Setembro de 2019 foi declarado Mês Nacional de Sensibilização para as Ameaças Internas pelo US National Counterinteintelligence and Security Center(NSCS) e pela National Insider Threat Task Force(NITTF).
A iniciativa foi especificamente criada para aumentar a sensibilização para os graves riscos colocados pelas ameaças internas, ao mesmo tempo que incentiva os trabalhadores a reconhecerem e comunicarem incidentes de segurança para que possa ocorrer uma intervenção precoce.
É fácil concentrarmo-nos nas ameaças mais prementes da Ciber-Segurança, mas a realidade é que as ameaças internas podem ser igualmente prejudiciais e requerem a mesma vigilância para ajudar a prevenir e detectar.
Estes tipos de ataques são mais comuns do que se poderia pensar e, de acordo com o Relatório de Ameaças Internas da Verizon, 20% dos incidentes de Ciber-Segurança e 15% das violações de dados têm origem em infiltrados dentro de uma organização.
Os ataques também podem ser extremamente dispendiosos, com o incidente a custar em média mais de 8 milhões de dólares às organizações. Temos tendência a pensar que estes ataques são premeditados e sinistros, e muitas vezes são, mas a maioria dos incidentes com ameaças internas resultam de práticas de segurança deficientes por parte dos funcionários.
O que é uma Ameaça Interior?
Uma ameaça interna é um incidente de segurança que tem origem dentro de uma própria organização e não numa fonte externa. Pode ser um actual ou antigo empregado, um empreiteiro, um fornecedor terceiro ou qualquer outro associado comercial que tenha acesso aos dados e sistemas informáticos da organização.
Todas as organizações são vulneráveis, no entanto, certas indústrias como a Indústria Transformadora, a Saúde e as Finanças tendem a ter um perfil de risco mais elevado do que outras. Isto pode ser devido às vastas quantidades de informação valiosa que possuem.
Tipos de Ameaças Internas
Os ataques internos podem ser particularmente perigosos porque, ao contrário dos actores externos que tentam infiltrar-se numa rede, os infiltrados terão tipicamente acesso legítimo aos sistemas informáticos de uma organização. Podem obter acesso a dados sensíveis sem levantar suspeitas e os ataques podem muitas vezes passar despercebidos durante semanas, ou mesmo meses.
Para que as organizações parem com as ameaças internas, precisam de saber sobre os diferentes tipos de ameaças e as motivações por detrás do ataque.
- Insider Malicioso - Este é um funcionário que tirará partido do seu acesso privilegiado para roubar conscientemente dados ou cometer outros actos negativos contra a organização. Outro tipo de informador malicioso é o funcionário descontente. Tentarão deliberadamente encontrar formas de infligir danos à organização se sentirem que foram maltratados. Isto pode ser a edição ou eliminação de grandes quantidades de dados sensíveis ou a interferência com sistemas críticos.
- Comprometido por dentro - Este pode muitas vezes ser um dos tipos mais perigosos de ameaças por dentro, uma vez que os empregados podem nem sequer se aperceber que foram comprometidos. Normalmente, o seu computador será infectado com malware como resultado de um clique num link de phishing ou da abertura de uma ligação maliciosa.
- Insider Negligente - Um empregado que não segue os procedimentos adequados de TI é conhecido como um insider negligente. Quer deixem o seu computador destrancado, quer deixem os dados sensíveis à vista ou deixem uma pessoa autorizada entrar no edifício, estes empregados põem a sua organização em grande risco com práticas de segurança deficientes.
Sinais de advertência
Há frequentemente uma série de sinais de aviso que podem alertar as organizações para uma ameaça interna. Estes incluem:
- Descarregar ou aceder a grandes quantidades de dados sensíveis
- A utilização de dispositivos de armazenamento externo, tais como paus USB
- Acesso a dados não associados à função de trabalho
- Cópia de ficheiros de pastas sensíveis
- Envio de dados sensíveis por e-mail fora da organização
- Personalidade e mudanças de comportamento
- Trabalhar horas invulgares
Exemplos de alto perfil
Infelizmente, não faltam exemplos de organizações que têm sido alvo de incidentes com ameaças internas. Estes ataques de grande visibilidade evidenciaram os danos financeiros e de reputação que podem ser infligidos como resultado de ameaças internas. Alguns dos casos mais notáveis incluem:
Punjab National Bank
Num dos ataques mais dispendiosos, um funcionário do Punjab National Bank utilizou o sistema de comunicação interbancária SWIFT para autorizar a emissão de dinheiro através de Cartas de Compromisso e Cartas de Crédito Estrangeiras. Através destas transacções fraudulentas, o funcionário pôde transferir fundos num total de £1,5 mil milhões.
Morrisons
Em 2017, Morrisons, uma das principais cadeias de supermercados do Reino Unido, foi responsabilizada após um auditor interno insatisfeito ter publicado os detalhes de mais de 100.000 empregados. Isto incluiu dados sensíveis tais como números de seguros nacionais, datas de nascimento e detalhes de contas bancárias. 5.518 empregados levaram Morrisons a tribunal alegando que a fuga os tinha exposto ao risco de roubo de identidade e potencial perda financeira. Morrisons foi considerado responsável e incorreu em custos de até £2 milhões.
Alvo
A violação do Target 2014 ocorreu quando um empregado de terceiros clicou num link de phishing que ajudou os atacantes a entrar na rede de vendedores HVAC e eventualmente na rede do Target. O ataque comprometeu os nomes, endereços, números de telefone, endereços de correio electrónico e dados de cartões de crédito de mais de 70 milhões de pessoas. Neste caso particular, o informador não tinha intenções maliciosas, mas o ataque causou danos significativos à reputação e custou à empresa 300 milhões de dólares.
Como podem as organizações defender-se contra as ameaças internas?
Formação de Sensibilização para a Segurança - A formação é fundamental na educação dos funcionários sobre as políticas de segurança e as ameaças que provavelmente encontrarão no seu papel quotidiano. Isto pode ser tudo, desde um e-mail de phishing até à importância da segurança física no local de trabalho. Pequenos lapsos no julgamento têm o potencial de causar grandes danos a uma organização, pelo que o pessoal precisa de receber formação regular para assegurar que sabe como identificar e responder adequadamente às ameaças em evolução.
Utilizar Autenticação Forte - Se as contas de uma organização puderem ser comprometidas, os infiltrados podem mover-se lateralmente em redes que roubam dados sensíveis. Os funcionários devem evitar partilhar palavras-passe e devem existir fortes processos de autenticação para acesso a aplicações e sistemas sensíveis.
Monitorizar o Comportamento Online do Empregado - As organizações devem monitorizar periodicamente o comportamento dos empregados para detectar qualquer actividade suspeita. Isto pode ser fazer o login em momentos aleatórios, aceder a dados sensíveis ou tentar copiar dados de pastas que não estão autorizados a ver. A análise comportamental pode desempenhar um papel importante na identificação de utilizadores que estejam a agir fora da norma. As organizações anteriores podem detectar este comportamento, quanto mais rapidamente conseguirem resolver quaisquer problemas.
Estabelecer Processo de Notificação de Incidentes - As organizações devem ter um procedimento claro para a notificação e registo de todos os incidentes de segurança. A capacidade de notificação abordará toda a gama de incidentes que possam ocorrer e estabelecerá as respostas adequadas. Isto ajudará a assinalar qualquer comportamento suspeito e fornecerá toda a informação necessária para a notificação regulamentar.
A MetaCompliance é especializada em criar a melhor formação de sensibilização sobre segurança cibernética disponível no mercado. Os nossos produtos abordam directamente os desafios específicos que surgem das ameaças cibernéticas e da governação empresarial, facilitando aos utilizadores o envolvimento em Cyber Security e conformidade. Entre em contacto para mais informações sobre como podemos ajudar a transformar a formação em Cyber Security dentro da sua organização.
