Sisäpiirin uhat ovat salakavalia ja niitä on tunnetusti vaikea havaita ja torjua. Yksi syy tähän on se, että kyseessä ovat työtoverit, eivät "huppupäiset hakkerit". Sisäpiirin uhat eivät kuitenkaan aina ole pahantahtoisia; vahingossa tapahtuvat sisäpiiriläiset ovat yhtä suuri uhka tietoturvalle kuin pahantahtoiset työntekijät, jotka haluavat aiheuttaa vahinkoa.
Riskineuvoja Kroll laatii säännöllisesti raportteja tietoturvan tilasta: esimerkiksi Krollin vuoden 2022 kolmannen vuosineljänneksen uhkamaisemaraportissa sisäpiirin uhat olivat korkeimmalla tasolla; raportissa todettiin, että lähes 35 prosentissa kaikista luvattoman pääsyn vaaratilanteista oli keskeisenä tekijänä sisäpiirin uhka.
Sisäpiirin uhat ovat hallittavissa, mutta ne vaativat erilaisia hallintastrategioita. Seuraavassa on muutamia esimerkkejä sisäpiirin uhista ja viisi strategiaa, joita voit käyttää näiden uhkien lieventämiseen.
Kuten edellä mainittiin, sisäpiirin uhat eivät aina johdu pahantahtoisista tietoturvahyökkäyksistä, vaan myös onnettomuudet ja huolimattomuus ovat merkittävässä asemassa tietoturvaloukkauksissa. Lisäksi sisäpiirin uhkien takana olevat henkilöt vaihtelevat, ja niihin kuuluvat työntekijät, toimittajat, konsultit ja freelancerit.
Seuraavassa on joitakin esimerkkejä sisäpiirin uhista, jotka aiheuttavat vahinkoa yrityksille:
Esimerkkejä sisäpiirin uhista
Tyytymättömät työntekijät
Organisaatiosta lähtevät ihmiset saattavat vain joskus tehdä niin iloisesti. Työntekijät, joilla on kaunaa yritykselle, voivat aiheuttaa vahinkoa paljastamalla tietoja tai varastamalla omistusoikeudellisia ja luottamuksellisia tietoja. Eräässä Unit 42 -tutkimuslaitoksen hiljattain julkaisemassa raportissa todettiin, että 75 prosenttia heidän käsittelemistään tietoturvaloukkauksista johtui tyytymättömistä työntekijöistä. Kaikki raportit eivät kuitenkaan ole samaa mieltä. Monissa tutkimuksissa todetaan, että tahattomat tai huolimattomat sisäpiiriläiset ovat yhtä vaarallisia.
Huolimattomuus ja onnettomuudet
Turvallisuustietoisuus on asia, joka on iskostettava toisena luonnollisena reaktiona. Vaihtoehtona on, että sisäpiiriläiset unohtavat tarkistaa tärkeät rutiinit kahteen kertaan; esimerkiksi huolimaton työntekijä saattaa lähettää arkaluonteisia tietoja sähköpostitse väärälle henkilölle tai jättää arkaluonteisia asiakirjoja tulostimeen. Salakirjoittamattomat työvälineet ovat toinen alue, jolla tiedot voivat olla vaarassa. Jos työntekijä matkustaa säännöllisesti, riski puhelimen tai kannettavan tietokoneen jättämisestä junaan tai lentokentälle kasvaa. Jos laite joutuu vääriin käsiin, kaikki tiedot ja pääsy yrityssovelluksiin ovat vaarassa.
Ilkeät sisäpiiriläiset
Tyytymättömät työntekijät ovat eräs työntekijän muoto, joka käyttää hyväkseen yrityksen jättämistä ja syyllistyy haitalliseen tekoon. Jotkut työntekijät ovat kuitenkin tarkoituksellisesti pahansuopia ja etsivät mahdollisuuksia varastaa tietoja ja myydä yrityssalaisuuksia. Sisäpiiriläisten rekrytointi haitallista toimintaa varten ei ole mitään uutta, vaan teollisuusvakoilu on yhtä vanhaa kuin teollisuus.
Verkkorikolliset rekrytoivat työntekijöitä nykyään kuitenkin digitaalisesti. Verkkorikolliset yrittävät usein ottaa yhteyttä tiettyyn työntekijään, esimerkiksi niihin, joilla on etuoikeutettu pääsy verkkoon, tai käyttävät sosiaalisen median tai verkkofoorumien (myös pimeän verkon) kaltaisia välineitä ottaakseen yhteyttä sisäpiiriläisiin; potentiaaliselle rekrytoijalle tarjotaan suuria rahasummia, jotta hän auttaisi heitä asentamaan lunnasohjelmia tai varastamaan tietoja.
Ratkaisu sisäpiirin
Jotkut ihmiset kokevat turvallisuuskäytännöt epämiellyttäviksi itselleen. Jos näin on, he todennäköisesti laiminlyövät turvallisuuskäytäntöjä ja löytävät kiertoteitä, joiden avulla he voivat jatkaa huonojen turvallisuuskäyttäytymisten harjoittamista. Tulos on sama: altistuvat tiedot tai väärin käytetyt käyttöoikeudet, jotka usein jaetaan työtovereiden kanssa mukavuussyistä. Eräässä vuonna 2022 tehdyssä tutkimuksessa kävi ilmi, että 62 prosenttia työntekijöistä jakoi salasanoja tekstiviestillä tai sähköpostilla.
Toimitusketjun sisäpiiriläiset
Toimitusketjut, toimittajat, konsultit ja muut saattavat olla poissa palkkalistoilta. He ovat kuitenkin edelleen sisäpiirin uhka, koska heillä on usein pääsy yrityssovelluksiin ja arkaluonteisiin tietoihin: Spear phishing -hyökkäykset kohdistuvat usein toimitusketjun henkilöstöön juuri tästä syystä. Lisäksi monet surullisenkuuluisat verkkohyökkäykset on jäljitetty toimittajiin. Yksi esimerkki on General Electriciin (GE) kohdistunut toimitusketjuhyökkäys: vuonna 2020 verkkorikolliset saivat luvattoman pääsyn GE:n kumppaniyrityksen sähköpostitilille; tili paljasti GE:n työntekijöiden arkaluonteisia tietoja.
Viisi strategiaa sisäpiirin uhkien lieventämiseksi
Olipa sisäpiirin uhan alkuperä mikä tahansa, on olemassa keinoja sisäpiirin uhkien estämiseksi:
Luo kulttuuri, jossa turvallisuudella on merkitystä
Turvallisuuskulttuuri on sellainen, jossa turvallisuudesta tulee syvälle juurtunut osa työelämää. Jos turvallisuuskulttuuri on saavutettu, se minimoi riskit, jotka liittyvät vahingossa tai huolimattomuudesta tapahtuviin sisäpiiriläisiin. Turvallisuuskulttuuri muuttaa huonoa turvallisuuskäyttäytymistä ja antaa työntekijöille valmiudet käsitellä tietoturvariskejä sen sijaan, että he luottaisivat pelkästään tietoturvaryhmään. Tehokkaassa turvallisuustietoisuudessa on kyse siitä, että ihmiset asetetaan keskeiseen asemaan turvallisen ympäristön ylläpitämisessä; syyllistämisen sijasta tehokas turvallisuuskulttuuri antaa työntekijöille valtuudet ja mahdollisuudet ja saattaa jopa auttaa heitä tunnistamaan ja käsittelemään pahantahtoisia työntekijöitä.
Luottamuksen rakentaminen laajemman työntekijä- ja muun kuin työntekijäpohjan kanssa.
On haastavaa muuttaa niiden ihmisten turvallisuuskäyttäytymistä, jotka eivät välitä turvallisuudesta, koska he katsovat sen häiritsevän heidän työtään. Jotta tietoturvakeinojen riskejä voitaisiin lieventää, organisaation tulisi pyrkiä rakentamaan luottamuksellinen työsuhde työntekijöiden, tavarantoimittajien ja muiden tahojen kanssa. Esimerkiksi tietoturvatietoisuuskoulutuksessa olisi pyrittävä luomaan suhteita, jotka sointuvat koulutettavan kanssa, käyttämällä sisältöjä, joissa keskitytään tiettyihin rooleihin ja riskeihin. Myös hyvin suunniteltujen tietoturvatyökalujen tarjoaminen, jotka perustuvat erinomaiseen käyttäjäkokemukseen ja ovat helppokäyttöisiä, auttaa estämään työntekijöitä ja muita etsimästä kiertoteitä.
Suorita tietoturvatietoisuuskoulutusta säännöllisesti
Ihmisillä on taipumus unohtaa harjoittelu, ellei sitä suoriteta säännöllisesti. USENIXin tutkimuksessa, jossa selvitettiin, miten säännöllinen koulutus vaikuttaa tietoturvatietoisuuskoulutuksen tehokkuuteen, todettiin, että työntekijöiden alkukoulutus kesti noin neljä kuukautta; kuuden kuukauden kuluttua työntekijät eivät enää tunnistaneet phishing-sähköposteja. Tietoturvakoulutus voi usein auttaa havaitsemaan sisäpiirin uhat ennen kuin ne aiheuttavat todellista vahinkoa.
Käytettävä vankka prosessi työntekijöiden irtisanoutumista varten
Pahantahtoisia työntekijöitä, myös organisaatiosta lähteviä, on hankala käsitellä. Yksi tehokkaimmista tavoista sisällyttää tällaiset työntekijät sisäpiirin uhkien lieventämisstrategioihin on käyttää vankkoja prosesseja, joilla varmistetaan, että lähtevien työntekijöiden tilit poistetaan viipymättä.
Työkalut pahantahtoisten työntekijöiden haittojen vähentämiseen
Ilkivaltaiset työntekijät peittävät jälkiään aktiivisesti, mikä voi olla haastavaa havaita. Käytä työkaluja ja prosesseja, jotka toteuttavat nollaluottamuslähestymistavan tietoturvaan; näissä prosesseissa käytetään vähimmän etuoikeuden periaatetta arkaluonteisten tietojen ja yritysverkon käytön valvomiseksi. Tietoturvatyökalut, kuten DLP-ratkaisut (Data Loss Prevention), voivat auttaa vähentämään haitallisia ja tahattomia sisäpiirin uhkia.
Muista laajempi toimitusketju
Muista tavarantoimittajat, alihankkijat ja muut kolmannet osapuolet, kun järjestät tietoturvatietoisuuskoulutusta ja otat käyttöön nollaluottamuksen tietoturvatyökaluja. Varmista, että laajempi käyttäjäkuntasi ymmärtää oman roolinsa tietoturvan ja yksityisyyden suojan suhteen; sovella roolipohjaista turvallisuuskoulutusta ja phishing-simulaatioita, joissa opetetaan toimittajia ja konsultteja havaitsemaan työntekijöihin kohdistuva spear phishing ja social engineering.
Sisäpiirin uhkien lieventäminen on haastavaa, sillä uhat voivat olla monenlaisia, tahattomista pahantahtoisiin; tämäntyyppisten hyökkäysten havaitseminen ja ehkäiseminen edellyttää inhimillisten ja teknisten toimenpiteiden yhdistelmää. Näihin ratkaisuihin kuuluvat ihmiskeskeinen tietoturvatietoisuuskoulutus, roolipohjaiset phishing-simulaatiot, vankat tietoturvaprosessit ja nollaluottamuksen kaltaiset tietoturvaratkaisut. Kun sisäpiirin uhkaan sovelletaan 360 asteen lähestymistapaa, ihmislähtöisten toimenpiteiden ja teknologian yhdistelmä on tehokas tapa lieventää näitä salakavalia uhkia.
