setembro de 2019 foi declarado o Mês Nacional de Sensibilização para as Ameaças Internas pelo Centro Nacional de Contra-Inteligência e Segurança dos EUA(NSCS) e pelo Grupo de Trabalho Nacional para as Ameaças Internas(NITTF).

A iniciativa foi criada especificamente para aumentar a sensibilização para os graves riscos colocados pelas ameaças internas, incentivando simultaneamente os empregados a reconhecerem e a comunicarem incidentes de segurança para que possa haver uma intervenção precoce.

É fácil concentrarmo-nos nas ameaças de cibersegurança mais prementes, mas a realidade é que as ameaças internas podem ser igualmente prejudiciais e exigem a mesma vigilância para ajudar a prevenir e detetar.

Estes tipos de ataques são mais comuns do que pensas e, de acordo com o Verizon Insider Threat Report, 20% dos incidentes de cibersegurança e 15% das violações de dados têm origem em pessoas internas de uma organização.

Os ataques também podem ser extremamente dispendiosos, com um incidente médio que custa às organizações mais de 8 milhões de dólares. Temos tendência a pensar que estes ataques são premeditados e sinistros, e muitas vezes são-no, mas o  a maioria dos incidentes com ameaças internas resulta de más práticas de segurança por parte dos empregados.

O que é uma ameaça interna?

Uma ameaça interna é um incidente de segurança que tem origem na própria organização e não numa fonte externa. Pode ser um empregado atual ou antigo, um empreiteiro, um fornecedor terceiro ou qualquer outro associado comercial que tenha acesso aos dados e sistemas informáticos da organização.

Todas as organizações são vulneráveis, no entanto, certos sectores, como a indústria transformadora, os cuidados de saúde e as finanças, tendem a ter um perfil de risco mais elevado do que outros. Isto pode dever-se às grandes quantidades de informação valiosa que detêm.

Tipos de ameaças internas

Os ataques de iniciados podem ser particularmente perigosos porque, ao contrário dos actores externos que tentam infiltrar-se numa rede, os iniciados têm normalmente acesso legítimo aos sistemas informáticos de uma organização. Podem aceder a dados sensíveis sem levantar suspeitas e os ataques podem muitas vezes passar despercebidos durante semanas, ou mesmo meses.

Para que as organizações consigam travar as ameaças internas, precisam de conhecer os diferentes tipos de ameaças e as motivações por detrás do ataque.

  • Interno malicioso – Trata-se de um funcionário que aproveita o seu acesso privilegiado para roubar conscientemente dados ou cometer outros actos negativos contra a organização. Outro tipo de informador malicioso é o funcionário descontente. Tenta deliberadamente encontrar formas de causar danos à organização se sentir que foi maltratado. Pode ser editando ou apagando grandes quantidades de dados sensíveis ou interferindo em sistemas críticos.
  • Insider comprometido – Este pode ser um dos tipos mais perigosos de ameaças internas, uma vez que os funcionários podem nem sequer se aperceber que foram comprometidos. Normalmente, o seu computador será infetado com  malware como resultado de um clique num ou abrir um anexo malicioso.
  • Interno negligente – Um funcionário que não segue os procedimentos de TI adequados é conhecido como interno negligente. Quer deixem o seu computador desbloqueado, deixem dados sensíveis à vista ou deixem entrar uma pessoa autorizada no edifício, estes funcionários colocam a sua organização em grande risco com práticas de segurança deficientes.

Sinais de alerta

Há frequentemente uma série de sinais de aviso que podem alertar as organizações para uma ameaça interna. Estes incluem:

  • Descarregar ou aceder a grandes quantidades de dados sensíveis
  • A utilização de dispositivos de armazenamento externo, como pen drives USB
  • Aceder a dados não associados à função
  • Copiar ficheiros de pastas sensíveis
  • Enviar por correio eletrónico dados sensíveis para fora da organização
  • Alterações da personalidade e do comportamento
  • Trabalha em horários pouco habituais

Exemplos de alto perfil

Infelizmente, não faltam exemplos de organizações que foram vítimas de incidentes de ameaças internas. Estes ataques de grande visibilidade realçaram os danos financeiros e de reputação que podem ser infligidos como resultado de ameaças internas. Alguns dos casos mais notáveis incluem:

Banco Nacional do Punjab

Num dos ataques internos mais dispendiosos, um funcionário do Punjab National Bank utilizou o sistema de comunicação interbancária SWIFT para autorizar a emissão de dinheiro através de Cartas de Compromisso e Cartas de Crédito Estrangeiras. Através destas transacções fraudulentas, o funcionário conseguiu transferir fundos no valor total de 1,5 mil milhões de libras.

Morrisons

Em 2017, a Morrisons, uma das principais cadeias de supermercados do Reino Unido, foi responsabilizada depois de um auditor interno descontente ter publicado os dados de mais de 100 000 funcionários. Estes dados incluíam dados sensíveis, como números da Segurança Social, datas de nascimento e dados de contas bancárias. 5.518 empregados levaram a Morrisons a tribunal, alegando que a fuga de informação os tinha exposto ao risco de  roubo de identidade e potenciais perdas financeiras. A Morrisons foi considerada responsável e incorreu em custos que podem ascender a 2 milhões de libras.

Alvo

A violação da Target em 2014 ocorreu quando um funcionário terceirizado clicou num link de phishing que ajudou os atacantes a entrar na rede dos fornecedores de HVAC e, eventualmente, na rede da Target. O ataque comprometeu os nomes, moradas, números de telefone, endereços de correio eletrónico e dados de cartões de crédito de mais de 70 milhões de pessoas. Neste caso específico, o informador não tinha intenções maliciosas, mas o ataque causou danos significativos à reputação e custou à empresa 300 milhões de dólares.

Como é que as organizações se podem defender contra as ameaças internas?

Formação de sensibilização para a segurança – A formação é fundamental para educar os funcionários sobre as políticas de segurança e as ameaças que provavelmente encontrarão no seu dia a dia. Pode ser qualquer coisa, desde um e-mail de phishing até à importância da segurança física no local de trabalho. Pequenos lapsos de julgamento têm o potencial de causar grandes danos a uma organização, pelo que o pessoal precisa de receber formação regular para garantir que sabe como identificar e responder adequadamente às ameaças em evolução.

Utiliza uma autenticação forte – Se as contas de uma organização puderem ser comprometidas, os infiltrados podem movimentar-se lateralmente nas redes, roubando dados sensíveis. Os funcionários devem evitar partilhar  e devem existir processos de autenticação fortes para o acesso a aplicações e sistemas sensíveis.

Monitorizar o comportamento online dos empregados – As organizações devem monitorizar periodicamente o comportamento dos empregados para detetar qualquer atividade suspeita. Esta pode ser o início de sessão a horas aleatórias, o acesso a dados sensíveis ou a tentativa de copiar dados de pastas que não estão autorizados a ver. A análise comportamental pode desempenhar um papel importante na identificação de utilizadores que estão a agir fora da norma. Quanto mais cedo as organizações conseguirem detetar este comportamento, mais rapidamente poderão resolver quaisquer problemas.

Estabelecer um processo de notificação de incidentes – As organizações devem ter um procedimento claro para comunicação e registo de todos os incidentes de segurança. A capacidade de comunicação abordará toda a gama de incidentes que possam ocorrer e definirá as respostas adequadas. Isto ajudará a assinalar qualquer comportamento suspeito e fornecerá todas as informações necessárias para os relatórios regulamentares.

A MetaCompliance é especializada na criação da melhor formação de sensibilização para a cibersegurança disponível no mercado. Os nossos produtos abordam diretamente os desafios específicos que surgem das ameaças cibernéticas e da governação empresarial, facilitando o envolvimento dos utilizadores na segurança cibernética e na conformidade.  Entra em contacto connosco para obteres mais informações sobre como podemos ajudar a transformar a formação em cibersegurança na tua organização.