Secondo un sondaggio condotto da Forrester Research, quasi la metà delle violazioni dei dati avvenute lo scorso anno è stata causata da addetti interni, sia intenzionalmente che per uso improprio. Il 46% degli intervistati ha subito incidenti che hanno coinvolto dipendenti o partner commerciali terzi.
Nell'ambito del Mese nazionale della sensibilizzazione sulle minacce interne, abbiamo definito la differenza tra insider malintenzionati e insider negligenti, nonché la differenza tra una minaccia interna e un whistleblower. Come potrete notare, in tutti i casi il fattore che fa la differenza è l'intenzionalità. E sebbene ciò aiuti a delineare i diversi tipi di minacce interne, le conseguenze di queste ultime possono essere devastanti.
Accenture e il Ponemon Institute hanno pubblicato uno studio congiunto che mostra un aumento costante del costo delle minacce interne, che ora ammonta a 1.621.075 dollari per incidente, con alcuni casi che superano gli 8,76 milioni di dollari all'anno, secondo uno studio del 2018 condotto dal Ponemon Institute.
Fattori di rischio derivanti da minacce interne
Perché stanno aumentando le minacce interne? Uno dei motivi è il frequente cambio di lavoro. Sono finiti i tempi in cui i dipendenti trascorrevano l'intera carriera in un'unica azienda. La mancanza di lealtà nei confronti dei datori di lavoro e l'aumento dei tassi di turnover aumentano il rischio di furto di proprietà intellettuale e informazioni riservate. La stragrande maggioranza degli impiegati porta con sé i dati quando cambia lavoro. Oltre alla maggiore probabilità di esfiltrazione dei dati, anche il furto effettivo dei dati è diventato molto più facile. A causa del COVID-19, oggi i dipendenti lavorano da remoto da casa e possono accedere ai dati aziendali ovunque si trovino.
Il picco nel lavoro da remoto dovuto al COVID-19, volto a garantire la sicurezza dei dipendenti e a mantenere la produttività, si è rivelato una minaccia per la sicurezza informatica. Oltre a infettare la rete aziendale con malware, l'uso di dispositivi personali per lavoro facilita la copia dei dati aziendali. Quando un dipendente decide di licenziarsi, le copie dei dati aziendali spesso rimangono su unità e dispositivi esterni, il che significa che la perdita di dati spesso avviene involontariamente e senza che sia possibile rilevarne l'esfiltrazione.
Il caso Michael Mitchell ne è un ottimo esempio. L'ex ingegnere della DuPont conservava numerosi file aziendali contenenti informazioni sensibili e riservate sul proprio computer di casa durante il periodo in cui lavorava per l'azienda. Dopo il suo licenziamento, questi file sono rimasti sul suo computer di casa senza essere scoperti. Quando Mitchell ha stipulato accordi di consulenza con un concorrente coreano, ha fornito loro i dati, causando perdite per milioni di dollari alla DuPont. Molti casi, compreso quello di Mitchell, avrebbero potuto essere evitati o almeno limitati con tempi di rilevamento e risposta più rapidi e politiche aziendali aggiornate.
Come rispondere alle minacce interne
Il primo passo per rispondere in modo adeguato a una minaccia interna è quello di aumentare la consapevolezza del problema. Sebbene alcuni casi diventino film di successo hollywoodiani come Breach, basato su Robert P. Hanssen, le minacce interne si verificano ovunque. Le responsabilità relative all'individuazione, all'intervento e alla prevenzione delle minacce interne sono spesso condivise tra i reparti di sicurezza informatica, legale e risorse umane (HR). Una chiara definizione delle azioni da intraprendere e delle responsabilità è fondamentale per l'implementazione di un programma efficace contro le minacce interne.
Una domanda importante a cui rispondere è: "Se un dipendente volesse danneggiare la tua azienda, quali sarebbero gli obiettivi e quali danni potrebbero essere causati?" Definisci le risorse critiche che devono essere protette, nonché la tolleranza della tua organizzazione in caso di perdite o danni dovuti a fughe di informazioni.
Quindi, al fine di prevenire tale minaccia, chiediti quali tipi di comportamenti precursori potrebbero essere individuati e bloccati nei vari reparti aziendali prima che le risorse critiche vengano rubate o danneggiate.
Quali comportamenti dovresti cercare?
Esempi di precursori includono:
- uso improprio delle risorse informatiche, come un volume elevato di download o stampe
- Segnalazioni alle risorse umane di comportamenti ostili sul posto di lavoro
- informazioni sulle indagini legali in corso nei confronti dei dipendenti
Soprattutto, assicurati di essere in grado di collegare i punti correlando i precursori provenienti da diversi reparti per ottenere informazioni dettagliate sulle tendenze relative ai rischi più elevati per la tua organizzazione.
Vectra Cognito è una piattaforma di rilevamento e risposta di rete che utilizza l'intelligenza artificiale per rilevare i comportamenti degli aggressori lungo tutta la catena di attacco, comprese le fasi in cui solitamente vengono individuati gli insider: Command & Control e ricognizione. Se desideri scoprire come funziona, prenota una demo qui.