Νέα έρευνα για τις "εσωτερικές απειλές" σε ένα οργανισμό ή σε μία εταιρεία

Σύμφωνα με τα ευρήματα της νέας έρευνας της IDC, τα τυχαία περιστατικά όπου η ασφάλεια των δεδομένων ενός οργανισμού απειλείται από ενέργειες που προέρχονται από το εσωτερικό του, συμβαίνουν πιο συχνά και έχουν ενδεχομένως περισσότερες αρνητικές επιπτώσεις σε σχέση με τις κακόβουλες εσωτερικές επιθέσεις. Τα παραπάνω στοιχεία παρουσίασε σήμερα η RSA, το τμήμα εφαρμογών ασφάλειας δεδομένων της EMC, με την υποστήριξη του οποίου πραγματοποιήθηκε η σχετική έρευνα.

Από την έρευνα της IDC αναδεικνύεται, επίσης, μια ανακολουθία που υπάρχει ανάμεσα στο τι αξιολογεί ως ενδεχόμενη απειλή ασφαλείας η πλειοψηφία των Γενικών Τεχνικών Διευθυντών (CXOs), οι οποίοι δίνουν μεγαλύτερη προτεραιότητα στην προστασία έναντι κακόβουλων επιθέσεων από το εσωτερικό των οργανισμών τους, αντί να επενδύουν περισσότερους πόρους για την αποτροπή τυχαίων περιστατικών που συμβαίνουν πιο συχνά κι εκθέτουν τον οργανισμό τους σε δυνητικά μεγαλύτερους κινδύνους.

Η έρευνα της IDC, η οποία πραγματοποιήθηκε με την υποστήριξη της RSA και δημοσιοποιήθηκε πρόσφατα, έχει τίτλο “Insider Risk Management: A Framework Approach to Internal Security,” και εξετάζει τα θέματα έκθεσης σε κίνδυνο και τις ενδεχόμενες απειλές που προέρχονται από το εσωτερικό των οργανισμών και από τις ενέργειες χρηστών οι οποίοι διαθέτουν πρόσβαση σε κρίσιμα συστήματα και σε εμπιστευτικές πληροφορίες.

Ενώ γενικά υπάρχει επίγνωση των απειλών ασφαλείας που μπορεί να δημιουργήσουν οι χρήστες από το εσωτερικό των οργανισμών, ο φόβος εξωτερικών επιθέσεων πολλές φορές οδηγεί στην υποτίμηση του εσωτερικού κινδύνου και κατ’ επέκταση μειώνει τη σημασία που έχει η πρόληψη έναντι των σχετικών κινδύνων.

Η νέα έρευνα αποκαλύπτει την αναντιστοιχία που υπάρχει ανάμεσα στο τι αξιολογούν ως ενδεχόμενη απειλή ασφαλείας οι Γενικοί Τεχνικοί Διευθυντές και στην πραγματικότητα που απεικονίζεται από την αύξηση των περιστατικών που εκθέτουν τους οργανισμούς σε κίνδυνο και προέρχονται από το εσωτερικό, καθώς επίσης και στο ποιες μπορεί να είναι οι οικονομικές επιπτώσεις τυχαίων τέτοιων περιστατικών, λανθασμένων δικαιωμάτων πρόσβασης σε πληροφορίες και κακής χρήσης εμπιστευτικών δεδομένων της επιχείρησης από τους υπαλλήλους της.

Η πλειοψηφία των ειδικών της πληροφορικής από ολόκληρο τον κόσμο που απάντησαν στην έρευνα, έδειξε να μην έχει σαφή εικόνα τόσο για τα σημεία στο εσωτερικό των οργανισμών τους απ’ όπου μπορεί να προκύψει ένα θέμα ασφαλείας, όσο και για τις προθέσεις αυτού που το επιχειρεί, ενώ παράλληλα έδειξαν δυσκολία στο να εκτιμήσουν τις οικονομικές συνέπειες και την επίδραση στη ροή των εργασιών της επιχείρησης που θα είχε η πραγματοποίηση ενός τέτοιου ενδεχομένου. Το 52% των οργανισμών που συμμετείχαν στην έρευνα χαρακτήρισαν την απειλή που προέρχεται από το εσωτερικό της εταιρείας ως κατά κύριο λόγο συμπτωματική, το 19% θεωρεί ότι οι απειλές κατά της ασφάλειας είναι εσκεμμένες, ενώ από τους υπόλοιπους, το 26% πιστεύει ότι υπάρχει ίση πιθανότητα ανάμεσα στην κακόβουλη και τη μη ηθελημένη απειλή και το 3% εκφράζει την αβεβαιότητα του. Παρόλα αυτά, το 82% των Γενικών Τεχνικών Διευθυντών, όταν ρωτήθηκαν να αξιολογήσουν βάσει της σοβαρότητας τους τα κυριότερα περιστατικά παραβίασης των πρωτόκολλων ασφαλείας του παρελθόντος , δεν ήταν βέβαιοι εάν τα προβλήματα που είχαν δημιουργηθεί από ενέργειες προσωρινών υπαλλήλων ή εξωτερικών συνεργατών ήταν συμπτωματικά ή εσκεμμένα.

“Οι εργοδότες θεωρούν ότι έχουν μια σχέση εμπιστοσύνης με τους υπαλλήλους τους και αναγνωρίζουν ότι το προσωπικό της επιχείρησης είναι το μεγαλύτερο περιουσιακό της στοιχείο,” δήλωσε ο κ. Chris Christiansen, αντιπρόεδρος του προγράμματος Security Products στην IDC. “Αλλά, τόσο το μέγεθος, όσο και η ίδια η φύση των υποδομών ενός οργανισμού, σε συνδυασμό με μια υπαλληλική βάση που είναι διασκορπισμένη, συχνά, σε διαφορετικά γεωγραφικά σημεία, καθώς και με την πολυπλοκότητα που προσδίδει στον όρο ‘εσωτερικός χρήστης’ η ανάμιξη υπαλλήλων, συμβούλων, συνεργατών ή υπεργολάβων, καθιστούν την αντιμετώπιση των κινδύνων που προέρχονται από τους εσωτερικούς χρήστες μια από τις μεγαλύτερες προκλήσεις που αντιμετωπίζουν σήμερα οι Γενικοί Τεχνικοί Διευθυντές: το εάν οι κίνδυνοι αυτοί δημιουργούνται εκουσίως ή όχι δεν αναιρεί το γεγονός ότι το ρίσκο είναι πραγματικό. Οι κίνδυνοι είναι υπαρκτοί.”

Άλλα χρήσιμα συμπεράσματα που προκύπτουν από την έρευνα έχουν να κάνουν με το πλήθος των περιστατικών εσωτερικών απειλών που αντιμετωπίζουν οι επιχειρήσεις. Μέσα στους 12 τελευταίους μήνες τα 400 ειδικευμένα στελέχη που απάντησαν στην έρευνα αναγνώρισαν 6.330 περιστατικά ακούσιας απώλειας δεδομένων, 5.907 επιθέσεις με προγράμματα Malware ή Spyware προερχόμενα από το εσωτερικό της επιχείρησης και 5.831 περιστατικά έκθεσης σε κίνδυνο λόγω κακής διαχείρισης των δικαιωμάτων πρόσβασης των χρηστών. Συνολικά, ο αριθμός των περιστατικών που εντοπίστηκαν τους 12 τελευταίους μήνες και αναφέρθηκαν στην έρευνα ανήλθε στα 58.097.

Σύμφωνα με τα αποτελέσματα της έρευνας, σχεδόν το 40% των οργανισμών σχεδιάζουν να αυξήσουν μέσα στους επόμενους 12 μήνες τις δαπάνες για την αντιμετώπιση των εσωτερικών απειλών κατά της ασφάλειας των δεδομένων τους, ενώ μόλις έξι τοις εκατό είναι αυτοί που προγραμματίζουν περικοπές στα σχετικά κονδύλια. Τα ευρήματα αυτά δείχνουν ότι δεν υπάρχει μία μοναδική λύση ικανή να αντιμετωπίσει αποτελεσματικά όλους τους ενδεχόμενους εσωτερικούς κινδύνους, αλλά περισσότερο μια ανάγκη να επανεξεταστεί συνολικά η πολιτική διαχείρισης κινδύνων, να γίνει πιο κατανοητό το προφίλ του οργανισμού όσον αφορά την έκθεση σε κινδύνους και να εντοπιστούν τα σημεία στα οποία θα πρέπει να γίνει επιπλέον θωράκιση.

“Η ασφάλεια δεν αφορά μόνο την ομάδα που έχει την ευθύνη για τη διαφύλαξη της, αλλά είναι δουλειά του καθενός,” δήλωσε ο κ. Christopher Young, επίτιμος Αντιπρόεδρος στην RSA. “Οι κίνδυνοι που προέρχονται από το εσωτερικό ενός οργανισμού συνεχώς πολλαπλασιάζονται. Οι Γενικοί Διευθυντές των Τεχνικών τμημάτων, προκειμένου να παραμείνουν ανταγωνιστικοί, θα πρέπει να αλλάξουν τον τρόπο με τον οποίο υπερασπίζονται τις δραστηριότητες της επιχείρησης τους και να επεκτείνουν την πολιτική ασφαλείας που ακολουθούν έτσι ώστε να προστατευτούν από τον αυξημένο κίνδυνο που μπορεί να προέλθει τόσο από εσκεμμένες όσο και από συμπτωματικές ενέργειες στο εσωτερικό του οργανισμού τους. Οι Γενικοί Τεχνικοί Διευθυντές θα πρέπει να υιοθετήσουν μια ολιστική στρατηγική για τον περιορισμό των ενδεχόμενων κινδύνων η οποία θα εστιάζει στην προστασία των κρίσιμων πληροφοριών από το ενδεχόμενο οι εσωτερικοί χρήστες να τις χρησιμοποιήσουν με λανθασμένο τρόπο, να προξενήσουν τη διαρροή τους ή να τις χάσουν, είτε συμπτωματικά είτε εσκεμμένα. ”

Παρά το γεγονός ότι οι αποφασισμένοι χάκερς διαθέτουν υψηλά επίπεδα τεχνογνωσίας, τα νέα στοιχεία που προκύπτουν από την έρευνα υπογραμμίζουν ότι η ακούσια παραβίαση των πρωτόκολλων ασφαλείας και η μη ηθελημένη απώλεια δεδομένων επηρεάζουν τη λειτουργία ενός οργανισμού περισσότερο απ’ ότι οι εσκεμμένες, κακόβουλες επιθέσεις.

Στα βασικά ευρήματα της έρευνας περιλαμβάνονται τα εξής:

• Η ακούσια έναντι της εσκεμμένης απειλής ασφαλείας: Οι απειλές που προέρχονται από κακόβουλες ενέργειες στο εσωτερικό των οργανισμών, όπως είναι η μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικά στοιχεία, καθώς και η διάδοση προγραμμάτων malware και spyware, βρίσκονται ψηλά στη λίστα των θεμάτων που απασχολούν τους Γενικούς Τεχνικούς Διευθυντές. Παρόλα αυτά, οι περισσότερες σοβαρές απειλές ασφαλείας (όπως σε περιπτώσεις μη ηθελημένης απώλειας δεδομένων λόγω της αμέλειας κάποιου υπαλλήλου) και οι μεγαλύτερες οικονομικές επιπτώσεις (εξαιτίας, για παράδειγμα, πλημμελούς ή καθυστερημένης ενημέρωσης του προφίλ ενός χρήστη σχετικά με τα δικαιώματα πρόσβασης που είχε) είχαν συμπτωματικό χαρακτήρα.
• Η πηγή της απειλής : Την περασμένη χρονιά, οι σοβαρότερες εσωτερικές απειλές προήλθαν από προσωρινούς υπαλλήλους ή συνεργάτες.
• Η οικονομική ζημιά : Σε σχεδόν 800.000 δολάρια ανέρχεται κατά μέσο όρο η ετήσια οικονομική ζημιά που υφίστανται οι επιχειρήσεις του κλάδου του IT Outsourcing.
• Η αβεβαιότητα των υπευθύνων: Ενώ το 93% όσων απάντησαν στην έρευνα είχαν την ευθύνη για τη λήψη αποφάσεων σχετικών με την ασφάλεια στο εσωτερικό των οργανισμών τους, ένα ποσοστό ίσο περίπου με 82% δεν είχε σαφή εικόνα για τα σημεία από τα οποία μπορεί να προέλθει μια εσωτερική απειλή, ενώ επίσης δεν ήταν σε θέση να προσδιορίσουν με ακρίβεια ή να ποσοτικοποιήσουν το ύψος της επαπειλούμενης οικονομικής ζημιάς.

To κείμενο της σχετικής μελέτης της IDC, η οποία διενεργήθηκε με την υποστήριξη της RSA, έχει τίτλο “Insider Risk Management: A Framework Approach to Internal Security,” και είναι διαθέσιμο από την ηλεκτρονική διεύθυνση www.rsa.com/insider-risk.