W kwietniu 2022 roku Gartner opublikował „Market Guide for Insider Risk Management Solutions” w którym informuje, że ilość incydentów bezpieczeństwa, których źródłem byli pracownicy, wzrosła o 44,3% w roku 2021 w stosunku do roku 2020. Badane organizacje wydały średnio 34% więcej na walkę z zagrożeniami wewnętrznymi w roku 2021, niż miało to miejsce w 2020. Ośrodek badawczy Ponemon Institute, opublikował w 2022 roku raport „Cost of Insider Threats Global Report” w którym podaje kolejne twarde liczby. W 278 badanych organizacjach (na terenie Europy), odnotowano ponad 6800 incydentów tego typu, a średni koszt ich obsługi rocznie, wyniósł ponad 15 milionów dolarów.
MINIMALIZACJA RYZYKA
Większość takich zdarzeń wynika z zaniedbania czy błędów (56% według Ponemon Institute). 18% jest powiązane z kradzieżą poświadczeń użytkownika. Jednak aż 26% wynika z działań o podłożu kryminalnym. Podejmując temat zarządzania ryzykiem wewnętrznym (ang. Insider Risk Mana-gement), powinniśmy działać kompleksowo. Do rozwiązań technologicznych, konieczne jest dołożenie środków organizacyjnych i prawnych.
ROZWIĄZANIA ORGANIZACYJNE
Zacznijmy od bardziej „miękkich” środków bezpieczeństwa. Kwestie organizacyjne, np. umowy, szkolenia i przekazywanie informacji o kulturze organizacji, mogą zniechęcić potencjalnego oszusta do podejrzanych działań.
HR
Proces rekrutacji — to tu zaczyna się weryfikacja osoby, pod kątem referencji, doświadczenia czy luk w życiorysie. Na tym etapie możemy uzyskać pierwsze informacje na temat tego, czy danej osobie możemy za-ufać.
Umowy i klauzule
Po pomyślnie zakończonym procesie rekrutacji, kolejne elementy zabezpieczenia wprowadzić możemy na polu zawiera-nych umów. To etap, na którym zawierane są umowy o pouf-ności (NDA) i jeśli jest to uzasadnione, o zakazie konkurencji. W przypadku tych drugich, upewnijmy się, że umowa będzie skuteczna i możliwa do wyegzekwowania, choćby z uwagi na ustalony czas jej trwania czy wynagrodzenia po ustaniu za-trudnienia.
Polityki bezpieczeństwa i procedury
Gdy jesteśmy przy onboardingu, do akcji wchodzą polityki bezpieczeństwa, procedury i regulaminy. Zapoznajemy osobę z zasadami jakie panują w organizacji. Warto pamiętać, aby przekazać informacje o tym, co stanowi tajemnicę przedsiębiorstwa. To szalenie istotny element, w przypadku ewentualnego konfliktu. Dokumenty te, powinny podlegać przeglądom, aktualizacjom a osoby, które zobligowano do ich przestrzegania, cyklicznie uświadamiane co do ich zapisów. Gdy planujemy prowadzić działania mające na celu np. monitorowanie aktywności pracownika, pamiętajmy też o tym, aby uprzedzić go o tym, choćby w ramach polityki bezpieczeństwa.
Szkolenia
Przed realizacją zadań służbowych, warto pracownika przeszkolić. Szkolenia z cyberbezpieczeństwa, ochrony danych osobowych, etyki i zasad postępowań są istotnym elementem, za pomocą którego możemy zaakcentować nacisk, jaki kładziemy na ochronę informacji. Warto takie szkolenia przeprowadzać cyklicznie oraz weryfikować ich skuteczność np. testami socjotechnicznymi.
Analiza zachowania
Warto zwrócić uwagę na kwestie behawioralne. Takie zachowania jak praca w nietypowych godzinach, częste spory z pracownikami, nagła zmiana statusu finansowego, spadek wydajności czy częste opuszczanie pracy, mogą wzbudzić podejrzenia. Same w sobie mogą oznaczać, na przykład, zmiany w życiu prywatnym pracownika, ale w połączeniu z sygnałami z urządzeń czy systemów, o których poniżej, otrzymujemy szerszy kontekst, po-zwalający na wyciągnięcie konkretnych wniosków.
ROZWIĄZNIA TECHNICZNE
Przejdźmy do rozwiązań technicznych. Będziemy mieli tutaj systemy analizujące zachowania i działania pracowników, rozwiązania ułatwiające zarządzanie alarmami czy wreszcie rozwiązania sprzętowe, łączące w sobie wiele funkcjonalności.
DLP
Jako podstawę weryfikowania aktywności użytkowników, warto zastosować rozwiązania analizujące operacje wykonywane na danych, takie jak np. DLP (Data Loss Prevention). Podnoszą one poziom bezpieczeństwa przed kradzieżą danych czy przypadkowym wyciekiem. Bazują w głównej mierze na ciągłej analizie działań podejmowanych przez użytkownika, zgodnie z ustalonymi politykami.
SIEM
W sukurs rozwiązaniom DLP, idą systemy SIEM (Security Information and Event Management). Dzięki połączeniu funkcji takich, jak zbieranie i przechowywanie logów, gromadzeniu danych związanych z bezpieczeństwem z wielu źródeł (zapory firewall, ser-wery, routery, antywirusy) oraz moni-torowaniu, analizie, wizualizacji i ko-relacji zdarzeń, stają się centralnym systemem bezpieczeństwa. Systemy tego typu, generują alarmy zgodnie z zasadami jakie skonfigurujemy i znacznie ułatwiają zarządzanie informacjami, zwłaszcza w bardziej rozbudowanych środowiskach.
Monitoring i kontrola
Nie możemy zapomnieć o monitorowaniu i kontroli dostępu do danych, które znajdują się w posiadaniu firmy. Dobrą praktyką jest stosowanie po-lityki minimalnych uprawnień, czyli dostępu tylko do wymaganych informa-cji. Należy również mieć oko na nieudane próby uzyskania dostępu do danych, do których osoba nie powinna się dostać.
UTM
Monitorować należy również ruch sieciowy, na okoliczność nietypowych zachowań takich jak niestandardowe ilości pobieranych czy wysyłanych danych, połączenia z podejrzanymi usługami, adresami. Te oraz wiele innych zadań, realizują urządzenia typu UTM (ang. Unified Threat Manage-ment). Podobnie podejrzane mogą być na przykład nienaturalne godziny aktywności. Jak mawia przysłowie – gdy kota nie ma, myszy harcują.
Inne płaszczyzny, które należy uwzględnić
Pod uwagę należy wziąć również takie kwestie jak praca zdalna, która może być polem do nadużyć i oszustw, a także aktywność pracowników z wy-korzystaniem usług w chmurze czy bezpieczeństwo i monitoring urządzeń mobilnych. Innymi systemami na które warto zwrócić uwagę są m.in. PAM (Privileged Access Management), UEBA (User and Entity Behavior Analy-tics) czy IAM (Identity and Access Management).
ŚRODKI PRAWNE
Czy uda nam się zbudować system w 100% odporny na zagrożenie, jakim jest nieuczciwy pracownik? Nigdy. Warto jednak pracować nad tym, aby w ramach możliwości, maksymalizować swoje szanse w tym starciu. Gdy już dojdzie do incydentu, a taka osoba wykradnie firmowe dane, przekaże dostęp do systemów osobie nieupoważnionej czy np. dopuści się fraudu, organizacja musi być w stanie udowodnić, że podjęła kroki dążące do te-go, by ryzyko minimalizować. Udowodnić, że zasoby które uległy upublicznieniu bądź trafiły w ręce konkurencji, stanowiły tajemnicę przedsiębiorstwa.
Pamiętajmy również o przepisach prawnych, które chronią firmy, takich jak, na przykład:
Art. 100 § 2 pkt 4 Kodeksu pracy, który traktuje o tym, że pracownik zobowiązany jest dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Zgodnie z art. 122 Kodeksu pracy, nieuczciwy pracownik ponosi odpowiedzialność odszkodowawczą w pełnej wysokości, bez ograniczeń kwotowych.
Ustawa z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji, uznaje za taki czyn m.in. przekazanie, ujawnianie lub wy-korzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, o ile zagraża lub na-rusza interes przedsiębiorcy.
PODSUMOWANIE
Z perspektywy organizacji, mamy zatem przynajmniej trzy płaszczyzny, na których możemy zabezpieczyć się przed nieuczciwym pracownikiem. Przybliżyłem je począwszy od organizacyjnych, przez techniczne które budzą największe zainteresowanie, a na prawnych skończywszy. Niemniej jednak, nie należy kwestii prawnych traktować jako najmniej ważnych. Gdy przysłowiowe mleko już się rozleje, to właśnie na tym polu rozegra się batalia. Czy może być ona skuteczna? Tak. Moje doświadczenie jako świadka w postępowaniach sądowych, pro-wadzonych przeciwko nieuczciwym pracownikom pokazuje, że można i trzeba. Jakość zebranych dowodów przez organizację i odpowiednio prowadzona dokumentacja, mogą mieć kluczowe znaczenie.
