ZRP Schoenherr
Tuca Zbarcea & Asociatii

Pericolul din spatele zidurilor de apărare, când amenințarea vine din interior

13 Septembrie 2021   |   Cristian Zaharia, Manager, Forensic Technnologies and Discovery Services, EY România

Practica a arătat că mecanismele care trebuie adoptate trebuie să aibă în vedere atât nevoia de a proteja datele companiei, cât și dreptul angajatului la viața privată.

 
 
Amenințarea cu un atac informatic nu îi mai surprinde demult pe cei care au în mână destinele unei companii, motiv pentru care, încurajați și de legislația în vigoare referitoare la GDPR, încep să ia cât mai multe măsuri pentru a stopa o eventuală exfiltrare  de date sau alterare a acestora. Toate acestea sunt însă în van dacă sursa atacului vine din interior, iar consecințele pot fi infinit mai mari decât în cazul unui atac informatic efectuat de un hacker.

Conform unui raport furnizat de Proofpoint, lider în domeniul protecției împotriva atacurilor de tip phishing, în 2020, 60% dintre companiile analizate au avut cel puțin 30 de incidente legate de o amenințare din interior și, în cele mai multe cazuri, timpul de identificare a acestora a fost mai mare de 30 de zile, cauzând în final pierderi în medie de 11 milioane dolari/companie, în creștere față de valoarea din 2018, de 8.76 milioane dolari/companie. De asemenea, în același interval de timp și numărul de atacuri informatice generate de persoane din interiorul companiei a crescut cu 47%.


Dacă în majoritatea cazurilor vorbim de actuali angajați care se pretează la un moment dat la astfel de acțiuni, nu trebuie neglijați nici partenerii sau colaboratorii care sunt în strânsă legătură cu o companie ori foști angajați care cunosc arhitectura interioară și automat și punctele slabe. Atacurile din interior sunt printre cele mai greu de depistat întrucât persoanele enumerate mai sus au de cele mai multe ori acces extins în cadrul sistemelor de lucru, cunosc în multe cazuri și metodele de depistare și cum să le evite. Mai grav este atunci când, prin natura rolului îndeplinit, persoana are acces la informații sensibile, cum ar fi date financiare sau clienți și informații confidențiale legate de aceștia.

„Ce-i mână în luptă?”

Cauzele care duc la aceste incidente pot fi diverse și majoritatea au o strânsă legătură cu motivația pe care fiecare atacator o are pentru a-și duce la bun sfârșit planul. Pentru a înțelege factorii declanșatori ai unui astfel de incident trebuie înțelese diferențele între tipurile de persoane care recurg la acest tip de activități:

-    Angajatul neglijent: în majoritatea companiilor, angajații parcurg cursuri despre modalitatea în care trebuie prelucrate și transmise datele, amenințările la care să fie atenți și procedurile de urmat atunci când constată o activitate suspectă în mediul online. Nu de puține ori se întâmplă să existe persoane care, fie din neștiință, superficialitate ori din dorința de a trece peste anumite reguli pentru a rezolva mai repede o sarcină de serviciu, expun datele informatice ale angajatorului la un risc sporit de a fi transferate neautorizat în mediul extern ori să le afecteze iremediabil (vezi situația unui atac de tip ransomware, când date ale companiei sunt criptate și chiar o eventuală restaurare poate să nu ducă la o recuperare completă a acestora).

-    Angajatul rău-intenționat: o mărire de salariu care nu a fost pe măsura așteptărilor, o avansare care nu a venit la timpul dorit ori încetarea unilaterală din partea angajatorului a contractului de muncă sunt situații în care anumite persoane își pierd simțul rațiunii și recurg la acte de răzbunare. Nu puține au fost cazurile când astfel de atacatori au șters bazele de date ale companiei sau le-au transferat pe un mediu de stocare personal, șantajând ulterior compania cu publicarea acestora în mediul public.

-    Angajatul „infractor în timpul liber”: aici se are în vedere cea mai gravă formă a acestui tip de atac, în care persoane care au primit acces în mediul informatic al unei companii se folosesc de drepturile pe care le au pentru a copia sistematic informații confidențiale pe care ulterior să le vândă pe Darkweb și să obțină astfel avantaje materiale. De asemenea, au mai fost întâlnite deseori situații în care persoane care supravegheau active financiare ale companiei, beneficiind de încrederea care li se acordă combinată cu anumite lipsuri în supravegherea activității acestora, au extras, prin diferite artificii în sistemul informatic al companiei, sume de bani pe care le-au folosit ulterior în interes personal.

Cum protejăm datele companiei respectând dreptul angajatului la viața privată?

Din ce în ce mai multe companii au adoptat o cultură organizațională sănătoasă care pune în centrul ei angajatul și fidelizarea acestuia. Din acest motiv, implementarea unor măsuri care să prevină situațiile în care unul dintre aceștia s-ar putea întoarce împotriva angajatorului trebuie luate cu mare atenție pentru a nu afecta libertatea și drepturile majorității. Această abordare face însă ca un astfel de atac să fie și mai greu de identificat.

Practica a arătat că mecanismele care trebuie adoptate trebuie să aibă în vedere atât nevoia de a proteja datele companiei, cât și dreptul angajatului la viața privată. Este prevăzut fără echivoc atât de către legislația muncii, cât și de cea privind protecția datelor cu caracter personal faptul că angajatul beneficiază de dreptul la viață privată chiar și atunci când operează de pe dispozitive aflate în administrarea companiei la care lucrează. Astfel, răspunsul la această problemă nu este unul singur, ci mai degrabă reprezintă un mixt între diferitele controale care pot fi puse la un loc pentru a preveni sau identifica la timp acest tip de activități.

1)    Controale tehnice: implementarea de soluții de prevenire și stopare a exfiltrării de date informatice, așa numitele Data Loss Prevention, care pot fi configurate pe nevoia fiecărei companii în parte, astfel încât să alerteze și/sau stopeze în momentul când anumite date sunt scoase în afara companiei. De asemenea, această măsură este bine să fie completată și prin configurarea unor mecanisme prin care datele stocate sau în tranzit sunt criptate, astfel orice interceptare a acestora, fie ea și accidentală, să nu supună compania la un risc.

2)    Măsuri administrative – Deși nu întotdeauna posibil, în funcție de natura rolului, sarcinile de serviciu pot fi îndeplinite prin rotație de mai multe persoane, astfel încât eventuale abateri de la procedura normală să poată fi semnalate. În plus, principiul separației sarcinilor trebuie să fie o regulă astfel încât o acțiune să nu poată fi dusă la bun sfârșit decât prin colaborarea a două sau mai multe persoane, fiecare cu diferite atribuții. Un exemplu clasic ar fi  situația în care cineva identifică acțiunea care trebuie întreprinsă și demarează procedurile, o altă persoană aprobă și o a treia execută plata. 

În completarea acestor măsuri ar trebui să fie menționate și anumite proceduri clare prin care datele companiei pot fi totuși scoase din companie. Deși acest lucru nu este posibil pentru departamentele a căror activitate zilnică implică schimbul de date constant cu entități din afara companiei, cu siguranță există numeroase alte compartimente care lucrează cu date sensibile și care nu ar implica transferul de date spre exterior.

Nu în ultimul rând, nu trebuie uitată existența unei proceduri de lucru de răspuns la acest tip de evenimente constând într-un plan de răspuns la incidente informatice și diferite fluxuri de activități în funcție de specificul fiecărui atac suferit.

3)    Coordonare între departamentul de HR și IT: Poate cea mai delicată componentă din lista recomandărilor întrucât nevoia unei astfel de colaborări are loc în momentul în care sunt suspiciuni clare cu privire la existența unui atacator din interior. Astfel, departamentele de HR pot să anunțe echipa de monitorizare a incidentelor în momentul în care sunt indicii că o persoană a manifestat intenții vădite cu privire la o astfel de activitate. Această măsură trebuie cuprinsă expres în cadrul unei proceduri, cu indicarea clară a situației în care activitatea profesională este monitorizată, pentru a nu lăsa loc abuzurilor din partea angajatorilor, care în ideea protejării rețelei exercită un control ce poate fi intimidant și chiar ilegal pentru persoanele de bună credință, care, din fericire, reprezintă majoritatea covârșitoare.

Echilibru în adoptarea măsurilor

Realitatea a dovedit că astfel de activități de rea-credință îndreptate împotriva datelor informatice ale companiei (în unele cazuri chiar împotriva propriilor colegi) sunt o realitate de care fiecare decident trebuie să țină cont. Însă, cel mai important este găsirea unui echilibru între crearea unei culturi organizaționale axate pe încredere și profesionalism și dezvoltarea unor mecanisme obiective de monitorizare, identificare și răspuns eficient în cazul în care sunt indicii ale unui atac informatic din interior. Oricare mișcare spre una dintre cele două extreme poate cauza fie un mediu impropriu de lucru pentru cea mai importantă resursă, oamenii, fie un risc iminent de compromitere a datelor informatice, această situație din urmă venind la pachet și cu alte inconveniente atât de natură contravențională, cât și penală în anumite cazuri.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 132 / 15652
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    LegiTeam: RTPR is looking for junior lawyers
    Mihai Mareș - profesor invitat în programul de master în drept penal al Facultății de Drept a Universității de Stat din Moldova
    GDPR, după primii 3 ani | Clienții KPMG Legal – Toncescu și Asociații și-au recalibrat proiectele din acest domeniu, în ultimii doi ani, trecând de la consultanță în conformarea inițială cu GDPR, la proiecte sofisticate, punctuale. Digitalizare proceselor de contractare, printre cele mai provocatoare mandate ale echipei coordonate de partenerul Cristiana Fernbach
    LegiTeam: Mușat & Asociații recrutează avocați stagiari
    Radu Noşlăcan, Senior Associate la ZRVP, după 3 ani de la intrarea în firmă: Pentru cei care caută să atingă performanța în domeniul litigiilor și arbitrajelor, ZRVP este locul cel mai potrivit. Viața profesională în cadrul firmei este departe de a fi monotonă, fiecare avocat fiind nevoit să învețe și să se adapteze constant la cele mai noi trenduri
    Studiu Refinitiv | Cum arată harta fuziunilor și achizițiilor întocmită de Refinitiv la început de toamnă. CMS continuă să conducă plutonul consultanților juridici din regiunea EMEA. Cinci firme cu prezență locală, în Top 10 consultanți în Estul Europei
    VIDEO | Dicționar de arbitraj: Ad-Hoc Arbitration (Powered by ZRVP)
    LegiTeam: ZRVP recrutează 2 avocați stagiari pentru departamentul Litigii
    Bondoc și Asociații a asistat cumpărătorul în tranzacția prin care A&M Capital Europe a preluat Pet Network International. Ce firme de avocați au avut mandate în acest proiect
    Ce trebuie să știe absolvenții care vor să prindă un loc în echipa Popescu & Asociații, firmă prețuită de clienți și premiată de directoarele internaționale | Mulți dintre stagiarii din trecut sunt avocații de bază de astăzi, au mini-echipe pe care le coordonează și lucrează în mandate de rezonanță. Octavian Popescu, Partener: Suntem bucuroși să putem împărtăși cu viitorii profesioniști principiile și mai ales realitățile care stau la baza succesului în avocatură, că avem oportunitatea de a deveni mentori și de a-i inspira să fie cei mai buni
    Avocații NNDKP spun că tranzacțiile locale sindicalizate vor crește atât ca număr, cât și ca dimensiune, marcând în mod lent, dar sigur, apariția unei veritabile piețe locale de împrumuturi de acest tip. Valentin Voinescu, Partner: Suntem doar la începutul acestui trend al finanțărilor sindicalizate pentru proiecte ESG, pe care îl vedem urcând substanțial în următorii 5 ani. Vorbim de o reală separare a clienților băncilor în clienți cu rating ridicat în ESG și restul, aspect care ne așteptăm să aibă consecințe formidabile
    GDPR, după primii 3 ani | Ce au constat, ‘în teren’, avocații D&B David și Baias: Tot ce ține de tehnologie, dar și prelucrarea de date prin intermediul unor platforme, au avut aspecte cu un grad de complexitate mai ridicat. Pe viitor este de așteptat ca ANSPDCP să urmeze modelul de lucru al autorităților de supraveghere care au aplicat amenzi mai multe, dar mai ales mai mari
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...