)
Υλοποίηση συστημάτων προστασίας. Ανάλογα με τα αποτελέσματα της εκτίμησης των κινδύνων, καθώς και των επιλεγμένων μηχανισμών ελέγχου, συστήματα προστασίας για τον εντοπισμό εσωτερικών απειλών, μεθόδων αποτροπής, ανάλυση και διαλεύκανση περιστατικών, ανάλυσης συμπεριφοράς χρηστών, και εκπαίδευσης μπορεί να υλοποιηθούν. Τέτοια είναι:
- Λογισμικό πρόληψης απώλειας δεδομένων (DLP)
- Λογισμικό κρυπτογράφησης
- Λογισμικό πρόβλεψης / ανάλυσης δεδομένων (για την αναζήτηση μοτίβων που συλλέγονται από αλληλεπιδράσεις εργαζομένων στο δίκτυο του οργανισμού)
- Λογισμικό πληροφοριών ασφάλειας και διαχείριση συμβάντων (SIEM)
- Λογισμικό διαχείρισης ταυτότητας
- Λογισμικό ανίχνευσης εισβολής (IDS) και πρόληψης (IDP)
- Λογισμικό παρακολούθησης δραστηριότητας χρηστών
- Λογισμικό εκπαίδευσης
Επίλογος
Οι κίνδυνοι για τα περιουσιακά στοιχεία και δεδομένα των οργανισμών, είναι κοινός πια τόπος ότι δεν προέρχονται μόνο από εξωτερικούς παράγοντες, καθώς οι εσωτερικές απειλές αποτελούν έναν διαρκώς ανερχόμενο παράγοντα ρίσκου.
Η ανίχνευση και η παρεμπόδιση των εσωτερικών επιθέσεων είναι πολύ πιο δύσκολη από τις εξωτερικές παραβιάσεις, δεδομένου ότι είναι χρήστες με νόμιμη πρόσβαση που δημιουργούν άθελά τις αδυναμίες ή προτίθενται να εκμεταλλευτούν κακόβουλα τα περιουσιακά στοιχεία του οργανισμού.
Η υλοποίηση ενός ολιστικού προγράμματος αντιμετώπισης εσωτερικών απειλών που εστιάζουν τόσο σε θέματα τεχνολογίας, όσο κυρίως σε θέματα πολιτικών / βέλτιστων πρακτικών και εκπαίδευσης είναι αναγκαία, αλλά όχι ικανή συνθήκη για την αντιμετώπισή τους. Όσο πλήρες και αν είναι ένα τέτοιο πλαίσιο, δεν θα εξαλείψει τις εσωτερικές απειλές. Το όφελος από ένα αποδοτικό πρόγραμμα αντιμετώπισης εσωτερικών απειλών είναι η μείωση της συχνότητας εμφάνισής τους, και η ελαχιστοποίηση – στο μέτρο του δυνατού – των επιπτώσεών τους.
[1] Malwarebytes – White hat, black hat, and the emergence of the gray hat: the true costs of cybercrime, https://blog.malwarebytes.com/security-world/2018/08/white-hat-black-hat-emergence-gray-hat-true-costs-cybercrime/
[2] Crowd Research Partners – Insider Threat 2018 Report, http://crowdresearchpartners.com/wp-content/uploads/2017/07/Insider-Threat-Report-2018.pdf
[3] PONEMON Institute – 2018 Cost of Insider Threats: Global, https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=55017055USEN
[4] PONEMON Institute – 2018 Cost of Insider Threats: Global, https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=55017055USEN