Secondo un'indagine di Forrester Research, gli insider sono stati responsabili di quasi la metà delle violazioni di dati avvenute lo scorso anno, sia intenzionalmente che per abuso. Il 46% degli intervistati ha subito incidenti che hanno coinvolto dipendenti o partner commerciali terzi.
Nell'ambito del National Insider Threat Awareness Month, abbiamo definito le differenze tra insider malintenzionati e negligenti e la differenza tra una minaccia insider e un whistleblower. Come si può notare, in tutti i casi il fattore di differenziazione è l'intento. Anche se questo aiuta a distinguere i tipi di minacce interne, gli esiti possono essere devastanti.
Accenture e il Ponemon Institute hanno pubblicato uno studio congiunto che mostra un aumento costante del costo delle minacce interne, ora pari a 1.621.075 dollari per incidente, con alcuni che superano gli 8,76 milioni di dollari all'anno, secondo uno studio del 2018 del Ponemon Institute.
Fattori di rischio legati alle minacce interne
Perché le minacce interne sono in aumento? Uno dei motivi è il frequente job-hopping. Sono finiti i tempi in cui i dipendenti trascorrevano l'intera carriera in una sola azienda. La mancanza di fedeltà ai datori di lavoro e l'aumento dei tassi di cambiamento aumentano il rischio di furto di proprietà intellettuale e di informazioni riservate. Una maggioranza consistente di tutti gli impiegati porta con sé i dati quando cambia lavoro. Oltre alla maggiore probabilità di esfiltrazione dei dati, anche il furto vero e proprio dei dati è diventato molto più semplice. Grazie a COVID-19, oggi i dipendenti lavorano in remoto da casa e possono accedere ai dati aziendali ovunque si trovino.
L'aumento del lavoro in remoto, dovuto alla direttiva COVID-19 che mirava a mantenere i dipendenti al sicuro e a mantenere la produttività, si è rivelato una minaccia per la sicurezza informatica. Oltre a infettare la rete aziendale con malware, l'uso di dispositivi personali per lavoro facilita la copia dei dati aziendali. Quando un dipendente decide di licenziarsi, le copie dei dati aziendali rimangono spesso su unità e dispositivi esterni, il che significa che la perdita di dati avviene spesso in modo involontario e senza esfiltrazione rilevabile.
Il caso di Michael Mitchell ne è un esempio eccellente. L'ex ingegnere di DuPont ha conservato sul suo computer di casa numerosi file contenenti informazioni sensibili e proprietarie durante il suo periodo di lavoro presso l'azienda. Dopo il suo licenziamento, questi file sono rimasti sul suo computer di casa senza essere rilevati. Avendo stipulato contratti di consulenza con un concorrente coreano, Mitchell gli ha fornito i dati, causando a DuPont perdite per milioni di dollari. Molti casi, compreso quello di Mitchell, avrebbero potuto essere evitati o almeno limitati con tempi di rilevamento e di risposta più rapidi e con politiche aziendali aggiornate.
Come rispondere alle minacce interne
Il primo passo di una risposta adeguata a una minaccia insider è la sensibilizzazione al problema. Mentre alcuni casi diventano film hollywoodiani di successo, come Breach , basato su Robert P. Hanssen, le minacce insider si verificano ovunque. Le responsabilità per l'individuazione, l'intervento e la prevenzione delle minacce insider sono spesso condivise tra i dipartimenti di sicurezza informatica, legale e risorse umane (HR). Una chiara definizione degli elementi di azione e delle responsabilità è fondamentale per l'implementazione di un programma efficace contro le minacce interne.
Una domanda importante a cui rispondere è: "Se un insider volesse danneggiare la vostra azienda, quali sarebbero gli obiettivi e quali i danni che potrebbero essere causati?". Definite le risorse critiche che devono essere protette, nonché la tolleranza dell'organizzazione alla perdita o al danno in caso di fuga.
Quindi, per prevenire una tale minaccia, chiedetevi quali precursori comportamentali potrebbero essere individuati e bloccati in tutti i reparti aziendali prima che le risorse critiche vengano rubate o danneggiate.
Quali sono i comportamenti da ricercare?
Esempi di precursori sono:
- uso improprio delle risorse informatiche, come un elevato volume di download o di stampe
- Rapporti delle risorse umane su comportamenti ostili sul luogo di lavoro
- informazioni sulle indagini legali in corso contro i dipendenti
Soprattutto, assicuratevi di essere in grado di unire i puntini mettendo in relazione i precursori provenienti da diversi reparti per ottenere informazioni sulle tendenze relative ai rischi più elevati per la vostra organizzazione.
Vectra Cognito è una piattaforma di rilevamento e risposta di rete che utilizza l'intelligenza artificiale per rilevare i comportamenti degli aggressori lungo tutta la kill chain, comprese le fasi in cui un insider viene tipicamente individuato: Command & Control e ricognizione. Se volete vedere come, programmate una demo qui.