Kto stanowi większe zagrożenie: pracownicy czy cyberprzestępcy?

Powszechnie uważa się, że pracownicy stanowią większe zagrożenie dla bezpieczeństwa informatycznego firmy niż zewnętrzni hakerzy. Czy biorąc pod uwagę rosnące wyrafinowanie cyberprzestępców to przekonanie jest nadal aktualne?

Czy wiesz, że...?

• Jeszcze dziesięć lat temu twórcami wirusów i innych form złośliwego oprogramowania byli głównie młodzi, spragnieni sławy programiści-amatorzy
• Badania przeprowadzone przez firmę Verizon sugerują, że 74% przypadków naruszenia danych dokonywanych jest z zewnątrz
• Liczby przytaczane przez Światowe Forum Gospodarcze wskazują na to, iż łączna wartość samych kradzieży internetowych w 2009 r. wyniosła około 1 biliona dolarów

Według obiegowej opinii większym zagrożeniem dla sieci IT w większości firm są raczej niezadowoleni pracownicy, niż tajemniczy cyberprzestępcy. To przecież pracownicy mają dostęp do haseł, a nierzadko - w przypadku działów IT - posiadają także uprawnienia administratora. Co więcej, zwykle wiedzą, jakich informacji szukają, gdzie mogą je znaleźć i jaka może być ich wartość dla konkurencji.

Koncepcja tzw. zagrożenia wewnętrznego nadal utrzymuje się w środowisku związanym z bezpieczeństwem informatycznym i wydaje się częściowo oparta na badaniu przeprowadzonym przez FBI na początku lat dziewięćdziesiątych. Dowodzono w nim, że sprawcami 80 procent cyberataków były osoby z wewnątrz firmy. Jednakże wiele się zmieniło na przestrzeni ostatnich dwudziestu lat. Podczas gdy kiedyś hakerami i autorami wirusów była często „trudna” młodzież, obecnie cyberprzestępczość rozwinęła się na tyle, aby przerodzić się w przynoszący profity biznes. Liczby przytaczane przez Światowe Forum Gospodarcze wskazują na to, iż łączna wartość samych kradzieży internetowych w 2009 r. wyniosła około 1 biliona dolarów.

To swoiste „uprzemysłowienie” cyberprzestępczości może wpłynąć na postrzeganie tego, czy ochrona przed zagrożeniami, których źródłem są pracownicy, nadal powinna być traktowana, jako główny priorytet w zakresie bezpieczeństwa informatycznego firmy. W dzisiejszych czasach zorganizowane gangi zdają się być bardziej naglącym zagrożeniem niż nieprzewidywalny lub niezadowolony pracownik. Przygotowany przez AVG Technologies raport pt. „Dlaczego tradycyjne rozwiązania ochrony przed złośliwym oprogramowaniem już nie wystarczają”(Why Traditional Anti-Malware Solutions Are No Longer Enough) wyjaśnia, dlaczego firmy powinny ponownie rozważyć kwestię alokowania środków przeznaczonych na bezpieczeństwo.

Od młodych gniewnych po zorganizowane cybergangi – ewolucja zagrożeń
Raport autorstwa AVG Technologies ujawnia, że jeszcze dziesięć lat temu twórcami wirusów i innych form złośliwego oprogramowania byli głównie młodzi, spragnieni uwagi programiści-amatorzy (tzw. script kiddies), szukający rozgłosu w podziemnych społecznościach hakerskich. Raport informuje także o tym, że krajobraz bezpieczeństwa w ciągu ostatnich lat wyraźnie się zmienił. Zorganizowane gangi przestępców zdały sobie sprawę z tego, że można zarobić na złośliwym oprogramowaniu i wynajęły wykwalifikowanych programistów do tworzenia złośliwego kodu. Programy te nie mają na celu powodowania zakłóceń w pracy systemów informatycznych, lecz umożliwienie kradzieży pieniędzy lub danych. Doprowadziło to do wykształcenia się podziemnej gospodarki, w ramach której przestępcy mogą kupować i sprzedawać zarówno dane, jak i programy wykorzystywane do kradzieży informacji.

Zagrożenia wewnętrzne czy zewnętrzne – które większe?
Czy fakt, że zagrożenia zewnętrzne stały się bardziej wyrafinowane oraz lepiej zorganizowane oznacza, że zorganizowana cyberprzestępczość niesie ze sobą większe niebezpieczeństwo niż niezadowolony personel? Opinie ekspertów wydają się w tej kwestii podzielone. Ma to swe źródło w problematyczności zdefiniowania tego, co można zaklasyfikować, jako zagrożenie zewnętrzne, a co jeszcze należy uznać za niebezpieczeństwo wewnętrzne.

Charakter cyberprzestępczości na przestrzeni ostatniego dwudziestolecia uległ zmianie, ale to samo dotyczy także zwykłej działalności biznesowej. Firmy stają się coraz bardziej rozdrobnione i zwiększają swą zależność od doradców i ekspertów zewnętrznych. Ponadto, rosnąca liczba fuzji i przejęć, sprawiła, że dotychczas wyraźne granice niektórych dużych firm stają się coraz bardziej narażone na niebezpieczeństwo wynikające z fluktuacji pracowników.

Dawn Cappeli, członek Zespołu ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego (ang. CERT) uczelni Carnegie Mellon University, wyjaśniła ostatnio, w jaki sposób jej organizacja musiała przeformułować swoją definicję „osoby z wewnątrz”, aby nadążyć za praktyką działalności biznesowej.

„Nasza definicja wrogiej osoby z wewnątrz organizacji obejmuje obecnego lub byłego pracownika, zleceniobiorcę lub partnera biznesowego” – wyjaśnia Cappeli.

CERT, jedna z głównych amerykańskich organizacji zajmujących się bezpieczeństwem teleinformatycznym, wspiera ideę głoszącą, iż to na zagrożeniach wewnętrznych powinny skupić swoją uwagę firmy w zakresie bezpieczeństwa informacji. Organizacja poświęciła temu zagadnieniu sekcję swojej strony internetowej o nazwie „Badania nt. zagrożeń wewnętrznych”.
Z przygotowanego przez CERT raportu „Pełny obraz sabotażu informatycznego dokonywanego przez osoby z wewnątrz” (“Big Picture” of Insider IT Sabotage) wynika, że to osoby z wewnątrz organizacji stanowią największe zagrożenie dla jej bezpieczeństwa informatycznego. Posiadając legalny dostęp do informacji, systemów i sieci firmy, stanowią istotne zagrożenie dla pracodawców. Pracownicy przeżywający problemy finansowe uznali, że z łatwością mogą użyć systemów wykorzystywanych na co dzień w pracy, by dopuścić się kradzieży lub oszustwa. (www.cert.org/archive/pdf/08tr009.pdf)

Firma telekomunikacyjna Verizon uważa z kolei, że to na zagrożeniach zewnętrznych firmy powinny się skupiać. W raporcie z dochodzeń w sprawie naruszenia danych biznesowych z 2009 roku, Verizon (www.verizonbusiness.com/uk/products/security/risk/databreach) ujawnia, że 74% przypadków naruszenia danych pochodziło z zewnątrz, podczas gdy 32 procent było powiązanych z partnerami biznesowymi. W raporcie stwierdzono, że jedynie 20 procent było spowodowanych przez osoby z wewnątrz firmy.

W swym raporcie firma Verizon przyznaje co prawda, że wiele przypadków naruszenia bezpieczeństwa wewnętrznego nie jest zgłaszanych. Firmy chcą zwykle uniknąć negatywnego rozgłosu, który mógłby być skutkiem ujawnienia takiego incydentu. Mimo to, specjaliści z Verizon nie mają wątpliwości, że nawet przy mniejszej liczbie zgłaszanych incydentów wewnętrznych, badania przeprowadzone na przestrzeni kilku lat wspierają argument firmy mówiący, że ataki zewnętrzne są nadal większym zagrożeniem. Wyniki z ponad 600 incydentów na przestrzeni pięciu lat są silnym argumentem przeciwko od dawna utrzymywanemu i głęboko zakorzenionemu przekonaniu, że za większością naruszeń stoją osoby z wewnątrz.

Ale podczas gdy niektórzy specjaliści do spraw bezpieczeństwa skupiają się na odróżnieniu zagrożeń zewnętrznych od wewnętrznych, inni eksperci uważają, że nadmierna koncentracja na pochodzeniu ataku jest stratą czasu.

„Cała debata na temat źródeł zagrożeń – czy większe niebezpieczeństwo niosą ze sobą zagrożenia wewnętrzne czy też zewnętrzne - zawsze miała przede wszystkim charakter semantyczny” – stwierdził na swoim blogu guru bezpieczeństwa, Bruce Schneier. „Pod względem liczby ataków, o wiele częściej sprawcami są ludzie z zewnątrz zwyczajnie dlatego, że atakujących z zewnątrz jest po prostu więcej. Jeśli policzyć incydenty, to 75 procent ataków ma swoje źródła na zewnątrz organizacji, a jedynie 18 procent pochodzi z jej struktur. Ale jeśli policzyć szkody, przewagę mają zwykle osoby z wewnątrz – głównie dlatego, że dysponują o wiele bardziej szczegółowymi informacjami i mogą lepiej wybrać swój cel”. (http://www.schneier.com/blog/archives/2008/06/it_attacks_insi.html) Bruce Schneier uważa, że firmy lepiej wyszłyby na przyjęciu bardziej całościowego spojrzenia na kwestię bezpieczeństwa informatycznego i na myśleniu w kategoriach strzeżenia danych i systemów przed atakami niezależnie od ich pochodzenia.

„Zarówno osoby z wewnątrz i z zewnątrz stanowią ryzyko pod kątem bezpieczeństwa, a więc trzeba bronić się przed obiema kategoriami. Próba ich klasyfikacji wcale nie jest tak przydatna” – stwierdza Schneier.

Wydaje się, że chociaż niebezpieczeństwo ze strony cyberprzestępców w ciągu ostatnich lat stale rośnie, coraz bardziej rozdrobniona struktura wielu firm również generuje dodatkowe zagrożenia. Personel, partnerzy, a nawet klienci mogą stanowić potencjalne zagrożenie dla bezpieczeństwa informatycznego firmy. Przedsiębiorstwa skorzystałyby na rozważeniu różnych polityk bezpieczeństwa stosowanych wobec każdej z grup (cyberprzestępców i osób z wewnątrz). Najlepszym rozwiązaniem byłoby wdrożenie solidnej i elastycznej strategii w zakresie bezpieczeństwa, tak, aby nadążyć za szybko zmieniającym się charakterem zagrożeń bezpieczeństwa informatycznego.