Boldon James. Αντιμετωπίζοντας την απειλή της αμέλειας
Στις αρχές της χρονιάς, το Ινστιτούτο Ponemon δημοσίευσε την έκθεση Cost of Insider Threats 2020. Στην έκθεση υπογραμμίζεται ο αριθμός των περιστατικών κυβερνοασφάλειας που προκλήθηκαν από μέλη του προσωπικού, από γνώστες ή υπαλλήλους σε εταιρείες, και που παρουσιάζεται αυξημένος κατά 47% σε σύγκριση με το 2018. Η αύξηση στον αριθμό των περιστατικών είχε ως συνέπεια μέσα σε δύο μόλις χρόνια να εκτοξευθεί κατά 32% και το μέσο ετήσιο κόστος των «εσωτερικών απειλών» (από υπαλλήλους, κατόχους εμπιστευτικών πληροφοριών κ.ά) φτάνοντας τις £12,2 εκατομμύρια (λίρες Αγγλίας).
Και ενώ ο χαρακτηρισμός «insider threat» (εσωτερική απειλή) μοιάζει κακόβουλος, η έκθεση επισημαίνει ότι τα εσωτερικά περιστατικά είναι πιθανότερο να προκαλούνται από αμελείς εργολάβους ή υπάλληλους. Από την έκθεση του Ponemon Institute, γίνεται γνωστό ότι η βασικότερη αιτία της πλειονότητας των περιστατικών (63%) ήταν η αμέλεια που έδειξαν υπάλληλοι ή κάτοχοι εταιρικών εμπιστευτικών πληροφοριών (π.χ εργολάβοι).
Σύμφωνα με την έκθεση του Ινστιτούτου Ponemon, ένας αμελής ή απρόσεκτος υπάλληλος ή εργολάβος ήταν η βασική αιτία στα 2.962 από τα συνολικά 4.716 περιστατικά που αναφέρθηκαν ενώ ο αριθμός των περιστατικών ή των συμβάντων που προκλήθηκαν από κυβερνοεγκληματίες ή κακόβουλα άτομα ήταν 1.105.
Μη υπεύθυνη συμπεριφορά
Αν και υπάρχουν διάφοροι τύποι «εσωτερικών απειλών», οι κακόβουλοι υπάλληλοι ή εμπιστευτικοί έχουν βασικό στόχο το οικονομικό κέρδος ή αναζητούν εκδίκηση (π.χ επειδή δεν έλαβαν προαγωγή ή αύξηση στο μισθό τους). Οι ακούσιες ή μη εσκεμμένες εσωτερικές απειλές από την άλλη πλευρά μπορεί να μην είναι κακόβουλες, αυτό όμως δεν σημαίνει ότι είναι και λιγότερο επικίνδυνες. Αυτοί οι απρόσεκτοι υπάλληλοι πιθανότατα θα πέσουν θύματα τεχνικών κοινωνικής μηχανικής (π.χ κάποιος στο τηλέφωνο θα παριστάνει τον προϊστάμενο τους) ή μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing).
Η άγνοια αποτελεί μεγάλο πρόβλημα όταν πρόκειται για υπαλλήλους που διαχειρίζονται δεδομένα και κυρίως ευαίσθητα δεδομένα. Αρκετά από αυτά τα άτομα δεν είχαν την κατάλληλη εκπαίδευση που θα τους βοηθούσε να κατανοήσουν και να αναπτύξουν προσωπική ευθύνη έναντι των εταιρικών δεδομένων και έχουν ελάχιστες γνώστες σχετικά με τις εταιρικές πρακτικές ασφάλειας. Ως εκ τούτου, είναι ιδιαίτερα επιρρεπή στο να πέσουν θύματα απειλών σαν αυτών που αναφέρθηκαν παραπάνω.
Γιατί είναι επικίνδυνοι;
Εκτός από τον οικονομικό παράγοντα, τέτοιες απειλές είναι δύσκολο να προσδιοριστούν και μπορούν να δημιουργήσουν προβλήματα στη λειτουργία της επιχείρησης. Ο προσδιορισμός αυτών των απειλών εσωτερικά μπορεί να προκαλέσει προβλήματα, δεδομένου ότι υπάλληλοι που είναι κάτοχοι εμπιστευτικών πληροφοριών έχουν ήδη πρόσβαση στο εταιρικό δίκτυο με εξουσιοδοτημένα διαπιστευτήρια και αυτή η πρόσβαση δεν επισημαίνεται από τα παραδοσιακά συστήματα παρακολούθησης. Συχνά, έχουν ήδη πρόσβαση σε ευαίσθητα δεδομένα, έχουν επίγνωση των υφιστάμενων μέτρων ασφαλείας καθώς και πώς να τα παρακάμψουν ή να τα ξεπεράσουν. Συνδυάστε όλα τα παραπάνω με την έλλειψη ορατότητας στην πρόσβαση χρήστη και στη δραστηριότητα των δεδομένων, και ο προσδιορισμός τέτοιων παραγόντων απειλής μπορεί να είναι εξαιρετικά δύσκολος και απαιτητικός.
Μετριάζοντας την απειλή
Ένας από τους καλύτερους τρόπους για την αντιμετώπιση αυτού του προβλήματος από ένα οργανισμό είναι η εκπλήρωση των υποχρεώσεων συμμόρφωσης μέσω της υϊοθέτησης μιας προσέγγισης απορρήτου εκ κατασκευής (privacy by design). Πρόκειται για μια προσέγγιση που λαμβάνει υπόψη το απόρρητο σε όλους τους τομείς της διαδικασίας, διασφαλίζοντας ότι λογίζονται όλα τα συστήματα, οι πολιτικές, οι διαδικασίες και οι τεχνολογίες μιας επιχείρησης. Το απόρρητο εκ κατασκευής ωστόσο ξεκινάει με την διαβάθμιση δεδομένων.
Ο τεράστιος όγκος των αδόμητων δεδομένων εντός του οργανισμού, σε συνδυασμό με τις συνεχώς εξελισσόμενες τεχνικές δεξιότητες των χάκερ και τις αδυναμίες των υπαλλήλων (π.χ αμέλεια) καθιστά αδύνατο το να βασίζεσαι μόνο άτομα και διαδικασίες για να διασφαλίσεις ότι η διαχείριση των ευαίσθητων δεδομένων είναι πάντοτε η κατάλληλη και ενδεδειγμένη. Η διαβάθμιση δεδομένων φέρνει μαζί της μια κουλτούρα συμμόρφωσης, καθώς προϋποθέτει τη συμμετοχή των χρηστών στον προσδιορισμό, στη διαχείριση και στον έλεγχο των ευαίσθητων δεδομένων που χρησιμοποιούν και εργάζονται, ενώ αυτοματοποιεί τμήματα της διαδικασίας προστασίας για να επιβάλει κανόνες και πολιτικές με συνέπεια. Τα δεδομένα ταξινομούνται στην πηγή, ώστε οι κανόνες του οργανισμού να εφαρμόζονται εξαρχής.
Το πρώτο βήμα ενός οργανισμού είναι να κατανοήσει ποια δεδομένα έχει, ποιος τα χρησιμοποιεί, πως αποθηκεύονται, ταξινομούνται και διαμοιράζονται και κατά πόσο είναι «ευαίσθητα» για την εταιρεία. Αυτό είναι και το κλειδί για οποιαδήποτε στρατηγική προστασίας δεδομένων. Μόλις ο οργανισμός καθορίσει ποια δεδομένα έχει, το επόμενο βήμα είναι να τα ταξινομήσει. Η διαβάθμιση δεδομένων είναι η κατηγοριοποίηση των δεδομένων σύμφωνα με το επίπεδο ευαισθησίας ή αξίας τους με την χρήση ετικετών. Οι ετικέτες επισυνάπτονται ως οπτικές σημάνσεις και μεταδεδομένα εντός του αρχείου. Με την εφαρμογή της διαβάθμισης, τα μεταδεδομένα θα διασφαλίσουν ότι οι πληροφορίες ή τα δεδομένα είναι προσβάσιμα και μπορούν να χρησιμοποιηθούν μόνο σε συνάρτηση με τους κανόνες που αντιστοιχούν στην ετικέτα του. Αυτό σημαίνει ότι ο οργανισμός θα πρέπει πρώτα να καθορίσει την πολιτική διαβάθμισης και να αποφασίσει ποιος έχει πρόσβαση και σε ποιο τύπο δεδομένων. Μόλις γίνει αυτό, το επόμενο βήμα είναι η επιλογή του κατάλληλου εργαλείου διαβάθμισης. Η σωστή τεχνολογία θα βοηθήσει τους χρήστες να εφαρμόζουν με συνέπεια και ευκολία το σύστημα διαβάθμισης. Τα πιο αποτελεσματικά εργαλεία καθιστούν τη διαβάθμιση αναπόσπαστο και απρόσκοπτο στοιχείο της καθημερινότητας της επιχείρησης. Μόλις τα δεδομένα διαβαθμιστούν καταλλήλως, η αποτελεσματικότητα των εργαλείων ασφαλείας όπως του DLP (Data Loss Prevention), της κρυπτογράφησης μηνυμάτων ηλεκτρονικού ταχυδρομείου βάσει-πολιτικής καθώς και των εργαλείων ελέγχου πρόσβασης και διαχείρισης δεδομένων αυξάνεται εκθετικά. Πως; Με την πρόσβαση τους σε πληροφορίες που παρέχονται από τις ετικέτες διαβάθμισης και τα μεταδεδομένα, οι οποίες ορίζουν και τον τρόπο που θα διαχειρίζονται και θα προστατεύουν τα δεδομένα.
Με το ρυθμιστικό και νομοθετικό πλαίσιο να αυξάνεται ρίχνοντας μεγαλύτερο βάρος στην ευθύνη των επιχειρήσεων –πάνω στα δεδομένα των χρηστών για παράδειγμα που διαχειρίζονται- οι οργανισμοί είναι υποχρεωμένοι να επενδύσουν σε τεχνολογία και πολιτικές που θα τους βοηθήσουν να ανταποκριθούν αλλά και να αποτρέψουν τις όποιες εσωτερικές απειλές από το να εξωτερικευθούν. Αυτό σημαίνει ότι οι οργανισμοί θα πρέπει είναι σε θέση να προσδιορίζουν ποια δεδομένα απομακρύνθηκαν από το δίκτυο τους και πως να αποτρέψουν κάποια μελλοντική απομάκρυνση τους, αναζητώντας για παρόμοιες πληροφορίες σε όλα τα υπόλοιπα στοιχεία δεδομένων.