Zagrożenia wewnętrzne
Osoby mające dostęp do informacji poufnych mogą już mieć autoryzowany dostęp do danych i wiedzę. Dlatego też trudniej jest zapobiec zagrożeniom wewnętrznym niż atakom zewnętrznym. Ataki wewnętrzne mogą pozostać niewykryte przez miesiące, a nawet lata, zanim zostaną wykryte, ułatwiając cyberprzestępcom osiągnięcie ich celów.
Niektóre z najtrudniejszych do zapobieżenia ataków to wyrafinowane ataki, w których bierze udział wiele osób pracujących w tym samym czasie, takich jak pierścienie oszustw lub szpiegostwo cybernetyczne. Wynika to z faktu, że trudniej jest wykryć skoordynowany atak z wieloma zdarzeniami lub spójny wzorzec podejrzanego zachowania, a także odróżnić tego rodzaju działania w złych intencjach od wielu legalnych zastosowań systemu.
Niektóre potencjalne środki łagodzące zagrożenie wewnętrzne obejmują przeprowadzanie regularnych przeglądów dostępu do danych, sprawdzanie przeszłości pracowników, kontrole bezpieczeństwa i dostępu do danych, świadomość personelu i szkolenia. Każdy pracownik w organizacji, a w szczególności zespoły IT i bezpieczeństwa, powinien być zaznajomiony z planem reagowania na incydenty organizacji i udokumentowanymi procedurami, których należy przestrzegać w przypadku incydentu. Taki plan reagowania na incydenty powinien stanowić część dojrzałej i dobrze sformułowanej strategii bezpieczeństwa, w tym zarządzania “przynieś własne urządzenie” (BYOD) i “internetem rzeczy” oraz zapewnienia “prywatności w fazie projektowania” w celu przewidywania dynamicznych zagrożeń cybernetycznych.
Wreszcie, organizacje powinny rozważyć wdrożenie rozwiązania zapobiegającego utracie danych, aby zapobiec “wyciekaniu” wrażliwych danych – takich jak dane osobowe (PII) – poza sieć. Rozwiązanie to wykrywa potencjalne naruszenia danych i powstrzymuje je, kontrolując sposób korzystania z zewnętrznych urządzeń pamięci masowej (pamięci USB).
Koncentrując się na dostarczanych informacjach lub instrukcjach, pracownik będzie bardziej skłonny przeoczyć fakt, że jest obsługiwany w taki sposób, że jego działania online są dokładnie kontrolowane. Takie polityki chronią własność intelektualną i dane osobowe klientów poprzez śledzenie i kontrolowanie dystrybucji i telekomunikacji wrażliwych danych.
Ataki złośliwego oprogramowania
Istnieje kilka rodzajów złośliwego oprogramowania które może zostać wykorzystane do naruszenia poufnych danych. Pierwszym rodzajem złośliwego oprogramowania, który rozważymy, jest wirus. Większość ludzi słyszała o nich i wie, że mogą powodować znaczne uszkodzenia komputerów, ale wiele osób nie wie dokładnie, jak działają. Wirus to fragment kodu komputerowego, który dołącza się do istniejącego programu, takiego jak edytor tekstu lub gra. Następnie, za każdym razem, gdy program jest uruchamiany, wirus powiela się i dołącza do innych programów. To ostatecznie uniemożliwi prawidłowe działanie tych programów. Niestety, możliwe są również wirusy zaprojektowane do wyszukiwania i usuwania określonych typów plików w systemie. Może to zostać wykorzystane do usunięcia szczególnie ważnego pliku lub po prostu do uszkodzenia jak największej ilości danych w systemie.
Robaki są bardzo podobne do wirusów pod względem sposobu działania i zamierzonego celu. Istnieją jednak różnice między wirusami a robakami, ponieważ robak nie zmienia programów na komputerze i może przenosić się przez e-mail. Ponadto robaki mogą mieć różne destrukcyjne sposoby wpływania na komputer, takie jak usuwanie plików lub po prostu uszkadzanie danych w systemie.
Ransomware jest szczególnie paskudną formą złośliwego oprogramowania. Gdy komputer zostanie zainfekowany, zablokuje on system lub zaszyfruje jego dane. Właściciel komputera otrzyma następnie wiadomość z informacją, że należy zapłacić okup, aby ponownie uzyskać dostęp do komputera i jego danych. Istnieją trzy główne powody, dla których oprogramowanie ransomware jest tak skuteczne dla przestępców. Po pierwsze, szyfrowanie uniemożliwia ustalenie, czyje są to dane, więc przestępca może twierdzić, że należą one do kogokolwiek. Po drugie, bardzo trudno jest złapać przestępcę, ponieważ nie pobiera on pieniędzy bezpośrednio od ofiary, więc nie ma do niego żadnego śladu, jeśli ofiara zdecyduje się zapłacić okup. Wreszcie, dość łatwo jest zachować anonimowość podczas konfigurowania ataków ransomware, więc trudno jest znaleźć przestępcę w pierwszej kolejności. Ten rodzaj ataku jest często wykorzystywany w wiadomościach phishingowych.
Inną formą złośliwego oprogramowania, które może bardzo skutecznie wykorzystywać naruszenie danych nazywany jest trojanem lub “koniem trojańskim”. Program ten został zaprojektowany do wykonywania wyrafinowanych zadań, których nie potrafi żaden inny rodzaj złośliwego oprogramowania. Jest w stanie wyszukiwać informacje, zmieniać dane i spowalniać działanie komputera. To sprawia, że jest to bardzo potężne narzędzie, gdy używa go haker. Mogą oni wykorzystać naruszenie danych do znalezienia informacji osobistych, a następnie zmienić ustawienia i sprawić, że komputer nie będzie działał poprawnie, gdy użytkownik zacznie z niego korzystać. Ale w tym momencie powinno być jasne, że istnieje wiele różnych sposobów, w jakie złośliwe oprogramowanie może przeniknąć do systemu komputerowego w celu naruszenia bezpieczeństwa i naruszenia danych. W następnej sekcji przyjrzymy się, w jaki sposób phishing i socjotechnika mogą być wykorzystywane do nakłaniania osób do ujawnienia poufnych informacji.
Phishing i inżynieria społeczna
Ataki phishingowe zazwyczaj wykorzystują i próbują wykorzystać słabe punkty zabezpieczeń w ludzkich umysłach. Próbują zaskoczyć użytkownika w przypadkach, gdy ma on osłabione mechanizmy obronne. Jest to atak, w którym atakujący (lub “zły facet”) udaje kogoś innego z zamiarem nakłonienia ofiary do ujawnienia pewnych danych osobowych lub tajemnicy handlowej. Kluczem do tego typu ataku jest zaufanie.
Na przykład, mogą Państwo ufać, że nazwa, która pojawia się na ekranie, gdy ktoś dzwoni do Państwa za pośrednictwem czatu wideo, jest rzeczywistą osobą, z którą oczekują Państwo porozmawiać. Może Pan/Pani ufać, że gdy otrzyma Pan/Pani wiadomość e-mail od swojego banku z prośbą o aktualizację informacji w związku z nową aktualizacją oprogramowania, logo, które Pan/Pani widzi oraz kolory i style użyte w wiadomości e-mail są naprawdę logo i stylami banku. Są to ataki socjotechniczne, wykorzystujące fakt, że celem końcowym jest człowiek. Mogą one wywoływać emocje, ciekawość, strach lub chęć pomocy, a emocje te mogą zastąpić racjonalne lub sceptyczne myślenie.
W przeciwieństwie do innych danych osobowych, które są chronione na mocy FERPA, numery ubezpieczenia społecznego mają szczególne znaczenie dla kradzieży tożsamości i mogą mieć daleko idące skutki przez lata po naruszeniu danych. Ponieważ są one kluczowym sposobem identyfikacji osoby i są często wykorzystywane do przeprowadzania transakcji, znajomość czyichś numerów ubezpieczenia społecznego może umożliwić uruchomienie wielu form kradzieży tożsamości i oszustw. Ofiary naruszeń danych dotyczących numerów ubezpieczenia społecznego często ponoszą straty finansowe i negatywne wydarzenia życiowe i zazwyczaj są zobowiązane do zakupu usług ochrony przed kradzieżą tożsamości lub monitorowania kredytu w następstwie naruszenia.
W styczniu 2020 r. zgłoszono, że oszustwa związane z formularzami W-2 i oszustwa związane z naruszeniem bezpieczeństwa poczty elektronicznej stają się istotnym zagrożeniem w sektorze szkolnictwa wyższego – oszustwa te wydają się nakładać cechy zarówno phishingu, jak i inżynierii społecznej, biorąc pod uwagę, że formularze W-2 mogą być wykorzystywane do kradzieży tożsamości, a naruszenie bezpieczeństwa poczty elektronicznej jest rodzajem naprawdę dużego oszustwa finansowego popełnianego zwykle przez wiele miesięcy w kontekście większej firmy.
Naruszenia bezpieczeństwa fizycznego
Naruszenia bezpieczeństwa fizycznego obejmują nieautoryzowany dostęp do fizycznych lokalizacji, w których przechowywane są wrażliwe dane. Może to nastąpić w wyniku kradzieży, nieautoryzowanego wejścia lub zaniedbania w obchodzeniu się z fizycznymi urządzeniami pamięci masowej, takimi jak dyski twarde lub USB. Przykładowo, dana osoba może próbować ominąć kontrole bezpieczeństwa i uzyskać dostęp do serwerowni lub przestrzeni biurowej, w której znajdują się serwery, komputery lub inne urządzenia pamięci masowej. Po wejściu do środka może ukraść serwery lub dyski twarde lub manipulować istniejącym sprzętem w sposób zagrażający przechowywanym danym.
Naruszenia bezpieczeństwa fizycznego są szczególnie niepokojące, ponieważ niewłaściwe użycie sprzętu może być trudne do wykrycia, a późniejsze dochodzenie i działania naprawcze mogą być czasochłonne i kosztowne. Aby pomóc w ochronie przed takimi naruszeniami, organizacje powinny przeprowadzać regularne oceny ryzyka wszystkich fizycznych miejsc przechowywania danych w celu zidentyfikowania i wyeliminowania słabych punktów. Niektóre często pomijane obszary, które należy wziąć pod uwagę, obejmują bezpieczne przechowywanie dokumentów, serwerownie i miejsca pracy, w których poufne dane są dostępne lub obsługiwane.
Ponadto wszyscy pracownicy powinni zostać przeszkoleni w zakresie identyfikowania i zgłaszania podejrzanych osób lub działań. Powinien istnieć jasny i skuteczny proces eskalacji i reagowania na takie zgłoszenia. Wreszcie, należy wdrożyć solidne kontrole dostępu, aby zapobiec nieautoryzowanemu dostępowi, takie jak korzystanie z systemów kart płatniczych, a technologie nadzoru, takie jak systemy wykrywania włamań i kamery bezpieczeństwa, mogą być instalowane w celu zapewnienia ciągłego lub okresowego monitorowania obszarów wysokiego ryzyka.
Naruszenia danych przez osoby trzecie
Naruszenia danych osób trzecich wiążą się z naruszeniem danych obsługiwanych przez podmioty zewnętrzne. Na przykład w połowie 2017 r. świat był świadkiem ogromnego naruszenia danych osób trzecich. Znana i powszechnie używana firma marketingowa i agregująca dane, znana jako River City Media, ujawniła bazę danych zawierającą 1,34 miliarda kont e-mail. Wynikało to z błędnie skonfigurowanej bazy danych zawierającej wszystkie dane zebrane przez firmę; to z kolei oferowało bezpłatny i łatwy system dla każdego w Internecie, aby uzyskać dostęp do tego bogactwa danych.
Było to szczególnie katastrofalne w skutkach dla każdego, kto korzystał z tego samego adresu e-mail w kilku różnych usługach online, ponieważ naruszenie mogło potencjalnie umożliwić hakerom uzyskanie dostępu do innych kont posiadanych przez ofiary. Naruszenia ze strony osób trzecich mogą wystąpić, gdy usługodawca lub partner biznesowy uzyska dostęp do poufnych informacji organizacji. Naruszenia te są niezwykle szkodliwe zarówno dla osób, których dotyczą, jak i dla powiązanej firmy lub organizacji.
Organizacje muszą zachować czujność, starannie wybierając strony trzecie, którym zezwalają na dostęp do wrażliwych danych. Organizacje powinny również zapewnić przeprowadzenie należytej staranności i zawarcie wszystkich niezbędnych postanowień w umowach i umowach o gwarantowanym poziomie usług. Należyta odpowiedzialność spoczywa nie tylko na głównej organizacji – organizacje zewnętrzne muszą również zapewnić, że posiadają rygorystyczne i kompleksowe środki bezpieczeństwa cybernetycznego i danych.
Należy wdrożyć solidne mechanizmy ochrony danych i monitorować, aby zapewnić szybką identyfikację naruszeń lub prób naruszenia i reagowanie na nie. Wreszcie, chociaż tego rodzaju naruszenie ma miejsce poza główną organizacją, wszystkie naruszenia – niezależnie od rodzaju i wagi – wymagają kompleksowej i metodycznej reakcji i dochodzenia. Organizacje powinny upewnić się, że protokoły i plany reagowania są regularnie przeglądane i ćwiczone, aby zapewnić, że każde naruszenie, duże lub małe, może zostać rozwiązane szybko i skutecznie.