Rischio insider: i dipendenti sono la tua più grande minaccia informatica (e potrebbero anche non saperlo)

188

Non sei riuscito a partecipare a Transform 2022? Dai un’occhiata a tutte le sessioni del vertice nella nostra libreria on-demand ora! Guarda qui.

La forza lavoro odierna è dipendente dai dati e ampiamente distribuita. L’uso della tecnologia di collaborazione cloud è tentacolare. I dati sono altamente portabili, gli utenti sono spesso remoti e fuori dalla rete e la tecnologia di condivisione dei file è molto diffusa. Non c’è da stupirsi, quindi, che il rischio insider sia più preoccupante che mai.

“Il rischio interno è una delle minacce in più rapida crescita che le aziende devono affrontare oggi”, ha affermato Michelle Killian, direttore senior della sicurezza delle informazioni presso Code42, un fornitore di software-as-a-service (SaaS) specializzato nella gestione del rischio interno.

Le minacce interne spesso non sono dannose – in effetti, per una parte significativa del tempo, sono involontarie e semplicemente il risultato della natura umana – ma anche così, come ha sottolineato Killian, “gli addetti ai lavori possono esporre, divulgare o rubare dati in qualsiasi momento .”

Che cos’è il rischio interno?

In poche parole, un insider è chiunque abbia accesso ai dati o ai sistemi di un’organizzazione: dipendenti, appaltatori, partner, fornitori.

Il rischio insider si verifica quando i dati aziendali sensibili – IP, risorse digitali, elenchi di clienti, segreti commerciali e altri “gioielli della corona” dell’azienda – vengono spostati in luoghi non attendibili, come dispositivi personali, e-mail o destinazioni cloud.

“Tale movimento di dati presenta un notevole rischio competitivo, finanziario, per la privacy e per la conformità”, ha affermato Killian.

Secondo Joseph Blankenship, vicepresidente, direttore della ricerca per la sicurezza e il rischio presso Forrester, i rischi interni sono generalmente composti da:

  • Attori “accidentali”: Insider che causano danni a causa di incuria, errori o aggirando in modo non dannoso le politiche di sicurezza. Un sondaggio Forrester del 2021 ha indicato che il 33% delle violazioni dei dati attribuite a insider sono state accidentali o involontarie, secondo Blankenship.
  • Account compromessi: Attori esterni che ottengono l’accesso ad account utente e credenziali legittimi e li utilizzano per rubare dati o danneggiare i sistemi.
  • Insider dannosi: Coloro che intenzionalmente rubano dati, commettono frodi o sabotare beni. “Queste sono le persone a cui normalmente pensiamo quando sentiamo il termine ‘minaccia interna’”, ha affermato Blankenship. Ha indicato un sondaggio Forrester del 2021 che ha rilevato che il 35% delle violazioni dei dati attribuite a insider erano dovute a intenzioni o abusi dannosi.

Blankenship ha anche notato casi in cui i “muli” ransomware portano ransomware simile a malware nei sistemi aziendali per aggirare i controlli esterni. Un’altra tendenza è il reclutamento di addetti ai lavori da parte di attori esterni. Ciò può avvenire attraverso la partecipazione volontaria o il risultato di ingegneria sociale, corruzione o ricatto.

In definitiva, “gli addetti ai lavori hanno una conoscenza dei sistemi e dei dati che gli attori esterni non hanno”, ha affermato Blankenship. “Potrebbero anche essere a conoscenza delle misure di sicurezza che le organizzazioni hanno messo in atto per proteggere i dati o monitorare le attività e possono tentare di aggirarle”.

Inoltre, e forse in modo più dannoso, sono affidabili. “Dobbiamo fidarci in una certa misura degli utenti in modo che possano svolgere il loro lavoro senza creare loro troppi attriti”, ha sottolineato. Tuttavia, “le minacce interne si verificano quando si abusa di questa fiducia”.

Punti ciechi di sicurezza

I diritti e la proprietà dei dati possono essere acque torbide. Le aziende a volte non sono chiare, o almeno non applicano le policy sui dati. Quindi, quando un dipendente si licenzia o se ne va, spesso porta con sé dei file, ha affermato Killian.

Secondo la ricerca di Code42, circa due terzi dei dipendenti che hanno portato i dati a una nuova azienda lo hanno già fatto: il 60% ha ammesso di aver preso i dati dall’ultimo lavoro per aiutare nei loro ruoli attuali. Inoltre, il 71% delle organizzazioni ha affermato di non essere a conoscenza della quantità di dati sensibili acquisiti dai dipendenti in partenza.

Un altro “punto cieco impegnativo per la sicurezza dei dati” sono le soluzioni alternative dei dipendenti.

Può essere ripetitivo dover inserire ripetutamente le credenziali e i controlli di sicurezza sono spesso visti come scomodi o addirittura un ostacolo alla produttività, ha affermato Killian. Per aggirare questo problema, a volte i dipendenti salvano i file su un’unità cloud personale o li inviano a account di posta elettronica personali, lasciando così i file aperti al compromesso.

“Il più delle volte, i dipendenti cercano solo di portare a termine il proprio lavoro”, ha affermato Killian, “ma commettono errori o prendono scorciatoie per muoversi più rapidamente di quanto consentito dalle politiche aziendali”.

Inoltre, esiste una significativa sovrapposizione tra strumenti personali basati su cloud e strumenti di collaborazione aziendale, ad esempio Google Drive, creando così un “terreno di coltura per fughe e furti di dati privilegiati”, ha affermato Killian.

Spesso le organizzazioni si affidano a metodi basati sul dominio per identificare se il codice sorgente oi segreti commerciali vengono caricati in aree non autorizzate. Ma la mancanza di sottodomini univoci per ambienti aziendali e personali rende difficile distinguere se i dati sono a rischio, ha affermato.

Poi c’è pura negligenza o negligenza; errori innocenti, se vuoi. Secondo il Risk Report di Aberdeen, il 78% degli eventi di esfiltrazione dei dati è stato causato da comportamenti non dannosi o non intenzionali.

Killian ha indicato un esempio di un CFO che ha accidentalmente condiviso un documento intitolato “Ristrutturazione” con l’intera azienda. Chiaramente, non è intenzionale, ma pensa ai rischi: disordini dei dipendenti, potenziali preoccupazioni degli investitori e violazione della conformità.

Sei un’organizzazione? Hai già insider rischiosi

Le organizzazioni di tutte le dimensioni devono rendersi conto che, e in questo momento, corrono rischi interni in una misura o nell’altra, ha affermato Blankenship. Ma poiché questi insider sono “notoriamente difficili da rilevare”, le organizzazioni devono cercare attivamente di contrastarli e idealmente interromperli dall’inizio.

Questo processo, ha affermato, dovrebbe comportare:

  • Attuare politiche e processi forti.
  • Comunicazione attiva e formazione dei dipendenti.
  • Costruire team e coalizioni di stakeholder.
  • Implementazione di tecnologie di monitoraggio e rilevamento.

Killian identifica anche tre componenti fondamentali per la mitigazione:

  • Adozione di una cultura trasparente e incentrata sulla sicurezza.
  • Fornire un’adeguata formazione in materia di sicurezza e sensibilizzazione.
  • Implementazione di una tecnologia che fornisce visibilità sul movimento dei dati.

Come ha spiegato, i potenziali indicatori di comportamento rischioso potrebbero includere movimenti di file effettuati fuori orario o estensioni di file alterate. Le organizzazioni dovrebbero anche prendere in considerazione i dipendenti che hanno accesso a file di progetti altamente riservati o quei dipendenti che presto lasceranno l’azienda.

“Senza la tecnologia che fornisce la giusta visibilità, è quasi impossibile per la sicurezza concentrare le protezioni appropriate e mitigare il rischio complessivo di esposizione dei dati”, ha affermato Killian.

Gli strumenti IRM (Insider Risk Management) e ITM (Insider Threat Management) possono monitorare, filtrare e assegnare priorità agli eventi di rischio e rilevare quando i file si spostano in posizioni non aziendali, inclusi dispositivi personali, cloud storage e altre reti. Questi sono spesso integrati con il software di gestione dell’identità e dell’accesso (IAM) che estrae i dati interni.

Code42 è una delle numerose aziende specializzate in strumenti IRM; altre piattaforme includono Proofpoint, InterGuard, Ekran System e Forcepoint.

Sicurezza senza ostacolare la collaborazione

Tuttavia, le tecnologie dovrebbero identificare i movimenti di file rischiosi senza inibire la cultura collaborativa di un’organizzazione e la produttività dei dipendenti, ha affermato Killian. Il modo migliore per affrontare questo problema è avvolgere un livello di sicurezza attorno agli strumenti di collaborazione in modo che i dipendenti possano ancora lavorare in modo efficiente, ha affermato. Ciò è particolarmente importante con la forza lavoro remota.

“Ora è il momento di adottare misure per proteggere i dati in un modo che consenta ai dipendenti di continuare a lavorare, ovunque si trovi, senza interruzioni”, ha affermato Killian.

E se – o, più probabilmente, quando – viene identificato un insider rischioso?

“Gli analisti della sicurezza dovrebbero garantire che le interazioni esercitino tatto, empatia e cautela”, ha affermato Killian. “Non tratteresti un collega nello stesso modo in cui tratteresti un aggressore esterno.”

Altrettanto fondamentale: la formazione dei dipendenti, durante l’onboarding, reiterata durante l’assunzione e sottolineata durante l’offboarding. Secondo Code42, più della metà (55%) delle aziende teme che le pratiche di sicurezza informatica dei dipendenti siano permissive nei nuovi ambienti di lavoro ibridi-remoti.

“Per mettere i dipendenti in una posizione migliore, i nostri attuali modelli di formazione necessitano di una revisione”, ha affermato Killian. “La formazione dovrebbe essere attuabile, iper-mirata e di dimensioni ridotte per fornire lezioni di risposta adeguate agli utenti finali che mostrano attività dell’utente accidentale o negligente”.

Ma mitigare il rischio interno richiede anche la dovuta diligenza da parte dei dipendenti.

“Sebbene le aziende possano sicuramente fare un lavoro migliore educando la propria forza lavoro su ciò che è considerato IP e su ciò che è consentito mantenere”, ha affermato Killian, “è importante che i dipendenti comprendano le regole e le indicazioni fornite, o rischino le ripercussioni”.

Un problema crescente

Come ha descritto Killian, il passaggio al lavoro a distanza ha creato “la tempesta perfetta” per i rischi e le minacce interne. Il lavoro remoto e ibrido riduce notevolmente la visibilità della sicurezza e la tecnologia di condivisione dei file rende più facile che mai il trasferimento di informazioni sensibili.

Un’indagine del 2022 sul costo delle minacce interne del Ponemon Institute ha rilevato che gli incidenti di sicurezza informatica guidati dagli insider sono aumentati del 44% negli ultimi due anni. L’Istituto ha anche scoperto che i costi medi annuali degli incidenti noti guidati da insider sono aumentati di oltre un terzo a 15,38 milioni di dollari.

Secondo Code42, dall’inizio della pandemia, il 61% dei leader della sicurezza IT ha identificato la propria forza lavoro remota come la causa di una violazione dei dati.

I motivi citati per questo includono:

  • Reti meno sicure (71%).
  • Dipendenti che non seguono i protocolli di sicurezza così da vicino come in ufficio (62%).
  • I dipendenti sono più propensi a utilizzare un dispositivo personale (55%).
  • Dipendenti che credono che le organizzazioni non stiano monitorando i movimenti dei file (51%).

Inoltre, “mentre entriamo in un periodo di incertezza economica e potenziali licenziamenti, il rischio di insider aumenterà”, ha affermato Blankenship. “La paura del licenziamento e il disagio economico sono due potenti motivatori per la minaccia interna”.

Ma un aspetto positivo, se ce n’è uno, è una maggiore consapevolezza per le organizzazioni.

“Il rischio insider è sempre esistito”, ha affermato Blankenship. Tuttavia, “la consapevolezza del vettore delle minacce è aumentata, gli strumenti per trovare le minacce interne sono migliorati e le organizzazioni stanno concentrando gli sforzi sul rilevamento e l’arresto delle minacce interne”.

La missione di VentureBeat deve essere una piazza cittadina digitale per i decisori tecnici per acquisire conoscenze sulla tecnologia aziendale trasformativa e le transazioni. Saperne di più sull’appartenenza.