Kto stanowi większe zagrożenie: pracownicy czy cyberprzestępcy?

Powszechnie uważa siÄ™, że pracownicy stanowiÄ… wiÄ™ksze zagrożenie dla bezpieczeÅ„stwa informatycznego firmy niż zewnÄ™trzni hakerzy. Czy biorÄ…c pod uwagÄ™ rosnÄ…ce wyrafinowanie cyberprzestÄ™pców to przekonanie jest nadal aktualne?

Czy wiesz, że...?

• Jeszcze dziesięć lat temu twórcami wirusów i innych form zÅ‚oÅ›liwego oprogramowania byli gÅ‚ównie mÅ‚odzi, spragnieni sÅ‚awy programiÅ›ci-amatorzy
• Badania przeprowadzone przez firmÄ™ Verizon sugerujÄ…, że 74% przypadków naruszenia danych dokonywanych jest z zewnÄ…trz
• Liczby przytaczane przez Åšwiatowe Forum Gospodarcze wskazujÄ… na to, iż Å‚Ä…czna wartość samych kradzieży internetowych w 2009 r. wyniosÅ‚a okoÅ‚o 1 biliona dolarów

WedÅ‚ug obiegowej opinii wiÄ™kszym zagrożeniem dla sieci IT w wiÄ™kszoÅ›ci firm sÄ… raczej niezadowoleni pracownicy, niż tajemniczy cyberprzestÄ™pcy. To przecież pracownicy majÄ… dostÄ™p do haseÅ‚, a nierzadko - w przypadku dziaÅ‚ów IT - posiadajÄ… także uprawnienia administratora. Co wiÄ™cej, zwykle wiedzÄ…, jakich informacji szukajÄ…, gdzie mogÄ… je znaleźć i jaka może być ich wartość dla konkurencji.

Koncepcja tzw. zagrożenia wewnÄ™trznego nadal utrzymuje siÄ™ w Å›rodowisku zwiÄ…zanym z bezpieczeÅ„stwem informatycznym i wydaje siÄ™ częściowo oparta na badaniu przeprowadzonym przez FBI na poczÄ…tku lat dziewięćdziesiÄ…tych. Dowodzono w nim, że sprawcami 80 procent cyberataków byÅ‚y osoby z wewnÄ…trz firmy. Jednakże wiele siÄ™ zmieniÅ‚o na przestrzeni ostatnich dwudziestu lat. Podczas gdy kiedyÅ› hakerami i autorami wirusów byÅ‚a czÄ™sto „trudna” mÅ‚odzież, obecnie cyberprzestÄ™pczość rozwinęła siÄ™ na tyle, aby przerodzić siÄ™ w przynoszÄ…cy profity biznes. Liczby przytaczane przez Åšwiatowe Forum Gospodarcze wskazujÄ… na to, iż Å‚Ä…czna wartość samych kradzieży internetowych w 2009 r. wyniosÅ‚a okoÅ‚o 1 biliona dolarów.

To swoiste „uprzemysÅ‚owienie” cyberprzestÄ™pczoÅ›ci może wpÅ‚ynąć na postrzeganie tego, czy ochrona przed zagrożeniami, których źródÅ‚em sÄ… pracownicy, nadal powinna być traktowana, jako gÅ‚ówny priorytet w zakresie bezpieczeÅ„stwa informatycznego firmy. W dzisiejszych czasach zorganizowane gangi zdajÄ… siÄ™ być bardziej naglÄ…cym zagrożeniem niż nieprzewidywalny lub niezadowolony pracownik. Przygotowany przez AVG Technologies raport pt. „Dlaczego tradycyjne rozwiÄ…zania ochrony przed zÅ‚oÅ›liwym oprogramowaniem już nie wystarczajÄ…”(Why Traditional Anti-Malware Solutions Are No Longer Enough) wyjaÅ›nia, dlaczego firmy powinny ponownie rozważyć kwestiÄ™ alokowania Å›rodków przeznaczonych na bezpieczeÅ„stwo.

Od mÅ‚odych gniewnych po zorganizowane cybergangi – ewolucja zagrożeÅ„
Raport autorstwa AVG Technologies ujawnia, że jeszcze dziesięć lat temu twórcami wirusów i innych form zÅ‚oÅ›liwego oprogramowania byli gÅ‚ównie mÅ‚odzi, spragnieni uwagi programiÅ›ci-amatorzy (tzw. script kiddies), szukajÄ…cy rozgÅ‚osu w podziemnych spoÅ‚ecznoÅ›ciach hakerskich. Raport informuje także o tym, że krajobraz bezpieczeÅ„stwa w ciÄ…gu ostatnich lat wyraźnie siÄ™ zmieniÅ‚. Zorganizowane gangi przestÄ™pców zdaÅ‚y sobie sprawÄ™ z tego, że można zarobić na zÅ‚oÅ›liwym oprogramowaniu i wynajęły wykwalifikowanych programistów do tworzenia zÅ‚oÅ›liwego kodu. Programy te nie majÄ… na celu powodowania zakÅ‚óceÅ„ w pracy systemów informatycznych, lecz umożliwienie kradzieży pieniÄ™dzy lub danych. DoprowadziÅ‚o to do wyksztaÅ‚cenia siÄ™ podziemnej gospodarki, w ramach której przestÄ™pcy mogÄ… kupować i sprzedawać zarówno dane, jak i programy wykorzystywane do kradzieży informacji.

Zagrożenia wewnÄ™trzne czy zewnÄ™trzne – które wiÄ™ksze?
Czy fakt, że zagrożenia zewnÄ™trzne staÅ‚y siÄ™ bardziej wyrafinowane oraz lepiej zorganizowane oznacza, że zorganizowana cyberprzestÄ™pczość niesie ze sobÄ… wiÄ™ksze niebezpieczeÅ„stwo niż niezadowolony personel? Opinie ekspertów wydajÄ… siÄ™ w tej kwestii podzielone. Ma to swe źródÅ‚o w problematycznoÅ›ci zdefiniowania tego, co można zaklasyfikować, jako zagrożenie zewnÄ™trzne, a co jeszcze należy uznać za niebezpieczeÅ„stwo wewnÄ™trzne.

Charakter cyberprzestÄ™pczoÅ›ci na przestrzeni ostatniego dwudziestolecia ulegÅ‚ zmianie, ale to samo dotyczy także zwykÅ‚ej dziaÅ‚alnoÅ›ci biznesowej. Firmy stajÄ… siÄ™ coraz bardziej rozdrobnione i zwiÄ™kszajÄ… swÄ… zależność od doradców i ekspertów zewnÄ™trznych. Ponadto, rosnÄ…ca liczba fuzji i przejęć, sprawiÅ‚a, że dotychczas wyraźne granice niektórych dużych firm stajÄ… siÄ™ coraz bardziej narażone na niebezpieczeÅ„stwo wynikajÄ…ce z fluktuacji pracowników.

Dawn Cappeli, czÅ‚onek ZespoÅ‚u ds. reagowania na przypadki naruszenia bezpieczeÅ„stwa teleinformatycznego (ang. CERT) uczelni Carnegie Mellon University, wyjaÅ›niÅ‚a ostatnio, w jaki sposób jej organizacja musiaÅ‚a przeformuÅ‚ować swojÄ… definicjÄ™ „osoby z wewnÄ…trz”, aby nadążyć za praktykÄ… dziaÅ‚alnoÅ›ci biznesowej.

„Nasza definicja wrogiej osoby z wewnÄ…trz organizacji obejmuje obecnego lub byÅ‚ego pracownika, zleceniobiorcÄ™ lub partnera biznesowego” – wyjaÅ›nia Cappeli.

CERT, jedna z gÅ‚ównych amerykaÅ„skich organizacji zajmujÄ…cych siÄ™ bezpieczeÅ„stwem teleinformatycznym, wspiera ideÄ™ gÅ‚oszÄ…cÄ…, iż to na zagrożeniach wewnÄ™trznych powinny skupić swojÄ… uwagÄ™ firmy w zakresie bezpieczeÅ„stwa informacji. Organizacja poÅ›wiÄ™ciÅ‚a temu zagadnieniu sekcjÄ™ swojej strony internetowej o nazwie „Badania nt. zagrożeÅ„ wewnÄ™trznych”.
Z przygotowanego przez CERT raportu „PeÅ‚ny obraz sabotażu informatycznego dokonywanego przez osoby z wewnÄ…trz” (“Big Picture” of Insider IT Sabotage) wynika, że to osoby z wewnÄ…trz organizacji stanowiÄ… najwiÄ™ksze zagrożenie dla jej bezpieczeÅ„stwa informatycznego. PosiadajÄ…c legalny dostÄ™p do informacji, systemów i sieci firmy, stanowiÄ… istotne zagrożenie dla pracodawców. Pracownicy przeżywajÄ…cy problemy finansowe uznali, że z Å‚atwoÅ›ciÄ… mogÄ… użyć systemów wykorzystywanych na co dzieÅ„ w pracy, by dopuÅ›cić siÄ™ kradzieży lub oszustwa. (www.cert.org/archive/pdf/08tr009.pdf)

Firma telekomunikacyjna Verizon uważa z kolei, że to na zagrożeniach zewnÄ™trznych firmy powinny siÄ™ skupiać. W raporcie z dochodzeÅ„ w sprawie naruszenia danych biznesowych z 2009 roku, Verizon (www.verizonbusiness.com/uk/products/security/risk/databreach) ujawnia, że 74% przypadków naruszenia danych pochodziÅ‚o z zewnÄ…trz, podczas gdy 32 procent byÅ‚o powiÄ…zanych z partnerami biznesowymi. W raporcie stwierdzono, że jedynie 20 procent byÅ‚o spowodowanych przez osoby z wewnÄ…trz firmy.

W swym raporcie firma Verizon przyznaje co prawda, że wiele przypadków naruszenia bezpieczeÅ„stwa wewnÄ™trznego nie jest zgÅ‚aszanych. Firmy chcÄ… zwykle uniknąć negatywnego rozgÅ‚osu, który mógÅ‚by być skutkiem ujawnienia takiego incydentu. Mimo to, specjaliÅ›ci z Verizon nie majÄ… wÄ…tpliwoÅ›ci, że nawet przy mniejszej liczbie zgÅ‚aszanych incydentów wewnÄ™trznych, badania przeprowadzone na przestrzeni kilku lat wspierajÄ… argument firmy mówiÄ…cy, że ataki zewnÄ™trzne sÄ… nadal wiÄ™kszym zagrożeniem. Wyniki z ponad 600 incydentów na przestrzeni piÄ™ciu lat sÄ… silnym argumentem przeciwko od dawna utrzymywanemu i gÅ‚Ä™boko zakorzenionemu przekonaniu, że za wiÄ™kszoÅ›ciÄ… naruszeÅ„ stojÄ… osoby z wewnÄ…trz.

Ale podczas gdy niektórzy specjaliÅ›ci do spraw bezpieczeÅ„stwa skupiajÄ… siÄ™ na odróżnieniu zagrożeÅ„ zewnÄ™trznych od wewnÄ™trznych, inni eksperci uważajÄ…, że nadmierna koncentracja na pochodzeniu ataku jest stratÄ… czasu.

„CaÅ‚a debata na temat źródeÅ‚ zagrożeÅ„ – czy wiÄ™ksze niebezpieczeÅ„stwo niosÄ… ze sobÄ… zagrożenia wewnÄ™trzne czy też zewnÄ™trzne - zawsze miaÅ‚a przede wszystkim charakter semantyczny” – stwierdziÅ‚ na swoim blogu guru bezpieczeÅ„stwa, Bruce Schneier. „Pod wzglÄ™dem liczby ataków, o wiele częściej sprawcami sÄ… ludzie z zewnÄ…trz zwyczajnie dlatego, że atakujÄ…cych z zewnÄ…trz jest po prostu wiÄ™cej. JeÅ›li policzyć incydenty, to 75 procent ataków ma swoje źródÅ‚a na zewnÄ…trz organizacji, a jedynie 18 procent pochodzi z jej struktur. Ale jeÅ›li policzyć szkody, przewagÄ™ majÄ… zwykle osoby z wewnÄ…trz – gÅ‚ównie dlatego, że dysponujÄ… o wiele bardziej szczegóÅ‚owymi informacjami i mogÄ… lepiej wybrać swój cel”. (http://www.schneier.com/blog/archives/2008/06/it_attacks_insi.html) Bruce Schneier uważa, że firmy lepiej wyszÅ‚yby na przyjÄ™ciu bardziej caÅ‚oÅ›ciowego spojrzenia na kwestiÄ™ bezpieczeÅ„stwa informatycznego i na myÅ›leniu w kategoriach strzeżenia danych i systemów przed atakami niezależnie od ich pochodzenia.

„Zarówno osoby z wewnÄ…trz i z zewnÄ…trz stanowiÄ… ryzyko pod kÄ…tem bezpieczeÅ„stwa, a wiÄ™c trzeba bronić siÄ™ przed obiema kategoriami. Próba ich klasyfikacji wcale nie jest tak przydatna” – stwierdza Schneier.

Wydaje siÄ™, że chociaż niebezpieczeÅ„stwo ze strony cyberprzestÄ™pców w ciÄ…gu ostatnich lat stale roÅ›nie, coraz bardziej rozdrobniona struktura wielu firm również generuje dodatkowe zagrożenia. Personel, partnerzy, a nawet klienci mogÄ… stanowić potencjalne zagrożenie dla bezpieczeÅ„stwa informatycznego firmy. PrzedsiÄ™biorstwa skorzystaÅ‚yby na rozważeniu różnych polityk bezpieczeÅ„stwa stosowanych wobec każdej z grup (cyberprzestÄ™pców i osób z wewnÄ…trz). Najlepszym rozwiÄ…zaniem byÅ‚oby wdrożenie solidnej i elastycznej strategii w zakresie bezpieczeÅ„stwa, tak, aby nadążyć za szybko zmieniajÄ…cym siÄ™ charakterem zagrożeÅ„ bezpieczeÅ„stwa informatycznego.