Le minacce da parte di insider possono assumere molte forme, dal dipendente distratto che non segue i protocolli di sicurezza, al malintenzionato che cerca intenzionalmente di danneggiare l’organizzazione. Alcune minacce possono derivare da un semplice errore, altre da una vendetta personale. Alcuni insider lavoreranno da soli, altri su richiesta di un concorrente o di uno Stato-nazione.
Qualunque siano il metodo e le motivazioni, i risultati possono essere devastanti. Il costo medio di un singolo incidente da insider negligente supera i 300.000 dollari. Questa cifra sale a oltre 755 mila dollari per un attacco criminale o doloso e fino a 871 mila dollari per un furto di credenziali.
A differenza di molti altri attacchi comuni, le minacce da parte di insider sono raramente ‘repentine’. Più a lungo una minaccia passa inosservata, più danni può causare all’organizzazione. Migliore è la comprensione delle persone, le loro motivazioni e il loro rapporto con i dati e le reti, prima è possibile individuare e contenere le potenziali minacce.
I driver degli insider
Le minacce interne possono essere suddivise in due categorie: negligenti e malevoli. All’interno di queste categorie vi sono diversi fattori. Poiché la meccanica di un attacco può differire significativamente a seconda delle sue motivazioni, l’acquisizione di una conoscenza approfondita di questi elementi può fare la differenza tra una minaccia potenziale e una violazione riuscita.
Guadagno finanziario
Il guadagno finanziario è forse il driver più comune per l’insider malintenzionato. I dipendenti di tutti i livelli sono consapevoli che i dati aziendali e le informazioni sensibili hanno un prezzo. A un dipendente che ha accesso ai dati, permettere che finiscano nelle mani sbagliate può sembrare un rischio minimo per una ricompensa significativa.
La pandemia di Coronavirus ha messo milioni di persone sotto pressione finanziaria, con molti licenziamenti o l’insicurezza del posto di lavoro. Quella che un tempo sembrava una decisione inimmaginabile, ora può apparire una scorciatoia.
Negligenza
La negligenza è la causa più comune di minacce da parte di insider, che costano alle organizzazioni una media di 4,58 milioni di dollari all’anno. Una minaccia per negligenza di solito deriva da una scarsa igiene di sicurezza: mancato log-in/uscita dai sistemi aziendali, scrittura o riutilizzo di password, uso di dispositivi o applicazioni non autorizzate e mancata protezione dei dati aziendali.
Gli insider negligenti sono spesso trasgressori recidivi che possono aggirare la sicurezza per una maggiore velocità o produttività o semplicemente per comodità.
Distrazione
Un dipendente distratto potrebbe rientrare nella categoria dei negligenti. Tuttavia, vale la pena di segnalarlo poiché questo tipo di minaccia può essere più difficile da individuare. Laddove i dipendenti negligenti possono far scattare allarmi perché ignorano regolarmente le migliori pratiche di sicurezza, l’insider distratto può essere un dipendente modello fino al momento in cui commette un errore.
Il rischio di distrazione è potenzialmente più alto in questo momento, con la maggior parte dei dipendenti che lavorano a distanza, molti per la prima volta. Al di fuori dell’ambiente formale dell’ufficio, e distratti dalla vita domestica, possono avere modelli di lavoro diversi, essere più rilassati e inclini a cliccare su link dannosi o aggirare le convenzioni formali di sicurezza.
Danni organizzativi
Alcuni malintenzionati non hanno alcun interesse nel guadagno personale. Il loro unico obiettivo è quello di danneggiare l’organizzazione. I titoli dei giornali sono pieni di storie sull’impatto devastante delle violazioni dei dati di Adobe, LinkedIn e Yahoo. Per chiunque voglia danneggiare la reputazione o il fatturato di un’azienda, non c’è modo migliore nel mondo digitale che far trapelare i dati sensibili dei clienti.
Gli insider mossi da questa motivazione di solito ce l’hanno con l’impresa: potrebbe essergli stato negato un aumento di stipendio o una promozione, o aver subito azioni disciplinari.
Spionaggio e sabotaggio
I malintenzionati non sempre lavorano da soli. In alcuni casi, possono trasmettere informazioni a terzi, ad esempio a un concorrente o a uno Stato-nazione. Questo potrebbe significare che un concorrente recluta un insider per trafugare proprietà intellettuale, ricerca e sviluppo o informazioni dei clienti per ottenere un vantaggio, o uno Stato-nazione alla ricerca di segreti governativi o di informazioni classificate per destabilizzare un altro.
Casi come questi sono in aumento negli ultimi anni. Hacker russi, cinesi o della Corea del Nord sono regolarmente coinvolti negli attacchi da parte di insider aziendali e statali contro le organizzazioni occidentali.
Difesa dall’interno
Così come i motivi possono influenzare il metodo, dettano la risposta appropriata. È improbabile che un deterrente efficace contro la negligenza possa scoraggiare un insider intenzionato a causare danni all’organizzazione.
Detto questo, la base di qualsiasi difesa è il controllo completo. Dovete avere una visibilità totale delle vostre reti, chi le utilizza e a quali dati accede. Questi controlli devono essere sfruttati per limitare l’accesso alle informazioni sensibili solo da parte degli utenti più privilegiati e bloccare il trasferimento di dati dai sistemi aziendali.
Su questa base è possibile aggiungere ulteriori livelli per contrastare minacce specifiche. Qualsiasi difesa efficace contro le minacce da parte di insider dovrebbe avere al centro le persone.
È necessario creare una forte cultura della sicurezza. Ciò significa che tutti gli utenti devono essere consapevoli di come il loro comportamento possa mettere inavvertitamente a rischio l’azienda, sapere come individuare i primi segnali di potenziali minacce, qualunque ne sia la causa, e conoscere le conseguenze per aver messo intenzionalmente in pericolo l’organizzazione.
