Settembre 2019 è stato dichiarato National Insider Threat Awareness Month dal National Counterintelligence and Security Center(NSCS) statunitense e dalla National Insider Threat Task Force(NITTF).
L'iniziativa è stata specificamente istituita per aumentare la consapevolezza dei gravi rischi posti dalle minacce interne, incoraggiando i dipendenti a riconoscere e segnalare gli incidenti di sicurezza in modo da poter intervenire tempestivamente.
È facile concentrarsi sulle minacce di sicurezza informatica più pressanti, ma la realtà è che le minacce interne possono essere altrettanto dannose e richiedono la stessa vigilanza per aiutare a prevenire e rilevare.
Questi tipi di attacchi sono più comuni di quanto si possa pensare e secondo il Verizon Insider Threat Report, il 20% degli incidenti di Cyber Security e il 15% delle violazioni dei dati hanno origine da insider all'interno di un'organizzazione.
Gli attacchi possono anche essere estremamente costosi, con un incidente medio che costa alle organizzazioni più di 8 milioni di dollari. Tendiamo a pensare che questi attacchi siano premeditati e sinistri, e spesso lo sono, ma la maggior parte degli incidenti di insider threat sono il risultato di scarse pratiche di sicurezza da parte dei dipendenti.
Cos'è una minaccia interna?
Una minaccia interna è un incidente di sicurezza che ha origine all'interno di un'organizzazione stessa piuttosto che da una fonte esterna. Può essere un dipendente attuale o precedente, un appaltatore, un fornitore terzo o qualsiasi altro socio d'affari che ha accesso ai dati e ai sistemi informatici dell'organizzazione.
Ogni organizzazione è vulnerabile, tuttavia, alcune industrie come la produzione, la sanità e la finanza tendono ad avere un profilo di rischio più alto di altre. Questo può essere dovuto alla grande quantità di informazioni preziose che detengono.
Tipi di minacce interne
Gli attacchi insider possono essere particolarmente pericolosi perché, a differenza degli attori esterni che tentano di infiltrarsi in una rete, gli insider hanno in genere un accesso legittimo ai sistemi informatici di un'organizzazione. Possono accedere a dati sensibili senza destare sospetti e gli attacchi possono spesso passare inosservati per settimane, anche mesi.
Per fermare le minacce interne, le organizzazioni devono conoscere i diversi tipi di minacce e le motivazioni dietro l'attacco.
- Malicious Insider - Questo è un dipendente che approfitterà del suo accesso privilegiato per rubare consapevolmente i dati o commettere altri atti negativi contro l'organizzazione. Un altro tipo di insider maligno è il dipendente scontento. Essi cercheranno deliberatamente di trovare modi per infliggere danni all'organizzazione se sentono di essere stati maltrattati. Questo potrebbe essere la modifica o la cancellazione di grandi quantità di dati sensibili o l'interferenza con sistemi critici.
- Insider compromesso - Questo può essere spesso uno dei tipi più pericolosi di minacce interne, poiché i dipendenti potrebbero non rendersi conto di essere stati compromessi. In genere, il loro computer sarà infettato da malware come risultato di un clic su un link di phishing o l'apertura di un allegato dannoso.
- Insider negligente - Un dipendente che non segue le corrette procedure IT è conosciuto come un insider negligente. Sia che lascino il loro computer aperto, che lascino i dati sensibili in piena vista o che lascino entrare una persona autorizzata, questi dipendenti mettono la loro organizzazione a grande rischio con pratiche di sicurezza scadenti.
Segnali di pericolo
Ci sono spesso una serie di segnali di avvertimento che possono avvisare le organizzazioni di una minaccia insider. Questi includono:
- Scaricare o accedere a grandi quantità di dati sensibili
- L'uso di dispositivi di archiviazione esterni come le chiavette USB
- Accesso a dati non associati al ruolo lavorativo
- Copiare file da cartelle sensibili
- Inviare via e-mail dati sensibili al di fuori dell'organizzazione
- Cambiamenti della personalità e del comportamento
- Lavorare in orari insoliti
Esempi di alto profilo
Sfortunatamente, non mancano gli esempi di organizzazioni che sono state vittime di episodi di minacce interne. Questi attacchi di alto profilo hanno evidenziato il danno finanziario e reputazionale che può essere inflitto come risultato delle minacce interne. Alcuni dei casi più notevoli includono:
Banca nazionale del Punjab
In uno dei più costosi attacchi insider, un impiegato della Punjab National Bank ha utilizzato il sistema di comunicazione interbancaria SWIFT per autorizzare l'emissione di denaro attraverso lettere d'impegno e lettere di credito estere. Attraverso queste transazioni fraudolente, il dipendente è stato in grado di trasferire fondi per un totale di 1,5 miliardi di sterline.
Morrisons
Nel 2017, Morrisons, una delle principali catene di supermercati del Regno Unito, è stata ritenuta responsabile dopo che un revisore interno scontento ha pubblicato i dettagli di oltre 100.000 dipendenti. Questo includeva dati sensibili come numeri di assicurazione nazionale, date di nascita e dettagli del conto bancario. 5.518 dipendenti hanno portato Morrisons in tribunale sostenendo che la fuga di notizie li aveva esposti al rischio di furto di identità e a potenziali perdite finanziarie. Morrisons è stata ritenuta responsabile e ha sostenuto costi fino a 2 milioni di sterline.
Obiettivo
La violazione di Target del 2014 si è verificata quando un dipendente terzo ha cliccato su un link di phishing che ha aiutato gli aggressori a entrare nella rete dei fornitori HVAC e infine nella rete di Target. L'attacco ha compromesso i nomi, gli indirizzi, i numeri di telefono, gli indirizzi e-mail e i dati delle carte di credito di oltre 70 milioni di persone. In questo caso particolare, l'insider non aveva intenzioni malevole, ma l'attacco ha causato un significativo danno reputazionale ed è costato all'azienda 300 milioni di dollari.
Come possono le organizzazioni difendersi dalle minacce interne?
Formazione sulla consapevolezza della sicurezza - La formazione è fondamentale per educare i dipendenti sulle politiche di sicurezza e sulle minacce che possono incontrare nel loro ruolo quotidiano. Questo potrebbe essere qualsiasi cosa, da una e-mail di phishing all'importanza della sicurezza fisica sul posto di lavoro. Piccole lacune di giudizio hanno il potenziale di causare grandi danni a un'organizzazione, quindi il personale deve ricevere una formazione regolare per assicurarsi di sapere come identificare e rispondere in modo appropriato alle minacce in evoluzione.
Usare un'autenticazione forte - Se gli account di un'organizzazione possono essere compromessi, gli insider possono muoversi lateralmente nelle reti rubando dati sensibili. I dipendenti dovrebbero evitare di condividere le password e ci dovrebbero essere processi di autenticazione forte in atto per l'accesso ad applicazioni e sistemi sensibili.
Monitorare il comportamento online dei dipendenti - Le organizzazioni dovrebbero monitorare periodicamente il comportamento dei dipendenti per rilevare qualsiasi attività sospetta. Questo potrebbe essere l'accesso ad orari casuali, l'accesso a dati sensibili o il tentativo di copiare dati da cartelle che non sono autorizzati a visualizzare. L'analisi comportamentale può giocare un ruolo importante nell'identificare gli utenti che agiscono fuori dalla norma. Prima le organizzazioni possono rilevare questo comportamento, più velocemente possono risolvere eventuali problemi.
Stabilire il processo di segnalazione degli incidenti - Le organizzazioni dovrebbero avere una chiara procedura in atto per la segnalazione e la registrazione di tutti gli incidenti di sicurezza. La capacità di segnalazione affronterà l'intera gamma di incidenti che potrebbero verificarsi e stabilirà le risposte appropriate. Questo aiuterà a segnalare qualsiasi comportamento sospetto e a fornire tutte le informazioni necessarie per il reporting normativo.
MetaCompliance è specializzata nella creazione della migliore formazione sulla consapevolezza della Cyber Security disponibile sul mercato. I nostri prodotti affrontano direttamente le sfide specifiche che derivano dalle minacce informatiche e dalla governance aziendale, rendendo più facile per gli utenti impegnarsi nella Cyber Security e nella conformità. Contattateci per ulteriori informazioni su come possiamo aiutarvi a trasformare la formazione sulla Cyber Security all'interno della vostra organizzazione.
