Sieć IT: zagrożeniem pracownicy czy hakerzy?

Przeczytaj także: Hakerzy omijają polskie firmy?

Dawn Cappeli, członek Zespołu ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego (ang. CERT) uczelni Carnegie Mellon University, wyjaśniła ostatnio, w jaki sposób jej organizacja musiała przeformułować swoją definicję „osoby z wewnątrz”, aby nadążyć za praktyką działalności biznesowej.

„Nasza definicja wrogiej osoby z wewnątrz organizacji obejmuje obecnego lub byłego pracownika, zleceniobiorcę lub partnera biznesowego” – wyjaśnia Cappeli.

CERT, jedna z głównych amerykańskich organizacji zajmujących się bezpieczeństwem teleinformatycznym, wspiera ideę głoszącą, iż to na zagrożeniach wewnętrznych powinny skupić swoją uwagę firmy w zakresie bezpieczeństwa informacji. Organizacja poświęciła temu zagadnieniu sekcję swojej strony internetowej o nazwie „Badania nt. zagrożeń wewnętrznych”.

Z przygotowanego przez CERT raportu „Pełny obraz sabotażu informatycznego dokonywanego przez osoby z wewnątrz” (“Big Picture” of Insider IT Sabotage) wynika, że to osoby z wewnątrz organizacji stanowią największe zagrożenie dla jej bezpieczeństwa informatycznego. Posiadając legalny dostęp do informacji, systemów i sieci firmy, stanowią istotne zagrożenie dla pracodawców. Pracownicy przeżywający problemy finansowe uznali, że z łatwością mogą użyć systemów wykorzystywanych na co dzień w pracy, by dopuścić się kradzieży lub oszustwa.
Firma telekomunikacyjna Verizon uważa z kolei, że to na zagrożeniach zewnętrznych firmy powinny się skupiać. W raporcie z dochodzeń w sprawie naruszenia danych biznesowych z 2009 roku, Verizon ujawnia, że 74% przypadków naruszenia danych pochodziło z zewnątrz, podczas gdy 32 procent było powiązanych z partnerami biznesowymi. W raporcie stwierdzono, że jedynie 20 procent było spowodowanych przez osoby z wewnątrz firmy.

W swym raporcie firma Verizon przyznaje co prawda, że wiele przypadków naruszenia bezpieczeństwa wewnętrznego nie jest zgłaszanych. Firmy chcą zwykle uniknąć negatywnego rozgłosu, który mógłby być skutkiem ujawnienia takiego incydentu. Mimo to, specjaliści z Verizon nie mają wątpliwości, że nawet przy mniejszej liczbie zgłaszanych incydentów wewnętrznych, badania przeprowadzone na przestrzeni kilku lat wspierają argument firmy mówiący, że ataki zewnętrzne są nadal większym zagrożeniem. Wyniki z ponad 600 incydentów na przestrzeni pięciu lat są silnym argumentem przeciwko od dawna utrzymywanemu i głęboko zakorzenionemu przekonaniu, że za większością naruszeń stoją osoby z wewnątrz.

Ale podczas gdy niektórzy specjaliści do spraw bezpieczeństwa skupiają się na odróżnieniu zagrożeń zewnętrznych od wewnętrznych, inni eksperci uważają, że nadmierna koncentracja na pochodzeniu ataku jest stratą czasu.

„Cała debata na temat źródeł zagrożeń – czy większe niebezpieczeństwo niosą ze sobą zagrożenia wewnętrzne czy też zewnętrzne - zawsze miała przede wszystkim charakter semantyczny” – stwierdził na swoim blogu guru bezpieczeństwa, Bruce Schneier. „Pod względem liczby ataków, o wiele częściej sprawcami są ludzie z zewnątrz zwyczajnie dlatego, że atakujących z zewnątrz jest po prostu więcej. Jeśli policzyć incydenty, to 75 procent ataków ma swoje źródła na zewnątrz organizacji, a jedynie 18 procent pochodzi z jej struktur. Ale jeśli policzyć szkody, przewagę mają zwykle osoby z wewnątrz – głównie dlatego, że dysponują o wiele bardziej szczegółowymi informacjami i mogą lepiej wybrać swój cel”.

Bruce Schneier uważa, że firmy lepiej wyszłyby na przyjęciu bardziej całościowego spojrzenia na kwestię bezpieczeństwa informatycznego i na myśleniu w kategoriach strzeżenia danych i systemów przed atakami niezależnie od ich pochodzenia.

„Zarówno osoby z wewnątrz i z zewnątrz stanowią ryzyko pod kątem bezpieczeństwa, a więc trzeba bronić się przed obiema kategoriami. Próba ich klasyfikacji wcale nie jest tak przydatna” – stwierdza Schneier.

Wydaje się, że chociaż niebezpieczeństwo ze strony cyberprzestępców w ciągu ostatnich lat stale rośnie, coraz bardziej rozdrobniona struktura wielu firm również generuje dodatkowe zagrożenia. Personel, partnerzy, a nawet klienci mogą stanowić potencjalne zagrożenie dla bezpieczeństwa informatycznego firmy. Przedsiębiorstwa skorzystałyby na rozważeniu różnych polityk bezpieczeństwa stosowanych wobec każdej z grup (cyberprzestępców i osób z wewnątrz). Najlepszym rozwiązaniem byłoby wdrożenie solidnej i elastycznej strategii w zakresie bezpieczeństwa, tak, aby nadążyć za szybko zmieniającym się charakterem zagrożeń bezpieczeństwa informatycznego.