Zespół CERT (Computer Emergency Response Team) na Uniwersytecie Carnegie-Mellon University zdefiniował zagrożenie wewnętrzne jako „obecnego lub byłego pracownika, współpracownika lub kontrahenta, który ma lub miał uprawnienia dostępu do sieci, systemu lub danych organizacji i celowo nadużył tego dostępu, wpływając negatywnie na poufność, integralność lub dostępność informacji albo systemów informatycznych organizacji”. Zagrożenie wewnętrzne stanowili dotychczas pracownicy, ale – jak zauważa CERT — jego zakres poszerzył się obecnie o osoby z zewnątrz pozostające w zmowie, „zaufanych” partnerów i inne osoby. Zmiany te w połączeniu z rozproszonym i bardzo mobilnym charakterem współczesnej pracy oznaczają, że z zagrożeniem wewnętrznym należy się obecnie liczyć bardziej niż kiedykolwiek wcześniej.

Statystyki branżowe potwierdzają istotność problemu. W roku 2009 organizacja e-Crime Watch przeprowadziła ankietę wśród 523 organizacji. Okazało się, że 51% z nich padło ofiarą ataku wewnętrznego, podczas gdy trzy lata wcześniej było ich zaledwie 39%. Przykładem konsekwencji ataku od wewnątrz była sprawa WikiLeaks, która odbiła się szerokim echem pod koniec roku 2010.

Zagrożenie kradzieżą lub wrogimi działaniami od wewnątrz to poważny problem, wobec którego wszystkie organizacje nie mogą pozostać obojętne. W każdej instytucji znajdują się użytkownicy mający dostęp do informacji poufnych, które nie powinny wychodzić poza organizację. Są też użytkownicy uprzywilejowani (administratorzy), którzy często mają pełne uprawnienia do wykonywania praktycznie dowolnych czynności w systemach o znaczeniu strategicznym. Są też wreszcie zwykli użytkownicy, którzy z czasem gromadzą więcej uprawnień, niż im potrzeba do wykonywania aktualnych obowiązków. Wszystkie te czynniki znacząco zwiększają ryzyko zagrożeń od wewnątrz oraz naruszenia prywatności.

Wzrost zagrożenia wewnętrznego wiąże się z kilkoma trendami w skali makro:

  • Niskie koszty przechowywania danych. Ciągły spadek kosztów przechowywania danych oznacza, że firmom często bardziej opłaca się przechowywać i archiwizować wszystkie dane, niż poświęcać czas na ich porządkowanie i usuwanie zbędnych informacji.
  • Bardziej wyrafinowane ataki. Ataków od wewnątrz — co nie jest szczególnym zaskoczeniem — dopuszczają się często osoby zaawansowane technicznie. Skoro potrafią przeprowadzić atak, to prawdopodobnie potrafią też ukryć kradzież informacji, na przykład modyfikując lub usuwając pliki dzienników.
  • Bardzo rozproszony personel. Pracownicy działają obecnie w dużo większym rozproszeniu i uzyskują dostęp do danych oraz aplikacji różnymi kanałami (Wi-Fi, Ethernet, 3G) z wielu platform (PC, smartfony, tablety, terminale internetowe). Organizacje muszą oferować różne metody dostępu, aby umożliwić pracownikom efektywną pracę, ale każdy nowy kanał dostępu i platforma wprowadza nowe zagrożenia. Biorąc także pod uwagę takie czynniki, jak usługi chmurowe i outsourcing, trzeba stwierdzić, że dane w dzisiejszych czasach znajduję się niemal wszędzie.
  • Brak świadomości użytkowników. Wielu pracowników po prostu nie zna firmowych zasad korzystania z informacji oraz odpowiedniego sposobu ich używania, udostępniania i dystrybucji. Może to prowadzić do rozsyłania poufnych dokumentów w wiadomościach e-mail do szerokiego grona odbiorców. W takich sytuacjach nie mamy do czynienia z osobami rozmyślnie szkodzącymi organizacji, ale konsekwencje ich działań mogą być równie dotkliwe.

Ochrona przed atakami z zewnątrz jest nadal nieodzownym elementem ochrony przed atakami od wewnątrz. Użytkownik z odpowiednimi uprawnieniami może na przykład pozostawić tzw. tylne drzwi lub otwarte porty w systemie, aby późnej uzyskać do niego zdalny dostęp i wykraść dane. Organizacje muszą uzupełnić środki ochrony zewnętrznej o skuteczne rozwiązania skierowane do wewnątrz. Najlepszym rozwiązaniem do wykrywania zagrożeń wewnętrznych jest zarządzanie tożsamością i dostępem (ang. identity and access management, IAM) połączone z ochroną informacji. W firmie CA Technologies połączenie takie nosi nazwę CA Content-Aware IAM.

CA Content-Aware IAM to skalowalne rozwiązanie do zarządzania tożsamością i dostępem użytkowników oraz wykorzystaniem informacji. Chroni ono zasoby informatyczne o znaczeniu krytycznym — od internetowych po mainframe, w tym środowiska zwirtualizowane i chmurowe. Umożliwia ono także automatyzację zabezpieczeń i kontroli zgodności z zasadami i przepisami, dzięki czemu zwiększa ich skuteczność i upraszcza audyty.

źródło: CA Technologies

Kan