Над 60% от кражбите на вътрешна информация е дело на служители, които планират да напуснат работа. Това показва проучване на Securonix, озаглавено „Insider Threat Report”. То обхваща „стотици инциденти, за да изведе шаблони за засичане на потенциални инциденти с киберсигурността.“
Един от основните изводи в проучването е, че планиращите напускане служители променят своето поведение на работното си място доста преди самото напускане, Обикновено това става между 2 до 8 седмици по-рано. Част от тази промяна е подготовката за неоторизираното изнасяне на вътрешна информация – или insider attack (атака от вътрешен човек, буквално преведено).
Защо се краде информация?
Както подсказва името, този тип атаки са дело на хора с права и привилегии в дадената организация, имащи достъп до огромно количество информация. А данните могат да бъдат използвани по много начини:
- Да бъдат продадени на трети лица с цел финансова облага
- За пробив в сигурността на компанията
- За изнудване
- За професионална облага
Според Securonix, изтичането на информация от организациите продължава да бъде най-разпространения вид кибератака. Според нас – може би това е така, защото е доста улеснено, както за служителите, така и от страна на работодателите, които отказват да вземат мерки срещу подобни действия.
Очевадни инструменти
Най-често използваните инструменти при подобни действия са и най-често използваните в ежедневието на огромна част от интернет потребителите: разпращане на данни от служебни в лични имейли, ъплоудване в cloud услуги като Dropbox, Google Drive и др., чрез копиране на USB флашки.
Един от примерите в доклада: служител на голяма компания копира конфиденциална информация за клиентите на текущия си работодател, за да я продаде на друга компания.
Според Securonix, източването на вътрешна информация се среща най-често в секторите фармация, финанси и IT. Техните проблеми произтичат главно от невъзможността коректно да бъде определена коя информация е конфиденциална и коя чувствителна при назначаването на привилегии за достъп на служители.
Препоръките на Securonix са все повече да се използват алгоритми, които изучават поведението на служителите, като при наличие на аномалии те да бъдат адресирани и разгледани в детайли. Това би могло да включва дори и измерване на обема трансферирани данни от потребителя ежемесечно, наблюдавайки за извършени нередности.
Според тях традиционните методи за следене на изтичане на информация като Data Loss Prevention (DLP) и Privilege Access Management (PAM) не са достатъчни, тъй като те не биха могли да засекат злонамерено поведение във все по-търсените облачни услуги днес. Но са едно добро начало.