Sisäpiiriuhkien hinta nousee räjähdysmäisesti: Näin hallitset niitä
Sisällysluettelo:
Yrityksen kyberturvallisuuden ytimessä on kasvava ongelma. Se ei ole hämäriä kyberrikollisia tai valtion tukemia hacktivistejä. Se ei ole nykyajan IT-ympäristön käsittämätön monimutkaisuus. Se on resurssi, jota ilman mikään organisaatio ei voi tulla toimeen: sen ihmiset.
Mukaan Yhdessä tutkimuksessaSisäpiiriläisten aiheuttamat rikkomukset maksavat nykyään keskimäärin 16.2 miljoonaa dollaria – 40 % enemmän kuin neljä vuotta sitten. Silti samat organisaatiot käyttävät vain 3.2 miljoonaa dollaria vuodessa ongelman korjaamiseen. Jotain on muututtava.
Kuinka vakavaa sisäpiirin uhka on?
Sisäpiiririski voi olla monenlaista. Tämä DTEX-tutkimus jakaa ne kolmeen luokkaan:
- Haitalliset sisäpiiriläiset, kuten tyytymättömät työntekijät, jotka haluavat vahingoittaa yritystä, jossa työskentelevät. Suuremmille tai strategisesti tärkeille yrityksille tämä voi sisältää jopa yritysten vakoojia tai valtion toimijoita
- Henkilöt, jotka ovat tietokalasteluhuijausten tai muiden taktiikkojen ovelampia, jolloin hakkerit voivat kaapata heidän tilinsä ja paljon muuta
- Huolimattomat sisäpiiriläiset, jotka jättävät huomioimatta turvavaroitukset ja saattavat konfiguroida järjestelmät väärin
Se on kolmas riskityyppi, joka todennäköisesti maksaa organisaatioille eniten, raportin mukaan. Yleisesti ottaen sisäpiirin uhkia on usein vaikeampi havaita kuin organisaation ulkopuolelta tulevia – varsinkin jos kyseessä on ilkeä tarkoitus. Ja se voi tarkoittaa ylimääräistä aikaa, vaivaa ja kustannuksia niiden korjaamiseen. Mukaan IBM, haitallisten sisäpiiriloukkausten tunnistaminen ja hillitseminen kesti keskimäärin 308 päivää viime vuonna. Ja ne maksavat keskimäärin 4.9 miljoonaa dollaria – 9.6 % enemmän kuin kaikkien rikkomusten maailmanlaajuiset kustannukset.
Tapauksia näyttää ilmestyvän uutisissa yhä useammin. Helmikuussa se syntyi että entinen valtuuston työntekijä Isossa-Britanniassa varasti 79,000 XNUMX asukkaan sähköpostiosoitetta uuden yrityksen edistämiseksi. Atlantin toisella puolella, Verizon joutui ilmoittamaan asianomaisille henkilöille sen jälkeen, kun sisäpiiriläinen "käsitteli väärin" tiedoston, joka sisälsi tietoja yli 63,000 XNUMX työntekijästä. Ja hallituksella on laskutti entiseltä Googlen työntekijältä liikesalaisuuksien varastamisen kanssa.
Ovatko sisäpiirin uhkaukset todennäköisempiä?
On pari syytä, miksi CISO:n pitäisi olla huolissaan. Ensimmäinen on kotityö. Pandemian jälkeen siitä on tullut säännöllinen piirre monissa organisaatioissa. Jotkut sanovat Iso-Britannia on nyt Euroopan kotityöpääkaupunki. Mutta poissa toimistosta voi myös lisätä tahallisen väärinkäytön tai huolimattomuuden riskiä. Toisaalta se voi tarjota mahdollisuuksia päästä eroon arkaluonteisista tiedoista. Toisaalta kotityöntekijät sanovat joskus olevansa enemmän todennäköisesti ottaa riskejä tai ristiriidassa turvallisuuspolitiikan kanssa, kuin jos he olisivat toimistossa.
Toinen riskitekijä on elinkustannuskriisi. Kun taloudellinen paine kasvaa työntekijöihin, he saattavat olla halukkaampia ottamaan riskejä henkilökohtaisen hyödyn vuoksi. Helmikuussa tehty petostentorjuntajärjestön voittoa tavoittelematon kysely Cifas paljastaa että 54 prosenttia Yhdistyneen kuningaskunnan yrityksistä on huolissaan siitä, että tietoverkkorikolliset joutuvat työntekijöiden kohteeksi: esimerkiksi arkaluonteisten tietojen paljastaminen käteistä vastaan. Yli kaksi viidesosaa (42 %) kutsuu nimenomaan sisäpiirin uhkaa.
Samanlainen tutkimus Bridewell Consultingilta viime vuosi paljastaa että yli kolmasosa (35 %) kriittisen kansallisen infrastruktuurin (CNI) tietoturvajohtajista uskoo, että talouden taantuma pakottaa työntekijät tietovarkauksiin ja sabotaasiin. Se väittää, että työntekijöiden sabotaasitapausten määrä CNI-yrityksissä kasvoi 62 prosenttia vuodentakaiseen verrattuna.
Lapsus$:n kaltaisilla uhkaryhmillä on myönsi avoimesti he pyrkivät ohittamaan turvallisuuspuolustukset kohdeorganisaatioiden sisäpiiriläisten avulla.
Sisäpiiriuhan hallinta
Jamie Akhtar, CyberSmartin toimitusjohtaja, kertoo ISMS.online-sivustolle, että organisaatioiden tulisi omaksua samanlainen lähestymistapa – käytännöllisten vaiheiden ja HR-painotteisten strategioiden yhdistämisessä riippumatta siitä, vähentävätkö ne haitallista tai huolimatonta sisäpiiririskiä.
"Sinun on valvottava pääsyä organisaatiossasi. Tarkoitamme tällä sitä, että sinun on oltava tiukka sen suhteen, millä käyttäjätileillä on järjestelmänvalvojan oikeudet ja pääsy arkaluontoisiin tietoihin”, hän selittää.
”Noudata nyrkkisääntöä, että kenelläkään ei pitäisi olla pääsyä mihinkään, mitä he eivät tarvitse työnsä suorittamiseen. Tämä tarkoittaa myös selkeää prosessia poistumiseen ja pääsyn poistamiseen henkilökunnalta. Liian usein tietoturvaloukkaukset johtuvat henkilökunnasta, jolla ei pitäisi olla pääsyä arkaluonteisiin tietoihin.
Tämän tulisi tapahtua yhdessä tehostetun kyberturvallisuuskoulutuksen kanssa, joka auttaa henkilökuntaa havaitsemaan ja välttämään yleisiä uhkia, hän lisää.
”Kaikki tämä on kuitenkin turhaa, jos työntekijät tuntevat olevansa tarpeeksi aliarvostettuja ryhtyäkseen toimiin tai jos he ovat yksinkertaisesti lumen alla. Loppujen lopuksi tarvitaan vain yksi tyytymätön tai ylityöltynyt työntekijä tehdäkseen päätöksen, joka voi vaarantaa koko liiketoiminnan”, Akhtar väittää.
"Yritysten on otettava käyttöön käytännön suojakeinoja, mutta niiden on myös osoitettava empatiaa ja tukea työntekijöitä kohtaan."
Tracey Carpenter, Cifasin sisäpiirin uhkien johtaja, kuvaa viisi vaihetta sisäpiiririskin estämiseksi, joita voidaan soveltaa kyberturvallisuus- ja petosskenaarioissa. Ensinnäkin on käytössä vankka työllistymistä edeltävä seulontapolitiikka. Tarkista sitten ja korjaa säätimien aukot.
"Jos työntekijällä on motivaatiota vilpilliseen toimintaan tai hän voi järkeistää epärehellistä käyttäytymistään, hän voi kohdistaa ja hyödyntää näitä aukkoja", hän kertoo ISMS.online-sivustolle.
Organisaatioiden tulee myös muistaa olla ennakoivia, ei reaktiivisia, hän sanoo. Tämä tarkoittaa sitä, ettei henkilöstön tai asiakkaiden luottamiseen saa ilmoittaa työntekijöiden mahdollisista epärehellisistä toimista. Muista myös tehdä tarkastuksia koko työntekijän elinkaaren ajan, jolloin työntekijän riskiprofiili voi muuttua. Ja lopuksi, työskentele yhteistyössä jakamalla uhkien tiedustelutietoa mahdollisuuksien mukaan, hän sanoo.
Miten ISO 27001 voi auttaa?
Parhaat käytännöt, kuten ISO 27001, voivat myös auttaa. ISO 27001 määrää henkilöstölle kyberturvallisuuskoulutusohjelmia, jotka auttaisivat lisäämään tietoisuutta turvallisuuden etusijalla olevan kulttuurin tarpeesta. Se edellyttää myös säännöllistä politiikan ja menettelyn tarkistamista.
"ISO27001 sisältää jatkuvan arvioinnin vaatimuksen sen varmistamiseksi, että organisaatioon kohdistuvia riskejä (mukaan lukien sisäpiiriuhat) seurataan jatkuvasti ja että lieventäviä valvontatoimia toteutetaan ja niitä parannetaan asteittain", selittää CyberSmartin Akhtar.
"Tämä auttaa käsittelemään sisäpiiriuhkia, koska se auttaa yrityksiä ottamaan käyttöön prosessit ja käytännön toimet niiden torjumiseksi. Lisäksi se rohkaisee organisaatioita pohtimaan sisäpiiriläisten aiheuttamia uhkia ja sitä, kuinka turvatoimiaan voidaan jatkuvasti parantaa.
Kuitenkin kyberturvallisuusstandardit ja -järjestelmät, kuten Cyber Essentials voi saada vain organisaatioita toistaiseksi. Heidän on myös otettava huomioon sisäpiiririskin taustalla olevat syyt. Tämä saattaa edellyttää yrityksen työkulttuurin perusteellista uudelleenarviointia.
"Petokset ovat kaikkien asia", Cifas's Carpenter päättää. Organisaatio, joka osallistuu petostentorjuntakoulutukseen ja sitoutuu petostentorjuntakulttuurin rakentamiseen ja kehittämiseen, on paremmin valmistautunut paitsi torjumaan kasvavaa sisäpiiriuhkaa myös suojelemaan henkilöstöään, asiakkaitaan ja laajempia sidosryhmiään."
