După 14 luni de analiză și peste 15.000 de dosare legale consultate, analistul de securitate Michael Robinson a sintetizat 1.000 de cazuri reale de comportament malițios din interiorul organizațiilor.
Rezultatele studiului său, care va fi prezentat la conferința Black Hat Europe, oferă o imagine detaliată asupra modului în care apar, evoluează și se manifestă amenințările interne, un subiect adesea ignorat în discuțiile publice despre securitatea cibernetică, scrie DarkReading.
Robinson subliniază că, deși companiile discută deschis despre atacuri externe precum ransomware-ul sau acțiunile statelor, incidentele generate de propriii angajați rămân un „secret murdar” al industriei.
Cercetarea sa, bazată pe arhive judiciare din 84 de districte federale americane, arată că fenomenul este prezent în peste 75 de domenii, de la IT și finanțe până la producție, sănătate cibernetică și administrație publică.
Cine sunt, de fapt, „insiderii” și de ce sunt greu de depistat
Contrar percepției generale, o mare parte dintre autorii acestor fapte nu sunt angajați frustrați sau slab performanți. Aproximativ 25% dintre cazuri implică persoane din conducere, vicepreședinți, directori sau chiar președinți de companii, iar aproape 20% sunt angajați promovați recent, considerați anterior „performeri de top”.
Robinson arată că ambiția și accesul la informații sensibile pot deveni o combinație periculoasă atunci când sunt folosite în mod abuziv.
Un alt mit demontat este acela că riscul dispare odată cu plecarea unui angajat. În peste jumătate dintre cazuri, persoanele implicate au părăsit voluntar organizația, dar au continuat să producă daune după demisie, folosind conturi și acces la platforme cloud care nu fuseseră revocate complet.
Acest tip de vulnerabilitate, accentuat de utilizarea tot mai frecventă a instrumentelor de lucru la distanță, face dificilă detectarea și blocarea comportamentelor abuzive.
Noi tipare de atac și greșeli de gestionare internă
Studiul mai arată o sofisticare tot mai mare în metodele folosite pentru exfiltrarea datelor. În numeroase cazuri, angajații au combinat mai multe tehnici, e-mail, dispozitive USB, servicii cloud sau chiar fotografierea ecranului, pentru a ascunde urmele activității lor.
În 31% dintre situații, acțiunile au fost realizate în colaborare de mai mulți angajați, ceea ce face ca instrumentele automate de analiză comportamentală să nu poată detecta eficient activitățile suspecte.
Robinson critică dependența excesivă de modelele bazate pe inteligență artificială, care nu reușesc să țină pasul cu schimbările dinamice ale comportamentului utilizatorilor.
El recomandă organizațiilor să extindă perioadele de păstrare a jurnalelor de activitate și să mențină o vizibilitate constantă asupra accesului la resursele digitale.
De asemenea, subliniază importanța închiderii imediate a conturilor atunci când un angajat își anunță plecarea, pentru a reduce riscurile.
Concluzia sa este clară: amenințarea din interior nu poate fi combătută doar prin tehnologie sau prin încredere oarbă în angajați. Este, așadar, nevoie de o abordare bazată pe date reale, colaborare între organizații și o cultură a transparenței în gestionarea incidentelor.
„Nu e vorba de frică”, spune Robinson, „ci de conștientizare. Doar înțelegând tiparele reale putem trece de la intuiție la prevenție.”