Kukaan ei halua ajatella, että heidän yrityksessään on sisäpiirin uhkia, jotka saattavat organisaation tietomurron vaaraan tai ovat syynä tuhansia puntia maksavaan sääntöjenvastaisuussakkoon. Sisäpiirin uhka on kuitenkin aivan liian todellinen. Useiden raporttien mukaan sisäpiirin uhat ovat monien nykyisten tietoturvaongelmien taustalla. "EsimerkiksiCybersecurity Insiders Insider Threat Report 2020-raportissa todetaan, että 68 prosenttia organisaatioista uskoo sisäpiirin uhkien yleistyvän. Eräässä Egressin tutkimuksessa "2020 Insider Data Breach Survey" lähes kaikki vastanneet IT-johtajat totesivat, että sisäpiirin tietoturvaloukkausten riski oli "merkittävä huolenaihe".
Tietoturva-alalla sanotaan usein, että sisäpiirin uhkia on kaikkein vaikeinta torjua; miten voidaan havaita vahingollinen toiminta tai tahaton tietovuoto? Tässä on oppaamme sisäpiirin uhkista ja siitä, miten ne voidaan estää.
Sisäpiirin uhkatyypit
Sisäpiiriläinen on henkilö, joka työskentelee tällä hetkellä tai on aiemmin työskennellyt organisaatiossasi. Tämä määritelmä kattaa työntekijät ja muut kuin työntekijät, kuten alihankkijat. Sisäpiiriläinen voi olla myös liikekumppani tai yritys, joka kuuluu toimittajien ekosysteemiin. Myös etätyöntekijät lisäävät yrityksen sisäpiirin tietoturvaongelmia, sillä IBM:n tutkimuksen mukaan tietoturvaongelmia pahentaa se, että yritykset eivät varmista, että etätyön tietoturvakäytäntöjä noudatetaan.
Tahaton sisäpiiriläinen
EC-Councilin artikkelissa sanottiin, että 64 prosenttia tietojen katoamistapahtumista johtuu sisäpiiriläisistä, jotka "tarkoittivat hyvää", toisin sanoen vahinkoja sattuu. Sateenvarjotermi "tahattomat sisäpiirin uhat" kattaa laajan kirjon mahdollisia "onnettomuuksia tai vahinkoja". Jotkut näistä onnettomuuksista johtuvat siitä, että henkilö ei yksinkertaisesti ymmärrä tietoturvariskejä tehtävää suorittaessaan; toiset, kuten tietojenkalastelu tai sosiaalinen manipulointi, johtuvat siitä, että ulkoiset voimat manipuloivat henkilöitä. Tietotekniikkajärjestelmien virheellinen konfigurointi on toinen osa-alue, joka on satunnainen, mutta antaa ulkopuolisille voimille mahdollisuuden käyttää järjestelmää hyväkseen. Vahingossa tapahtuva sisäpiiriläinen liittyy usein neljään pääongelma-alueeseen:
- Hups-tekijä: Väärinymmärrys tai tiedon puute turvallisuusprosesseista ja -riskeistä. Egressin tutkimuksen mukaan 31 prosenttia tietoturvaloukkauksista johtui siitä, että työntekijä lähetti tietoja sähköpostitse väärälle henkilölle.
- Temppuilu: Ulkopuolisten voimien harjoittama manipulointi, esim. phishing. Egressin tutkimuksen mukaan 41 prosenttia vahingossa vuotaneista tiedoista johtui phishing-sähköpostista.
- Huono ryhti: Yrityksen huono turvallisuusasenne ja puutteellinen turvallisuusvalvonta ja -kasvatus.
- Turvallisuustaitojen puute: Järjestelmien vääränlainen konfigurointi, koska tietotekniikkahallinnon tasolla ei ole riittävästi koulutusta tai ymmärrystä tietoturvasta.
Ilkeät sisäpiiriläiset
Niitä työntekijöitä ja muita kuin työntekijöitä, jotka tarkoituksellisesti aikovat vahingoittaa tietojärjestelmiä tai varastaa tietoja, kutsutaan ilkivallantekijöiksi. Toisin kuin tahattomat sisäpiiriläiset, pahantahtoisten sisäpiirin uhkien motiivina on yleensä raha tai kosto. Fortinetin sisäpiirin uhkia käsittelevässä raportissa todettiin, että 60 prosenttia yrityksistä oli huolissaan ilkivaltaisen sisäpiirin uhan aiheuttaman tietomurron uhasta. Tutkimuksessa tarkasteltiin myös ilkivaltaisten sisäpiiriläisten motiiveja, ja kolme tärkeintä syytä olivat seuraavat:
- Petokset (55 %)
- Raha (49 %)
- Henkisen omaisuuden varastaminen (44 %)
Pahansuopia sisäpiiriläisiä rekrytoidaan jopa pimeässä verkossa, ja eräässä raportissa mainitaan pimeässä verkossa julkaistu mainos, jossa pankin työntekijää pyydettiin toimimaan pahansuovana sisäpiiriläisenä, ja keikasta maksettiin 370 000 ruplaa (4400 puntaa) kuukaudessa yhden tunnin työstä päivässä.
Esimerkkejä sisäpiirin uhista
Olipa tietomurto tai muu tietoturvatapahtuma aiheutettu ilkeästi tai vahingossa, seuraukset ovat samat. Tietomurrot ja muut tietoturvaongelmat johtavat suuriin sakkoihin, asiakkaiden luottamuksen menettämiseen organisaation kykyyn suojata arkaluonteisia tietoja ja jopa yrityksen osakkeen arvon laskuun. Alla on kolme esimerkkiä, joissa sisäpiirihyökkäykset ovat aiheuttaneet vahinkoa yritykselle:
Tyytymätön työntekijä: Covid-19-pandemian aikana suojavarusteiden (PPE) jakeluun osallistunut yritys kärsi vihaisesta työntekijästä. Entinen työntekijä "Dobbins" loi kaksi väärennettyä käyttäjätiliä ennen kuin menetti työnsä. Kun Dobbins oli saanut potkut, hän kirjautui järjestelmään väärennetyillä käyttäjätunnuksilla. Sen jälkeen hän muokkasi lähes 12 000 tietuetta ja poisti yli 2 000 tietuetta. Lopulta hän poisti väärennetyt tilit käytöstä. Tekemällä nämä muutokset Dobbins häiritsi vakavasti PPE:n toimittamista terveydenhuollon tarjoajille.
Pahansuopa hyötymistarkoitus: Seurauksena oli, että Yhdistyneen kuningaskunnan ICO määräsi Bupalle 175 000 punnan sakon. Työntekijä käytti yrityksen CRM-järjestelmää lähettääkseen itselleen BUPA-asiakkaiden henkilötiedot ja yritti sitten myydä vaarantuneet tilit pimeässä verkossa.
Onnettomuuksia sattuu, mutta ne ovat usein anteeksiantamattomia: IICSA (Independent Inquiry into Child Sex Abuse) joutui tarkastelun kohteeksi sen jälkeen, kun eräs työntekijä lähetti sähköpostia 90 mahdolliselle lapsen seksuaalisen hyväksikäytön uhrille. Työntekijä yksinkertaisesti käytti cc-kenttää bcc-kentän sijasta sähköpostiosoitteiden syöttämiseen. Yhdistyneen kuningaskunnan ICO määräsi IICSA:lle 200 000 punnan sakon tietosuojalain (DPA2018) nojalla.
Tapoja sisäpiirin uhkien havaitsemiseen ja lieventämiseen organisaatiossasi
Vaikka sisäpiirihyökkäysten havaitseminen ja estäminen voi olla vaikeaa, on olemassa keinoja niiden vaikutusten minimoimiseksi. Seuraavassa on viisi tapaa, joiden avulla organisaatiosi voi hallita sisäpiirin uhkia:
Turvallisuustietoisuuskoulutus
Koska monet sisäpiirin uhat ovat tahattomia, tietoturvatietoisuuskoulutuksella voi olla tärkeä rooli tämän tietoverkkoriskin vähentämisessä. Turvallisuustietoisuuskoulutuksen tulisi kattaa esimerkiksi seuraavat tahattomiin sisäpiirin uhkiin liittyvät näkökohdat:
- Tietoturvahygienia: esimerkiksi työntekijöiden opettaminen tiedostamaan, että tietojen lähettäminen on turvallista.
- Phishing: varmistetaan, että työntekijät ovat ajan tasalla sähköpostin ja muiden phishing-temppujen suhteen ja ovat tietoisia phishing-sivustojen kautta tapahtuvasta valtakirjojen varastamisesta.
- Tietoisuus säännösten noudattamisesta: varmistetaan, että työntekijät ovat tietoisia omasta roolistaan säännösten noudattamisen varmistamisessa.
Nolla luottamusta
Monet sisäpiirin uhat johtuvat etuoikeuksien väärinkäytöstä tai väärinkäytöstä ja arkaluonteisten tietojen käytön huonosta valvonnasta. Nollaluottamus perustuu periaatteeseen "älä koskaan luota, tarkista aina". Tämä tarkoittaa sitä, että työntekijät ja/tai käytetyt laitteet kyseenalaistetaan, kun he yrittävät käyttää resursseja.
Nämä haasteet heijastavat resurssien arkaluontoisuutta, joten arkaluontoisemmat tiedot tai sovellukset edellyttävät suurempaa varmuutta siitä, että niitä käyttävä henkilö on se, joka sanoo olevansa. Nollaluottamusarkkitehtuuri on yhdistelmä sopivia tekniikoita ja arkkitehtuuria, jonka avulla verkon alueet voidaan lokeroida. Nollaluottamusarkkitehtuuria tukevia teknologioita ovat esimerkiksi SIEM (Security Information and Event Management) ja CASB (Cloud Access Security Broker).
Tunnistus ja valtuutus
Nollaluottamusarkkitehtuurin perustana on vankan todennuksen ja valtuutuksen periaate. Kontekstitietoinen todennus ja valtuutus lisäävät arkaluonteisten tietojen käytön tärkeän valvontakerroksen. 2FA/MFA:n käyttö yrityssovellusten käyttämiseen, erityisesti etätyöskentelyssä, olisi varmistettava. Yhdessä seurannan kanssa nämä prosessit luovat vankan turvakerroksen.
Etsitään merkkejä epätavallisesta käyttäytymisestä
Ilkivaltaisia sisäpiirin uhkia voi olla vaikea havaita, mutta tietyt koneoppimiseen perustuvat tekniikat (ML) voivat auttaa uhkien havaitsemisessa ja hälyttää tietoturvaryhmääsi epätavallisesta toiminnasta. Yksi näistä on työntekijöiden seuranta UEBA:n (User and Entity Behaviour Analytics) muodossa. UEBA:ta käytetään epätavallisen käyttäytymisen havaitsemiseen käyttämällä ML:ää havaitsemaan poikkeavia käyttäytymismalleja, kun ihmiset ovat vuorovaikutuksessa laitteiden ja verkkojen kanssa.
Pyynnistyksen ja roskapostin torjunta
Tekniikat, jotka estävät phishing-sähköposteja pääsemästä työntekijöiden postilaatikkoon, voivat auttaa estämään tahattomia sisäpiirin tietoturvaloukkauksia. Ratkaisuilla voidaan estää työntekijöitä siirtymästä haitallisiin URL-osoitteisiin. Nämä ohjelmistopalvelut toimitetaan tyypillisesti pilvipohjaisina alustoina. Sähköpostin suodatus ja URL-sisällön skannaus ovat hyödyllisiä turvaverkkoja, jotka täydentävät tietoturvatietoisuuskoulutusta.
Työntekijämme ovat suurin voimavaramme, ja meidän on varmistettava, että he pysyvät sellaisina antamalla heille valtaa koulutuksen avulla ja suojelemalla heitä ja yritystämme parhaalla mahdollisella turvatekniikalla.