Co je insiderská hrozba?
Zjistěte, jak chránit vaši organizaci před insiderskými aktivitami, včetně uživatelů s autorizovaným přístupem, kteří můžou záměrně nebo neúmyslně způsobit incident zabezpečení dat.
Definice insiderské hrozby
Než se insider stane hrozbou, představuje riziko, které je definováno jako možnost, že osoba využije autorizovaný přístup k prostředkům organizace – ať už záměrně, nebo neúmyslně – způsobem, který negativně ovlivní organizaci. Takový přístup zahrnuje fyzický i virtuální přístup a takové prostředky zahrnují informace, procesy, systémy a zařízení.
Kdo je insider?
Insider je důvěryhodná osoba, která získala přístup k jakýmkoli firemním prostředkům, datům nebo systémům, které nejsou obecně dostupné veřejnosti, nebo o něm má nějaké znalosti. Mohou to být:
- Lidé, kteří mají visačku nebo jiné zařízení, které jim umožní nepřetržitě přistupovat k fyzickému majetku společnosti, jako je datové centrum nebo ústředí společnosti.
- Lidé, kteří mají firemní počítač s přístupem k síti.
- Lidé, kteří mají přístup k podnikové síti, cloudovým prostředkům, aplikacím nebo datům společnosti.
- Lidé, kteří mají znalosti o strategii společnosti a jejích financích.
- Lidé, kteří vytvářejí produkty nebo služby společnosti.
Typy insiderských hrozeb
Insiderská rizika lze rozpoznat obtížněji než vnější hrozby, protože insideři už mají přístup k prostředkům organizace a jsou seznámeni s bezpečnostními opatřeními společnosti. Znalost typů insiderských rizik pomáhá organizacím lépe chránit cenné prostředky.
-
Nehoda
Někdy lidé dělají chyby, které můžou vést k potenciálním bezpečnostním incidentům. Obchodní partner například pošle kolegovi dokument se zákaznickými daty, ale neuvědomí si, že daný kolega k prohlížení daných informací nemá oprávnění. Případně zaměstnanec odpoví na phishingové sdělení a nechtěně si nainstaluje malware.
-
Škodlivé úmysly
V případě škodlivého bezpečnostního incidentu způsobeného insiderem udělá zaměstnanec nebo důvěryhodná osoba záměrně něco, o čem ví, že to bude mít negativní vliv na společnost. Tito jednotlivci mohou být motivováni osobními křivdami nebo jinými osobními důvody a mohou se svými kroky snažit o finanční nebo osobní zisk.
-
Nedbalost
Nedbalost je podobná nehodě v tom, že příslušná osoba neměla v úmyslu způsobit incident zabezpečení dat. Rozdíl tkví v tom, že může vědomě porušovat zásady zabezpečení. Běžným příkladem je situace, kdy zaměstnanec umožní někomu vstoupit do budovy bez předložení visačky. Digitálním ekvivalentem by bylo překonání zásad zabezpečení bez pečlivého zvážení v zájmu rychlosti a pohodlí nebo přihlášení k firemním prostředkům přes nezabezpečené bezdrátové připojení.
-
Konspirace
Některé bezpečnostní incidenty způsobené insidery jsou důsledkem spolupráce důvěryhodné osoby s organizací kybernetických zločinců na páchání špionáže nebo krádeže. Jedná se o další typ škodlivého insiderského rizika.
Jak k škodlivým insiderským incidentům dochází?
K škodlivým incidentům způsobeným insidery může docházet mnoha různými způsoby nad rámec typického kybernetického útoku. Tady je několik běžných způsobů, kterými můžou insideři způsobovat bezpečnostní incidenty:
-
Násilí
Insideři mohou používat násilí nebo pohrůžky násilím k zastrašování jiných zaměstnanců nebo vyjadřování nespokojenosti v organizaci. Násilí může mít formu slovního napadání, sexuálního obtěžování, šikanování, fyzického napadání nebo jiných výhrůžných akcí.
-
Špionáž
Špionáž označuje krádeže obchodních tajemství, důvěrných informací nebo duševního vlastnictví patřících organizaci za účelem poskytnutí výhody konkurenci nebo jiné straně. Například organizaci může infiltrovat škodlivý insider, který shromažďuje finanční informace nebo podrobné plány produktů, aby získal konkurenční výhodu na trhu.
-
Sabotáž
Insider může být nespokojený s organizací a může se cítit motivovaný k poškozování fyzického majetku, dat nebo digitálních systémů organizace. K sabotáži může dojít různými způsoby, například poškozením zařízení nebo vyzrazením důvěrných informací.
-
Podvod
Insideři mohou páchat podvodné aktivity pro osobní prospěch. Škodlivý insider může například použít platební kartu společnosti k osobním účelům nebo vykazovat nepravdivé nebo uměle navýšené výdaje.
-
Krádež
Insideři mohou krást prostředky organizace, citlivá data nebo duševní vlastnictví pro osobní prospěch. Například odcházející zaměstnanec, který je motivován osobním ziskem, může exfiltrovat důvěrné informace pro svého budoucího zaměstnavatele nebo dodavatel, kterého si organizace najme na plnění konkrétních úkolů, může ukrást citlivá data ve svůj prospěch.
-
Sedm znamení insiderského rizika
Při odhalování insiderských rizik hrají roli lidé i technologie. Klíčem je stanovit základní hodnoty pro to, co je normální, aby bylo snazší identifikovat neobvyklé aktivity.
-
Změny aktivit uživatelů
Spolupracovníci, manažeři a partneři mohou nejlépe poznat, zda se někdo stal pro organizaci rizikem. Například u rizikového insidera, který má motivaci způsobit incident zabezpečení dat, mohou být pozorovány náhlé a neobvyklé změny postoje.
-
Neobvyklá exfiltrace dat
Zaměstnanci při práci často přistupují k důvěrným datům a sdílejí je. Pokud ale uživatel najednou sdílí nebo stahuje neobvyklý objem citlivých dat ve srovnání se svými dřívějšími aktivitami nebo partnery v podobné roli, může to znamenat potenciální incident zabezpečení dat.
-
Posloupnost souvisejících rizikových aktivit
Jedna akce uživatele, jako je stahování důvěrných dat, nemusí být sama o sobě potenciálním rizikem, ale řada akcí může znamenat potenciální rizika pro zabezpečení dat. Předpokládejme například, že uživatel přejmenuje důvěrné soubory tak, aby vypadaly méně citlivě, stáhne je z cloudového úložiště, uloží je do přenosného zařízení a z cloudového úložiště je odstraní. V takovém případě by to mohlo naznačovat, že se uživatel mohl pokoušet exfiltrovat citlivá data a vyhnout se odhalení.
-
Exfiltrace dat odcházejícími zaměstnanci
Riziko exfiltrace dat často roste s odchodem zaměstnanců. Taková exfiltrace může být buď záměrná, nebo neúmyslná. Neúmyslný incident může vypadat jako odcházející zaměstnanec, který nechtěně kopíruje citlivá data, aby si uchoval záznamy o svých dosažených úspěších ve své roli, zatímco škodlivý incident může vypadat, jako by dotyčná osoba vědomě stahovala citlivá data pro osobní prospěch nebo pro účely získání nového zaměstnání. Pokud se události rezignace shodují s jinými neobvyklými aktivitami, může to znamenat incident v oblasti zabezpečení dat.
-
Neobvyklý přístup k systému
Potenciální insiderská rizika můžou začínat tím, že uživatelé přistupují k prostředkům, které obvykle pro svou práci nepotřebují. Například uživatelé, kteří obvykle přistupují jenom k marketingovým systémům, najednou začnou vícekrát denně přistupovat k finančním systémům.
-
Zastrašování a obtěžování
Jedním z prvních známek insiderských rizik může být uživatel, který se chová výhrůžně, obtěžujícím způsobem nebo diskriminačně. Nejen že to poškodí firemní kulturu, ale může také vést k dalším potenciálním incidentům.
-
Eskalace oprávnění
Organizace obvykle chrání a řídí cenné prostředky tím, že k nim přiřazují privilegovaný přístup a role pro omezený personál. Pokud se zaměstnanec pokusí eskalovat svá oprávnění bez jasného obchodního odůvodnění, může to být známkou potenciálního insiderského rizika.
-
Příklady insiderských hrozeb
V organizacích všech velikostí se v průběhu let vyskytly incidenty spojené s insiderskými hrozbami, jako jsou krádeže dat, špionáž nebo sabotáže. Tady je několik příkladů:
- Krádež obchodních tajemství a jejich prodej jiné společnosti.
- Proniknutí do cloudové infrastruktury společnosti a odstranění tisíců zákaznických účtů.
- Použití obchodních tajemství k vytvoření nové společnosti.
Důležitost holistického řízení insiderských rizik
Holistický program správy insiderských rizik, který upřednostňuje vztahy mezi zaměstnanci a zaměstnavatelem a integruje kontrolní mechanismy ochrany osobních údajů, může snížit počet potenciálních bezpečnostních incidentů insiderů a vést k rychlejší detekci. Nedávná studie provedená Microsoftem zjistila, že společnosti s holistickým programem správy insiderských rizik měly o 33 % větší pravděpodobnost rychlého zjištění insiderského rizika a o 16 % větší pravděpodobnost rychlé nápravy než společnosti s fragmentovanějším přístupem.1
Jak chránit před insiderskými hrozbami
Organizace můžou řešit insiderská rizika holistickým způsobem tím, že se zaměří na procesy, lidi, nástroje a školení. Pomocí následujících osvědčených postupů vytvořte program správy insiderských rizik, který buduje důvěru se zaměstnanci a pomáhá posílit vaše zabezpečení:
-
Stanovení priorit důvěryhodnosti zaměstnanců a ochrany osobních údajů
Budování důvěry mezi zaměstnanci začíná stanovením priorit ochrany osobních údajů. Pokud chcete v programu správy insiderských rizik podpořit příjemnější prostředí, zvažte implementaci víceúrovňového schvalovacího procesu pro zahájení insiderských vyšetřování. Vedle toho je důležité auditovat aktivity osob provádějících šetření, aby se zajistilo, že nepřekročí hranice. Implementace řízení přístupu na základě role, která omezí, kdo v rámci bezpečnostního týmu může přistupovat k datům prověřování, může také přispět k ochraně osobních údajů. Anonymizace uživatelských jmen během vyšetřování může dále chránit soukromí zaměstnanců. Nakonec zvažte odstranění příznaků uživatelů po nastaveném časovém období, pokud šetření nepokračuje.
-
Použití pozitivních odstrašujících faktorů
I když se mnoho programů správy insiderských rizik spoléhá na negativní odstrašující faktory, jako jsou zásady a nástroje, které omezují rizikové aktivity zaměstnanců, je důležité tato opatření vyvážit preemptivním přístupem. Pozitivní odstrašující faktory, jako jsou akce na podporu zaměstnanecké morálky, důkladný nábor, průběžná školení a vzdělávání v oblasti zabezpečení dat, vzestupná zpětná vazba a programy pro rovnováhu mezi pracovním a osobním životem, můžou pomoct zmírnit pravděpodobnost insiderských událostí. Díky produktivnímu a proaktivnímu zapojení zaměstnanců se pozitivní odstrašující faktory zaměřují na zdroj rizika a podporují kulturu zabezpečení v rámci organizace.
-
Získání celopodnikové podpory
IT a bezpečnostní týmy můžou mít hlavní zodpovědnost za správu insiderských rizik, ale je nezbytné do tohoto úsilí zapojit celou společnost. Oddělení, jako jsou lidské zdroje, dodržování předpisů či právní oddělení, hrají důležitou roli při definování zásad, komunikaci se zúčastněnými stranami a rozhodování během vyšetřování. Aby organizace vyvinuly komplexnější a efektivnější program správy insiderských rizik, měly by se snažit o zapojení lidí ze všech oblastí společnosti.
-
Použití integrovaných a komplexních řešení zabezpečení
Efektivní ochrana vaší organizace před insiderskými riziky vyžaduje více než jen implementaci nejlepších nástrojů zabezpečení. Vyžaduje integrovaná řešení, která poskytují celopodnikový přehled a ochranu. Když jsou integrovaná řešení pro zabezpečení dat, správu identit a přístupu, rozšířenou detekci a reakci (XDR) a správu akcí a informací o zabezpečení (SIEM), můžou bezpečnostní týmy efektivně rozpoznávat insiderské incidenty a předcházet jim.
-
Implementace efektivního školení
Zaměstnanci hrají zásadní roli při prevenci bezpečnostních incidentů, což z nich dělá první linii obrany. Zabezpečení firemních prostředků vyžaduje zapojení zaměstnanců, což naopak zvyšuje celkové zabezpečení organizace. Jednou z nejefektivnějších metod vytvoření tohoto zapojení je školení zaměstnanců. Školením zaměstnanců můžete snížit počet neúmyslných insiderských událostí. Je důležité vysvětlovat, jak můžou insiderské akce ovlivnit společnost a její zaměstnance. Společně s tím je důležité vysvětlovat zásady ochrany dat a učit zaměstnance, jak se vyhnout potenciálnímu úniku dat.
-
Použití strojového učení a AI
Bezpečnostní rizika na dnešním moderním pracovišti jsou dynamická a s různými neustále se měnícími faktory, které mohou ztížit jejich detekci a reakci na ně. S využitím strojového učení a umělé inteligence ale organizace mohou rozpoznávat a zmírňovat insiderská rizika rychlostí počítače, což umožňuje adaptivní zabezpečení zaměřené na lidi. Tato pokročilá technologie pomáhá organizacím pochopit, jak uživatelé pracují s daty, vypočítávají a přiřazují úrovně rizik a automaticky přizpůsobují příslušné kontrolní mechanismy zabezpečení. Díky těmto nástrojům můžou organizace zjednodušit proces identifikace potenciálních rizik a stanovovat prioritu svých omezených prostředků při řešení vysoce rizikových insiderských aktivit. Tím se bezpečnostním týmům ušetří cenný čas a současně se zajistí lepší zabezpečení dat.
Řešení pro správu insiderských rizik
Obrana před insiderskými hrozbami může být náročná, protože je přirozené důvěřovat lidem, kteří pracují pro organizaci a s ní. Pro snížení dopadu potenciálních incidentů a porušení zabezpečení je zásadní rychle identifikovat nejdůležitější insiderská rizika a upřednostnit prostředky, které je mají prozkoumat a zmírnit. Naštěstí mnoho nástrojů pro kybernetickou bezpečnost, které brání externím hrozbám, dokáže identifikovat i insiderské hrozby.
Microsoft Purview nabízí možnosti ochrany informací, správy insiderských rizik a ochrany před únikem informací, které vám pomůžou získat přehled o datech, rozpoznávat kritická insiderská rizika, která můžou vést k potenciálním incidentům zabezpečení dat, a efektivně bránit ztrátám dat.
Microsoft Entra ID vám pomůže spravovat, kdo má přístup k čemu, a může vás upozornit, pokud je něčí aktivita přihlašování či přístupu riziková.
Microsoft Defender 365 je řešení XDR, které pomáhá zabezpečit cloudy, aplikace, koncové body a e-maily před neoprávněnými aktivitami. Organizace státní správy, jako je Agentura pro kybernetickou bezpečnost a zabezpečení infrastruktury, rovněž poskytují pokyny pro vytvoření programu správy insiderských hrozeb.
Zavedením těchto nástrojů a využitím odborných pokynů mohou organizace lépe spravovat insiderská rizika a chránit své důležité prostředky.
Další informace o zabezpečení od Microsoftu
Microsoft Purview
Pořiďte vaší organizaci řešení zásad správného řízení, ochrany a dodržování předpisů pro data.
Správa insiderských rizik Microsoft Purview
Rozpoznávejte a zmírňujte insiderská rizika s využitím předem připravených modelů strojového učení.
Adaptivní ochrana v Microsoft Purview
Zabezpečte data pomocí inteligentního přístupu zaměřeného na lidi.
Vytvoření holistického programu pro správu insiderských rizik
Seznamte se s pěti prvky, které společnostem pomáhají zajistit silnější zabezpečení dat a současně chránit důvěru uživatelů.
Ochrana před únikem informací Microsoft Purview
Zabraňte neoprávněnému sdílení, přenosu nebo používání dat mezi aplikacemi, zařízeními a místními prostředími.
Dodržování předpisů při komunikaci Microsoft Purview
Plňte povinnosti týkající se dodržování předpisů a řešte případná porušení firemních pravidel chování.
Microsoft Threat Protection
Chraňte zařízení, aplikace, e-maily, identity, data a cloudové úlohy pomocí jednotné ochrany před hrozbami.
Microsoft Entra ID
Chraňte přístup k prostředkům a datům pomocí silného ověřování a zásad adaptivního přístupu založených na rizicích.
Časté otázky
-
Existují čtyři typy insiderských hrozeb. Náhodná insiderská hrozba představuje riziko, že někdo, kdo pracuje pro společnost nebo se společností, udělá chybu, která by mohla ohrozit organizaci, její data nebo lidi. Nedbalé insiderské riziko spočívá v tom, že někdo vědomě poruší zásady zabezpečení, ale nechce způsobit škodu. Škodlivá hrozba je v případě, že někdo záměrně ukradne data, provede v organizaci sabotáž nebo se chová násilně. Další formou škodlivé hrozby je konspirace, která spočívá v tom, že insider spolupracuje s někým mimo organizaci, aby způsobil škodu.
-
Správa insiderských rizik je důležitá, protože tyto typy incidentů můžou organizaci a jejím lidem způsobit velké škody. Se správnými zásadami a řešeními můžou organizace získat náskok před potenciálními vnitřními hrozbami a chránit cenné prostředky organizace.
-
Existuje několik možných známek insiderského rizika, včetně náhlých změn aktivit uživatelů, související posloupnosti rizikových aktivit, pokusů o přístup k prostředkům, které nejsou pro práci daného uživatele potřeba, pokusů o eskalaci oprávnění, neobvyklé exfiltrace dat, odcházejících zaměstnanců exfiltrujících data a zastrašování nebo obtěžování.
-
Prevence insiderských událostí může být složitá, protože rizikové aktivity, které můžou vést k bezpečnostním incidentům, provádějí důvěryhodní lidé, kteří mají vztahy v organizaci a autorizovaný přístup. Holistický program správy insiderských rizik, který upřednostňuje vztahy mezi zaměstnanci a zaměstnavatelem a integruje kontrolní mechanismy ochrany osobních údajů, může snížit počet bezpečnostních incidentů insiderů a vést k rychlejší detekci. Vedle ovládacích prvků ochrany osobních údajů a zaměření na morálku pracovníků vám pravidelná školení, zapojení celé společnosti a integrované nástroje zabezpečení můžou pomoct snížit riziko.
-
Škodlivá insiderská hrozba představuje riziko, že důvěryhodná osoba záměrně poškodí organizaci a lidi, kteří v ní pracují. To se liší od neúmyslných insiderských rizik, ke kterým dochází, když někdo omylem naruší společnost nebo poruší bezpečnostní pravidlo, ale neměl v úmyslu organizaci poškodit.
Sledujte zabezpečení od Microsoftu