Valoarea pagubelor cauzate de atacuri cibernetice a crescut cu 12% în 2018, până la o medie de 13 milioane de dolari, pentru fiecare organizaţie sau companie vizată. Suma reprezintă doar o treime din totalul costurilor asociate cu breşe de securitate. Companiile care suferă un atac major sunt nevoite să suporte multe alte costuri ulterioare, inclusiv amenzi şi reputaţie afectată.

Specialiştii în securitate cunosc bine riscurile de a lăsa infrastructura vulnerabilă la atacuri externe, însă la fel de important este să luăm în calcul şi ameninţările venite tocmai din interior. Studii recente arată că echipele IT din companii sunt de părere unanimă că angajaţii companiei – fie ei neglijenţi, slab instruiţi, uneori chiar rău intenţionaţi – sunt principalul factor de risc în faţa unei potenţiale breşe. Rezultatele nu sunt doar îngrijorătoare, ci se şi înscriu pe o traiectorie ascendentă. Astfel, managementul companiilor trebuie să îşi pună o întrebare foarte serioasă: cum ne pregătim pentru potenţiale atacuri externe, dar mai ales de ameninţările interne?

Criminal informatic, caut angajaţi naivi

De departe cea mai prolifică formă de atac cibernetic rămân e-mailurile de tip phishing care mizează pe naivitatea angajatului în divulgarea de informaţii. Un exemplu sunt datele de acces pe care atacatorii le pot folosi pentru a pătrunde mai profund în infrastructura organizaţiei. E-mailurile de tip phishing sunt doar prima parte dintr-un atac mai amplu şi se pot considera „punctul de intrare” al atacatorului. Instruirea angajaţilor să detecteze aceste tipuri de mesaje poate salva compania de la cheltuieli enorme cu remedierea unui potenţial atac, poate chiar şi de la faliment în unele cazuri. Cel mai des întâlnite forme de phishing sunt mesajele făcute să arate ca provenind de la o sursă legitimă care solicită victimei să introducă numele de utilizator şi parola pentru autentificare, moment în care atacatorul obţine datele de acces ale victimei, sau cele care conţin un fişier ataşat ce includ o ameninţare informatică controlată de atacator. Frecvente sunt şi e-mailurile care conţin un mesaj menit să sperie, îndrumând victima să întreprindă diverse acţiuni care permit atacatorului să se infiltreze în organizaţie.

În cazul fişierelor ataşate de tip Word sau PowerPoint, funcţia Macros este des folosită de atacatori pentru a ascunde cod periculos. Dacă mesajul reuşeşte să convingă victima să permită rularea Macros, atacatorul poate fura date sensibile din calculatorul acesteia, poate obţine acces pe sistemele interne sau poate instala ameninţări informatice.

După ce a analizat 470 de miliarde de e-mailuri în 2018, Microsoft a semnalat o creştere de 250% în detecţiile de phishing. Deşi motoarele anti-phishing avansează constant, şi criminalii informatici îşi ajustează tehnicile de păcălire a victimelor.

„Am vrut doar să instalez un program!”

Shadow IT se referă la practica de a instala şi folosi tehnologii şi aplicaţii software fără acordul departamentului IT. Această neglijenţă poate duce la pierderi de date sau poate facilita accesul răufăcătorilor în infrastructură. Într-o companie, departamentul IT trebuie să fie întotdeauna conştient ce sisteme sunt folosite şi de către cine, în orice moment. În plus, folosirea unor procese sau aplicaţii fără acordul departamentului IT poate duce la neconformitate legală.

Shadow IT poate fi asociat şi cu practica Bring Your Own Device, sau BYOD. Spre deosebire de Shadow IT, BYOD este o practică acceptată şi susţinută de numeroase departamente IT la nivel global. BYOD presupune folosirea device-urilor personale în scopuri de business şi prezintă un nivel ridicat de risc. Mişcarea a apărut când companiile nu au mai putut să oprească angajaţii să îşi aducă dispozitivele personale la serviciu. Astfel, au decis să se folosească de acest aspect pentru creşterea productivităţii. În realitate, riscurile eclipsează beneficiile. De exemplu, pierderea sau furtul unui laptop folosit atât în scopuri personale, cât şi în scop de serviciu poate duce la scurgere de date sau acces neautorizat la sistemele companiei. Un studiu Verizon arată că 48% din companii preferă să sacrifice securitatea în favoarea eficientizării proceselor de business – o practică nesănătoasă care adesea duce la compromis.

Să nu îi supărăm, că poate se supără ei

Pe lângă ameninţările rezultate din neglijenţă sau practici riscante, mai există şi cea a angajaţilor rău intenţionaţi. Din motive de răzbunare sau pentru a genera profit, un angajat de rea-credinţă are acces direct la sisteme şi date interne şi poate prezenta un risc mare pentru organizaţie. Nu doar angajaţii, ci şi partenerii sau contractorii cu acces la sisteme şi date interne, posibil chiar şi cu acces la sistemele de securitate ale companiei reprezintă potenţiale capcane. Pentru combaterea ameninţărilor externe şi interne, furnizorii de soluţii de securitate au conceput tehnologii stratificate care semnalează în timp real orice deviaţie de la comportamentul normal al sistemelor, permiţând departamentelor IT să ia măsuri înainte ca securitatea datelor să fie compromisă.

Companiile sunt sfătuite să ţină constant programe de training pe securitatea datelor, în unele cazuri chiar să desfăşoare exerciţii care să determine cât de vulnerabili sunt angajaţii în fata ameninţărilor de tip phishing.