Prevenir as violações de dados: Estratégias para atenuar as ameaças internas

As ameaças internas são insidiosas e notoriamente difíceis de detetar e prevenir. Uma das razões para isso é que estás a lidar com colegas e não com “hackers de capuz”. Mas as ameaças internas nem sempre são maliciosas; as ameaças internas acidentais são uma ameaça à segurança dos dados tanto quanto os funcionários maliciosos que pretendem causar danos.

Os consultores de risco, Kroll, produzem relatórios regulares sobre o estado da segurança: por exemplo, o relatório Threat Landscape do terceiro trimestre de 2022 da Kroll registou um pico de ameaças internas ao mais alto nível; o relatório concluiu que quase 35% de todos os incidentes de acesso não autorizado tinham ameaças internas no centro.

As ameaças internas são controláveis, mas requerem um espetro de estratégias de gestão; eis alguns exemplos de ameaças internas com cinco estratégias que podes utilizar para as mitigar.

Tal como referido, as ameaças internas nem sempre resultam de ataques de segurança maliciosos; os acidentes e a negligência desempenham um papel significativo nos incidentes de segurança. Além disso, as pessoas por trás das ameaças internas também variam e incluem funcionários, fornecedores, consultores e freelancers.

Eis alguns exemplos do tipo de ameaças internas que causam danos às empresas:

Exemplos de ameaças internas

Empregados descontentes

As pessoas que abandonam uma organização só por vezes o fazem de forma feliz. Os funcionários com problemas com a empresa podem causar danos expondo dados ou roubando informações proprietárias e confidenciais. Um relatório recente da Unit 42 research concluiu que 75% dos incidentes de segurança com que lidaram podem ser atribuídos a funcionários descontentes. No entanto, nem todos os relatos concordam. Muitos estudos concluem que os insiders acidentais ou negligentes são igualmente perigosos.

Negligência e acidentes

Ter consciência da segurança é algo que deve ser incutido como uma resposta de segunda natureza. Por exemplo, um funcionário negligente pode enviar um e-mail com dados confidenciais para a pessoa errada ou deixar documentos confidenciais numa impressora. Os dispositivos de trabalho não encriptados são outra área que pode deixar os dados em risco. Se um funcionário viaja regularmente, o risco de deixar um telemóvel ou portátil num comboio ou num aeroporto aumenta. Se esse dispositivo cair nas mãos erradas, todos os dados e o acesso a aplicações empresariais estão em risco.

Insiders maliciosos

Os funcionários descontentes são uma forma de funcionário que aproveita a saída de uma empresa para cometer um ato prejudicial. No entanto, alguns funcionários são propositadamente maliciosos, procurando oportunidades para roubar dados e vender segredos empresariais. Recrutar pessoas internas para realizar actividades maliciosas não é novidade; a espionagem industrial é tão antiga como a indústria.

No entanto, o recrutamento moderno de empregados pelos cibercriminosos é agora digital. Os cibercriminosos tentam muitas vezes contactar um funcionário específico, como os que têm acesso privilegiado à rede, ou utilizam ferramentas como as redes sociais ou os fóruns em linha (incluindo a “dark web”) para se ligarem a pessoas com informação privilegiada; ao potencial recruta são oferecidas grandes somas de dinheiro para o ajudar a instalar ransomware ou a roubar dados.

A solução alternativa para o insider

Algumas pessoas consideram as práticas de segurança inconvenientes para si próprias. Se assim for, é provável que desrespeitem as políticas de segurança e encontrem soluções que lhes permitam continuar a praticar maus comportamentos de segurança. O resultado é o mesmo: dados expostos ou credenciais de acesso mal utilizadas, muitas vezes partilhadas com colegas de trabalho por conveniência. Um estudo de 2022 mostrou que 62% dos empregados partilhavam palavras-passe por texto ou correio eletrónico.

Insiders da cadeia de fornecimento

As cadeias de fornecimento, os fornecedores, os consultores e outros podem estar fora da folha de pagamentos. No entanto, continuam a ser uma ameaça interna, uma vez que têm frequentemente acesso a aplicações empresariais e a informações sensíveis: os ataques de spear phishing visam frequentemente o pessoal da cadeia de abastecimento por esta mesma razão. Além disso, muitos ciberataques infames foram atribuídos a um fornecedor. Um exemplo é o ataque à cadeia de abastecimento da General Electric (GE); em 2020, os cibercriminosos obtiveram acesso não autorizado a uma conta de correio eletrónico de uma empresa parceira da GE; a conta expôs informações sensíveis sobre os funcionários da GE.

Cinco estratégias para atenuar as ameaças internas

Qualquer que seja a origem de uma ameaça interna, existem formas de a evitar:

Cria uma cultura em que a segurança é importante

Uma cultura de segurança é aquela em que a segurança se torna uma parte profundamente enraizada da vida profissional. Se conseguir criar uma cultura de segurança, minimizará os riscos associados a infiltrados acidentais ou negligentes. Uma cultura de segurança altera os maus comportamentos em matéria de segurança, dando aos empregados os conhecimentos necessários para lidar com os riscos de segurança, em vez de dependerem apenas da sua equipa de segurança. Em vez de atribuir culpas, uma cultura de segurança eficaz capacita e habilita os funcionários e pode até ajudá-los a identificar e lidar com funcionários mal-intencionados.

Cria confiança com a tua base de empregados e não empregados

Mudar o comportamento de segurança das pessoas que não podem ser incomodadas com a segurança porque a vêem interferir com o seu trabalho é um desafio. Para ajudar a mitigar os riscos das soluções alternativas de segurança, uma organização deve trabalhar para criar uma relação de trabalho de confiança com os funcionários, fornecedores e outros. Por exemplo, a formação de sensibilização para a segurança deve ser concebida de modo a criar relações que se coadunem com o formando, utilizando conteúdos que se centrem em funções e riscos específicos. Além disso, o fornecimento de ferramentas de segurança bem concebidas, baseadas numa excelente experiência do utilizador e simples de utilizar, ajudará a impedir que os funcionários e outras pessoas procurem soluções alternativas.

Realiza regularmente formações de sensibilização para a segurança

As pessoas tendem a esquecer a formação, a menos que esta seja efectuada regularmente. Um estudo da USENIX sobre o impacto da formação regular na eficácia da formação de sensibilização para a segurança revelou que a formação inicial dos funcionários durou cerca de quatro meses; após seis meses, os funcionários não conseguiam detetar e-mails de phishing. A formação em segurança da informação pode muitas vezes ajudar a detetar ameaças internas antes de estas causarem danos reais.

Dispõe de um processo sólido para a saída de trabalhadores

Os funcionários mal-intencionados, incluindo os que abandonam a organização, são difíceis de gerir. Uma das formas mais eficazes de incluir estes funcionários nas suas estratégias para mitigar as ameaças internas é ter processos robustos que garantam que os funcionários que saem têm o acesso às suas contas prontamente removido.

Ferramentas para mitigação de funcionários mal-intencionados

Os funcionários mal-intencionados encobrem ativamente os seus rastos, o que pode ser difícil de detetar. Utiliza ferramentas e processos que implementam uma abordagem de segurança de “confiança zero”; estes processos utilizam o princípio do menor privilégio para controlar o acesso a dados sensíveis e à rede empresarial. As ferramentas de segurança, como as soluções de prevenção de perda de dados (DLP), podem ajudar a mitigar as ameaças internas maliciosas e acidentais.

Lembra-te da tua cadeia de abastecimento mais alargada

Lembra-te dos teus fornecedores, contratantes e outros terceiros quando realizares formação de sensibilização para a segurança e implementares ferramentas de segurança de confiança zero. Certifica-te de que a tua base de utilizadores mais ampla compreende o seu papel na segurança e privacidade; aplica formação de segurança baseada em funções e simulações de phishing que ensinam os fornecedores e consultores a detetar spear phishing e engenharia social dirigida aos seus empregados.

A atenuação das ameaças internas é um desafio, uma vez que as ameaças assumem muitas formas, desde acidentais a maliciosas; a deteção e prevenção deste espetro de ataques requer uma combinação de medidas humanas e tecnológicas. Estas soluções incluem formação de sensibilização para a segurança centrada no ser humano, simulações de phishing baseadas em funções, processos de segurança robustos e soluções de segurança como a confiança zero. No entanto, quando utilizada como uma abordagem de 360 graus à ameaça interna, esta combinação de medidas centradas no ser humano e na tecnologia é uma forma poderosa de mitigar estas ameaças insidiosas.