Powszechnie uważa się, że pracownicy stanowią większe zagrożenie dla bezpieczeństwa informatycznego firmy niż zewnętrzni hakerzy. Czy biorąc pod uwagę rosnące wyrafinowanie cyberprzestępców to przekonanie jest nadal aktualne?
Czy wiesz, że...?
- Jeszcze dziesięć lat temu twórcami wirusów i innych form złośliwego oprogramowania byli głównie młodzi, spragnieni sławy programiści amatorzy.
- Badania przeprowadzone przez firmę Verizon sugerują, że 74 proc. przypadków naruszenia danych dokonywanych jest z zewnątrz.
- Liczby przytaczane przez Światowe Forum Gospodarcze wskazują na to, iż łączna wartość samych kradzieży internetowych w 2009 roku wyniosła około 1 biliona dolarów.
Według obiegowej opinii, większym zagrożeniem dla sieci IT w większości firm są raczej niezadowoleni pracownicy niż tajemniczy cyberprzestępcy. To przecież pracownicy mają dostęp do haseł, a nierzadko – w przypadku działów IT – posiadają także uprawnienia administratora. Co więcej, zwykle wie- dzą, jakich informacji szukają, gdzie mogą je znaleźć i jaka może być ich wartość dla konkurencji.
Koncepcja tzw. zagrożenia wewnętrznego nadal utrzymuje się w środowisku związanym z bezpieczeństwem informatycznym i wydaje się częściowo oparta na badaniu przeprowadzonym przez FBI na początku lat dziewięćdziesiątych. Dowodzono w nim, że sprawcami 80 procent cyberataków były osoby z wewnątrz firmy. Jednakże wiele się zmieniło na przestrzeni ostatnich dwudziestu lat. Podczas gdy kiedyś hakerami i autorami wirusów była często „trudna” młodzież, obecnie cyberprzestępczość rozwinęła się na tyle, aby przerodzić się w przynoszący profity biznes. Liczby przytaczane przez Światowe Forum Gospodarcze wskazują na to, iż łączna wartość samych kradzieży internetowych w 2009 r. wyniosła około 1 biliona dolarów.
To swoiste „uprzemysłowienie” cyberprzestępczości może wpłynąć na po- strzeganie tego, czy ochrona przed zagrożeniami, których źródłem są pracownicy, nadal powinna być traktowana, jako główny priorytet w zakresie bezpieczeństwa informatycznego firmy. W dzisiejszych czasach zorganizowane gangi zdają się być bardziej naglącym zagrożeniem niż nieprzewidywalny lub niezadowolony pracownik. Przygotowany przez AVG Technologies raport pt. „Dlaczego tradycyjne rozwiązania ochrony przed złośliwym oprogramowaniem już nie wystarczają” wyjaśnia, dlaczego firmy powinny ponownie rozważyć kwestię alokowania środków przeznaczonych na bezpieczeństwo.
Od młodych gniewnych po zorganizowane cybergangi – ewolucja zagrożeń
Raport autorstwa AVG Technologies ujawnia, że jeszcze dziesięć lat temu twórcami wirusów i innych form złośliwego oprogramowania byli głównie młodzi, spragnieni uwagi programiści amatorzy (tzw. script kiddies), szukający rozgłosu w podziemnych społecznościach hakerskich. Raport informuje także o tym, że krajobraz bezpieczeństwa w ciągu ostatnich lat wyraźnie się zmienił. Zorganizowane gangi przestępców zdały sobie sprawę z tego, że można zarobić na złośliwym oprogramowaniu i wynajęły wykwalifikowanych programistów do tworzenia złośliwego kodu. Programy te nie mają na celu powodowania zakłóceń w pracy systemów informatycznych, lecz umożliwienie kradzieży pieniędzy lub danych. Doprowadziło to do wykształcenia się podziemnej gospodarki, w ramach której przestępcy mogą kupować i sprzedawać zarówno dane, jak i programy wykorzystywane do kradzieży informacji.
Zagrożenia wewnętrzne czy zewnętrzne – które większe?
Czy fakt, że zagrożenia zewnętrzne stały się bardziej wyrafinowane oraz lepiej zorganizowane, oznacza, że zorganizowana cyber- przestępczość niesie ze sobą większe niebezpieczeństwo niż niezadowolony personel? Opinie ekspertów wydają się w tej kwestii podzielone. Ma to swe źródło w problematyczności zdefiniowania tego, co można zaklasyfikować jako zagrożenie zewnętrzne, a co należy uznać za niebezpieczeństwo wewnętrzne.
Charakter cyberprzestępczości na przestrzeni ostatniego dwudziestolecia uległ zmianie, ale to samo dotyczy także zwykłej działalności biznesowej. Firmy stają się coraz bardziej rozdrobnione i zwięk-szają swą zależność od doradców i ekspertów zewnętrznych. Ponadto rosnąca liczba fuzji i przejęć sprawiła, że dotychczas wyraźne granice niektórych dużych firm stają się coraz bardziej narażone na niebezpieczeństwo wynikające z fluktuacji pracowników.
Dawn Cappeli, członek zespołu ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego (ang. CERT) uczelni Carnegie Mellon University, wyjaśniła ostatnio, w jaki sposób jej organizacja musiała przeformułować swoją definicję „osoby z wewnątrz”, aby nadążyć za praktyką działalności biznesowej.
– Nasza definicja wrogiej osoby z wewnątrz organizacji obejmuje obecnego lub byłego pracownika, zleceniobiorcę lub partnera biznesowego – wyjaśnia Cappeli.
CERT, jedna z głównych amerykańskich organizacji zajmujących się bezpieczeństwem teleinformatycznym, wspiera ideę głoszącą, iż to na zagrożeniach wewnętrznych powinny skupić swoją uwagę firmy w zakresie bezpieczeństwa informacji. Organizacja poświęciła temu zagadnieniu sekcję swojej strony internetowej o nazwie „Badania nt. zagrożeń wewnętrznych”.
Z przygotowanego przez CERT raportu „Pełny obraz sabotażu infor- matycznego dokonywanego przez osoby z wewnątrz” (”Big Picture” of Insider IT Sabotage”) wynika, że to osoby z wewnątrz organizacji stanowią największe zagrożenie dla jej bezpieczeństwa informatycznego. Posiadając legalny dostęp do informacji, systemów i sieci firmy, stanowią istotne zagrożenie dla pracodawców. Pracownicy przeżywający problemy finansowe uznali, że z łatwością mogą użyć systemów wykorzystywanych na co dzień w pracy, by dopuścić się kradzieży lub oszustwa.
Firma telekomunikacyjna Verizon uważa z kolei, że to na zagrożeniach zewnętrznych firmy powinny się skupiać. W raporcie z dochodzeń w sprawie naruszenia danych biznesowych z 2009 roku Verizon ujawnia, że 74 proc. przypadków naruszenia danych pochodziło z zewnątrz, podczas gdy 32 proc. było powiązanych z partnerami biznesowymi. W raporcie stwierdzono, że jedynie 20 proc. było spowodowanych przez osoby z wewnątrz firmy.
W swym raporcie firma Verizon przyznaje, co prawda, że wiele przypadków naruszenia bezpieczeństwa wewnętrznego nie jest zgłaszanych. Firmy chcą zwykle uniknąć negatywnego rozgłosu, który mógłby być skutkiem ujawnienia takiego incydentu. Mimo to specjaliści z Verizon nie mają wątpliwości, że nawet przy mniejszej liczbie zgłaszanych incydentów wewnętrznych, badania przeprowadzone na przestrzeni kilku lat wspierają argument firmy mówiący, że ataki zewnętrzne są nadal większym zagrożeniem. Wyniki z ponad 600 incydentów na przestrzeni pięciu lat są silnym argumentem przeciwko od dawna utrzymywanemu i głęboko zakorzenionemu przekonaniu, że za większością naruszeń stoją osoby z wewnątrz.
Ale podczas gdy niektórzy specjaliści do spraw bezpieczeństwa skupiają się na odróżnieniu zagrożeń zewnętrznych od wewnętrznych, inni eksperci uważają, że nadmierna koncentracja na pochodzeniu ataku jest stratą czasu.
– Cała debata na temat źródeł zagrożeń – czy większe niebezpieczeństwo niosą ze sobą zagrożenia wewnętrzne czy też zewnętrzne – zawsze miała przede wszystkim charakter semantyczny – stwierdził na swoim blogu guru bezpieczeństwa, Bruce Schneier. – Pod względem liczby ataków o wiele częściej sprawcami są ludzie z zewnątrz zwyczajnie dlatego, że atakujących z zewnątrz jest po prostu więcej. Jeśli policzyć incydenty, to 75 procent ataków ma swoje źródła na zewnątrz organizacji, a jedynie 18 procent pochodzi z jej struktur. Ale jeśli policzyć szkody, przewagę mają zwykle osoby z wewnątrz – głównie dlatego, że dysponują o wiele bardziej szczegółowymi informacjami i mogą lepiej wybrać swój cel.
Bruce Schneier uważa, że firmy lepiej wyszłyby na przyjęciu bardziej całościowego spojrzenia na kwestię bezpieczeństwa informatycznego i na myśleniu w kategoriach strzeżenia danych i systemów przed atakami niezależnie od ich pochodzenia.
– Zarówno osoby z wewnątrz jak i z zewnątrz stanowią ryzyko pod kątem bezpieczeństwa, a więc trzeba bronić się przed obiema kategoriami. Próba ich klasyfikacji wcale nie jest tak przydatna – stwierdza Schneier.
Wydaje się, że chociaż niebezpieczeństwo ze strony cyberprzestępców w ciągu ostatnich lat stale rośnie, coraz bardziej rozdrobniona struktura wielu firm również generuje dodatkowe zagrożenia. Personel, partnerzy, a nawet klienci mogą stanowić potencjalne zagrożenie dla bezpieczeństwa informatycznego firmy. Przedsiębiorstwa skorzystałyby na rozważeniu różnych polityk bezpieczeństwa stosowanych wobec każdej z grup (cyberprzestępców i osób z wewnątrz). Najlepszym rozwiązaniem byłoby wdrożenie solidnej i elastycznej strategii w zakresie bezpieczeństwa, tak aby nadążyć za szybko zmieniającym się charakterem zagrożeń bezpieczeństwa informatycznego.
Autor jest pracownikiem AVG Technologies