Yhdysvaltain kansallinen vastavakoilu- ja turvallisuuskeskus(NSCS) ja kansallinen sisäpiirin uhkatyöryhmä(NITTF) ovat julistaneet syyskuun 2019 kansalliseksi sisäpiirin uhkien tiedostamiskuukaudeksi.
Aloite on perustettu erityisesti lisäämään tietoisuutta sisäpiirin uhkien aiheuttamista vakavista riskeistä ja kannustamaan työntekijöitä tunnistamaan tietoturvaloukkaukset ja ilmoittamaan niistä, jotta niihin voidaan puuttua varhaisessa vaiheessa.
On helppo keskittyä kiireellisempiin kyberturvauhkiin, mutta todellisuudessa sisäpiirin uhat voivat olla yhtä vahingollisia ja vaativat yhtä suurta valppautta, jotta ne voidaan ehkäistä ja havaita.
Tämäntyyppiset hyökkäykset ovat yleisempiä kuin luuletkaan, ja Verizon Insider Threat Report -raportin mukaan 20 prosenttia kyberturvallisuuden vaaratilanteista ja 15 prosenttia tietomurroista on peräisin organisaation sisäpiiristä.
Hyökkäykset voivat olla myös erittäin kalliita, sillä keskimääräinen hyökkäys maksaa organisaatioille yli 8 miljoonaa dollaria. Meillä on tapana ajatella, että nämä hyökkäykset ovat harkittuja ja pahaenteisiä, ja usein ne ovatkin, mutta suurin osa sisäpiirin uhkatilanteista johtuu työntekijöiden huonoista turvallisuuskäytännöistä.
Mikä on sisäpiirin uhka?
Sisäpiirin uhka on tietoturvaloukkaus, joka on peräisin organisaatiosta itsestään eikä ulkoisesta lähteestä. Kyseessä voi olla nykyinen tai entinen työntekijä, urakoitsija, ulkopuolinen myyjä tai mikä tahansa muu liikekumppani, jolla on pääsy organisaation tietoihin ja tietokonejärjestelmiin.
Kaikki organisaatiot ovat haavoittuvia, mutta tietyillä toimialoilla, kuten valmistusteollisuudessa, terveydenhuollossa ja rahoitusalalla, riskiprofiili on yleensä suurempi kuin muilla. Tämä voi johtua siitä, että niillä on hallussaan suuria määriä arvokasta tietoa.
Sisäpiirin uhkatyypit
Sisäpiirihyökkäykset voivat olla erityisen vaarallisia, koska toisin kuin ulkopuoliset toimijat, jotka yrittävät tunkeutua verkkoon, sisäpiiriläisillä on yleensä laillinen pääsy organisaation tietokonejärjestelmiin. He voivat päästä käsiksi arkaluonteisiin tietoihin herättämättä epäilyksiä, ja hyökkäykset voivat usein jäädä huomaamatta viikoiksi tai jopa kuukausiksi.
Jotta organisaatiot voivat pysäyttää sisäpiirin uhat, niiden on tunnettava erityyppiset uhat ja hyökkäyksen taustalla olevat motiivit.
- Pahansuopa sisäpiiriläinen - Tämä on työntekijä, joka käyttää etuoikeutettua käyttöoikeuttaan hyväkseen varastamalla tietoisesti tietoja tai tekemällä muita kielteisiä tekoja organisaatiota vastaan. Toinen ilkivaltaisen sisäpiiriläisen tyyppi on tyytymätön työntekijä. Hän yrittää tietoisesti löytää keinoja vahingoittaa organisaatiota, jos hän kokee tulleensa kaltoin kohdelluksi. Tämä voi olla esimerkiksi suurten arkaluonteisten tietomäärien muokkaamista tai poistamista tai kriittisten järjestelmien häiritsemistä.
- Sisäpiirin tietoturvauhka - Tämä voi usein olla yksi vaarallisimmista sisäpiirin uhkatyypeistä, sillä työntekijät eivät välttämättä edes tajua, että heidän tietonsa on vaarantunut. Tyypillisesti heidän tietokoneeseensa on tarttunut haittaohjelma, kun he ovat napsauttaneet phishing-linkkiä tai avanneet haitallisen liitetiedoston.
- Huolimaton sisäpiiriläinen - Työntekijä, joka ei noudata asianmukaisia tietotekniikkamenettelyjä, tunnetaan huolimattomana sisäpiiriläisenä. Olipa kyseessä sitten tietokoneen lukitsematta jättäminen, arkaluonteisten tietojen jättäminen näkyville tai valtuutetun henkilön päästäminen rakennukseen, nämä työntekijät asettavat organisaationsa suureen vaaraan huonoilla turvallisuuskäytännöillä.
Varoitusmerkit
Usein on olemassa useita varoitusmerkkejä, jotka voivat varoittaa organisaatioita sisäpiirin uhasta. Näitä ovat mm:
- Suurten arkaluonteisten tietomäärien lataaminen tai käyttäminen
- Ulkoisten tallennuslaitteiden, kuten USB-tikkujen, käyttö.
- Pääsy tietoihin, jotka eivät liity työtehtävään
- Tiedostojen kopiointi arkaluonteisista kansioista
- Arkaluonteisten tietojen lähettäminen sähköpostitse organisaation ulkopuolelle
- Persoonallisuuden ja käyttäytymisen muutokset
- Epätavalliset työajat
Korkean profiilin esimerkkejä
Valitettavasti ei ole pulaa esimerkeistä, joissa organisaatiot ovat joutuneet sisäpiirin uhkatilanteiden kohteeksi. Nämä korkean profiilin hyökkäykset ovat tuoneet esiin taloudelliset ja maineeseen liittyvät vahingot, joita sisäpiirin uhkat voivat aiheuttaa. Merkittävimpiä tapauksia ovat mm:
Punjab National Bank
Yhdessä kalleimmista sisäpiirihyökkäyksistä Punjab National Bankin työntekijä käytti pankkien välistä SWIFT-viestintäjärjestelmää antaakseen luvan rahan liikkeeseenlaskuun maksusitoumusten ja ulkomaisten remburssien kautta. Näiden petollisten tapahtumien avulla työntekijä pystyi siirtämään varoja yhteensä 1,5 miljardia puntaa.
Morrisons
Vuonna 2017 Morrisons, yksi Yhdistyneen kuningaskunnan johtavista valintamyymäläketjuista, joutui vastuuseen sen jälkeen, kun tyytymätön sisäinen tarkastaja julkaisi yli 100 000 työntekijän tiedot. Näihin sisältyi arkaluonteisia tietoja, kuten kansallisia vakuutusnumeroita, syntymäaikoja ja pankkitilitietoja. 5 518 työntekijää haastoi Morrisonsin oikeuteen väittäen, että vuoto oli altistanut heidät identiteettivarkauden ja mahdollisten taloudellisten menetysten vaaralle. Morrisons todettiin vastuulliseksi ja sille aiheutui jopa 2 miljoonan punnan kustannukset.
Kohde
Vuoden 2014 Target-tietomurto tapahtui, kun kolmannen osapuolen työntekijä napsautti phishing-linkkiä, jonka avulla hyökkääjät pääsivät LVI-myyjien verkkoon ja lopulta Targetin verkkoon. Hyökkäys vaaransi yli 70 miljoonan ihmisen nimet, osoitteet, puhelinnumerot, sähköpostiosoitteet ja luottokorttitiedot. Tässä nimenomaisessa tapauksessa sisäpiiriläisellä ei ollut pahansuopia aikeita, mutta hyökkäys aiheutti merkittävää mainetta ja maksoi yritykselle 300 miljoonaa dollaria.
Miten organisaatiot voivat puolustautua sisäpiirin uhkia vastaan?
Turvallisuustietoisuuskoulutus - Koulutuksella on ratkaiseva merkitys, kun työntekijöille opetetaan turvallisuuskäytäntöjä ja uhkia, joita he todennäköisesti kohtaavat päivittäisessä työssään. Kyse voi olla mistä tahansa, phishing-sähköpostista fyysisen turvallisuuden merkitykseen työpaikalla. Pienet arviointivirheet voivat aiheuttaa suurta vahinkoa organisaatiolle, joten henkilöstön on saatava säännöllisesti koulutusta, jotta he osaavat tunnistaa ja reagoida asianmukaisesti kehittyviin uhkiin.
Käytä vahvaa tunnistautumista - Jos organisaation tilit voidaan vaarantaa, sisäpiiriläiset voivat liikkua verkoissa ja varastaa arkaluonteisia tietoja. Työntekijöiden olisi vältettävä salasanojen jakamista, ja arkaluonteisiin sovelluksiin ja järjestelmiin pääsyä varten olisi oltava käytössä vahvat todennusprosessit.
Työntekijöiden verkkokäyttäytymisen seuranta - Organisaatioiden tulisi seurata säännöllisesti työntekijöiden käyttäytymistä epäilyttävän toiminnan havaitsemiseksi. Tällaista toimintaa voi olla kirjautuminen satunnaisiin aikoihin, arkaluonteisten tietojen käyttäminen tai pyrkimys kopioida tietoja kansioista, joita heillä ei ole oikeutta tarkastella. Käyttäytymisanalytiikalla voi olla tärkeä rooli sellaisten käyttäjien tunnistamisessa, jotka käyttäytyvät tavanomaisesta poikkeavasti. Mitä aikaisemmin organisaatiot havaitsevat tällaisen käyttäytymisen, sitä nopeammin ne voivat ratkaista mahdolliset ongelmat.
Tapahtumien raportointiprosessi - Organisaatioilla olisi oltava selkeä menettely kaikkien tietoturvaloukkausten raportointia ja kirjaamista varten. Raportointivalmiudet kattavat kaikki mahdolliset vaaratilanteet ja määrittelevät asianmukaiset vastatoimet. Tämä auttaa havaitsemaan epäilyttävää toimintaa ja antaa kaikki tarvittavat tiedot, joita tarvitaan viranomaisraportointia varten.
MetaCompliance on erikoistunut luomaan markkinoiden parasta kyberturvallisuuskoulutusta. Tuotteemme vastaavat suoraan kyberuhkien ja yritysjohtamisen aiheuttamiin erityishaasteisiin helpottamalla käyttäjien osallistumista kyberturvallisuuteen ja vaatimustenmukaisuuteen. Ota yhteyttä, niin saat lisätietoja siitä, miten voimme auttaa muuttamaan kyberturvallisuuskoulutuksen organisaatiossasi.