Braun je radio kao IT stručnjak u Sitibenk Ridžensu u Irvingu, Teksas. Nakon svađe sa šefom, Braun je izbrisao konfiguracione fajlove za devet rutera u centru globalnih mrežnih operacija banke čime je izbacio iz sistema 90 posto svih Sitibenk poslovnica u Americi.
Nakon što je saznao da će dobiti otkaz, Riki Džo Mičel iz Čarlstona, Zapadna Virdžinija, sabotirao je server naftne kompanije EverVest. Mičel je resetovao server na fabrička podešavanja što je dovelo do prekida komunikacija u kompanji i poslovnih operacija čitavih mesec dana.
Šansan Du i Ju Kin su osuđeni zbog pokušaja krađe hibridne tehnologije iz Dženeral Motorsa i njene prodaje konkurentskoj kompaniji iz Kine.
Insajderi mogu da nanesu ozbiljnu štetu kompaniji: prekid operacija, gubitak intelektualne svojine, narušavanje ugleda, gubitak poverenja investitora i klijenata i otkrivanje poverljivih podataka konkurentima ili medijima. Prema raznim procenama u SAD se dogodi 80 miliona insajderskih napada godišnje. Taj broj je verovatno mnogo veći, jer se insajderski napadi često ne prijavljuju policiji. Prema istraživanju koje je sproveo Institut Ponemon, američke kompanije su samo u 2016. godini potrošile u proseku 4,3 miliona dolara na insajderske napade. Troškovi variraju u zavisnosti od veličine kompanije. Veće kompanije sa preko 75 000 zaposlenih troše oko 7 miliona dolara godišnje, a manje sa 1000 do 5000 zaposlenih troše oko 2 miliona dolara.
Ovi troškovi se odnose na istrage, analizu incidenata i nadoknadu štete.
Dr Majkl Gelis je forenzički psiholog sa preko 20 godina iskustva u vojsci i policiji i stručnjak je za insajderske pretnje. Trenutno je izvršni direktor u firmi Deloat Konsulting LLP i bavi se, između ostalog, prevencijom, otkrivanjem i reakcijom na insajderske pretnje.
“Insajderska pretnja ostala je nepromenjena vekovima”, objašnjava Gelis. “Promenio se kontekst, jer smo od sveta cigala i betona postali svet bitova i bajtova u kome se ogromne količne informacija mogu momentano daunloudovati, prebaciti i izvući. Tako da je rizik mnogo veći danas nego nekada kada smo imali svet baziran na papiru i olovki”.
Definisanje insajderske pretnje
Većina definicija je usredsređena na zaposlenog koji uništava ili krade podatke, bezbednosne prakse i kompjuterske sisteme. Gelis odbacuje tu definiciju i dodaje da izvor pretnje može biti pojedinac koji radi za kompaniju ili neki drugi subjekt koji ima pristup kompjuterskim sistemima kompanije i tako može da nanese štetu podacima, materijalu, objektima i ljudima. “Insajderske pretnje nisu samo podaci, već i sabotaža, prevara, pa čak i nasilje na radnom mestu”.
U stvari, Gelis objašnjava da proučavanje nasilja na radnom mestu pruža uvid u insajderske pretnje, jer oba imaju prepoznatljiv obrazac ponašanja od ideje do akcije. Danas možemo da dokumentujemo to ponašanje i da vidimo šta neka osoba radi u virtuelnom i nevirtuelnom prostoru – koje vebsajtove posećuje, šta daunloaduje.. To je indikator ponašanja i može da ukaže na to da ta osoba počinje da skida određene informacije ili da pokušava da uđe u određene delove sistema koji nemaju veze sa njenim radnim zadacima, čime pokazuje zainteresovanost za oblasti rada koje joj nisu u opisu radnog mesta. Što se tiče nevirtuelnog sveta, možemo da vidimo da li nečija efikasnost na radnom mestu opada, da li se poštuje politika kompanije, budžet, da li osoba radi u skladu sa pravilnikom i obukom. I kada analitički obradimo te dve vrste podataka o nekoj osobi, možemo proaktivno da zaključimo da li se ponašanje nekog zaposlenog menja na osnovu velikog broja indikatora ponašanja koje pratimo i da na osnovu toga zaključimo da li postoji opasnost – da li osoba razmišlja da napusti kompaniju i ponese sa sobom određene podatke ili pokušava da prodre u određene aspekte posla koji bi joj omogućili da sabotira kompaniju ili da proda poverljive podatke konkurenciji”.
Ono što komplikuje definisanje unutrašnje pretnje jeste da ona ne nastaje uvek iz maliciozne namere. Unutrašnju pretnju predstavlja i zaposleni koji nenamerno otkrije lozinke ili neko ko nema bezbednosnu kulturu. “Ti pojedinici narušavaju bezbednost i omogućavaju spoljne napade. Unutrašnju pretnju čini čovek, a ne tehnologija. Tehnologija je deo rešenja, ali samo polovina jednačine, tako da moramo da imamo holistički pristup ponašanju zaposlenog”, dodaje Gelis.
Program za prevenciju unutrašnje pretnje
Program za prevenciju unutrašnje pretnje počinje analizom rizika koja daje odgovor na pitanje – šta je to što želimo da zaštitimo, šta je sektor zadužen za bezbednost komanije spreman da učini u pogledu politike kompanije, procedura i tehnologije, a šta nije spreman da učini. Takođe, daje odgovor na pitanje kojim osetljivim podacima u kompaniji određeni nivoi zaposlenih imaju pristup.
“Neke kompanije zabranjuju upotrebu ličnih imejlova na poslu ili posetu određenih sajtova na internetu”, kaže Gelis. “I to zavisi od kompanije. Poenta je da postoji ravnoteža. Previše ogrančenja u pogledu bezbednosti će uticati na rast i prihode, a premalo će dovesti posao u opasnost. I vaš program prevencije mora da bude zasnovan na tome – šta ste spremni da učinite kako biste zaštitili ono što želite?”
Drugi korak je definisanje bezbednosne politike koja je jasna i koju će zaposleni lako usvojiti. A zatim sledi obuka, obuka i još obuke za menadžment i za zaposlene.
Gelis preporučuje da se prilikom definisanja programa za prevenciju unutrašnjih pretnji primeni sveobuhvatni pristup koji uključuje povezivanje svih nivoa u kompaniji, politike kompanije i definisanih poslovnih procedura koji će zajedno definisati ponašanje zaposlenih i povezanost između bezbednosne sajber strategije i tehnologije.
Nosioci bezbednosti su rukovodioci sektora: IT, kadrovske službe, pravne službe i fizičkog obezbeđenja koji su ključni u zaštiti, očuvanju i unapređenju reputacije kompanije.
Po pitanju tehnologije Gelis preporučuje analitičke metode uz pomoć kojih se analizira trošenje budžeta, skidanje sadržaja, kontrola logovanja u sistem, vreme logovanja i količina vremena provedenog u sistemu. “Tu stupaju na scenu ključni akteri. Morate sarađivati sa kadrovskom službom, jer ona ima neke od podataka koji su vam potrebni.”
Softver za elektronsku poštu takođe može da se koristi kako bi se proaktivno identifikovalo sumnjivo ponašanje/sumnjiva komunikacija među zaposlenima. Iako se zagovornici privatnosti građana ne bi složili sa tim, Gelis naglašava da većina kompanija koja nadgleda zaposlene to radi poštujući njihovu privatnost, odnosno ne koristi imena, već alfanumeričke oznake.
Gelis dodaje da ljudi obično ne ulaze u kompaniju da bi postali insajderi. “To je rezultat nečega što im se dešava, npr. krize u privatnom životu.” Kada zaposleni pokaže znake “nezadovoljstva”, prikupljaju se analitički podaci koji će pokazati šta je uzrok tog ponašanja.
“Kada vidimo da zaposleni daunlouduje mnogo informacija, da one nemaju veze sa opisom radnog mesta, a da na radnom mestu pokazuje loše rezultate, te nepravilnosti u ponašanju se moraju ispitati.” Pa čak koristiti i poligrafsko testiranje ukoliko je neophodno.
“Ovo je problem čiji je uzročnik čovek i koji počinje sa određenim ponašanjem ili problemom na poslu”, dodaje Gelis. “Pre 15 godina smo mogli samo da reagujemo na problem, a sada možemo da prikupljamo podatke i razumemo problem mnogo ranije kako bismo mogli da reagujemo proaktivno”.
Tri vrste insajderskih pretnji
Nemarni zaposleni
Zaposleni koji slučajno izbrišu ili modifikuju ključne informacije ili nenamerno otkriju poverljive podatke.
Zloupotrebljeni zaposleni
Ova vrsta insajderske pretnje je najređa, ali ima potencijal da izazove veliku štetu zbog insajderskog pristupa. Ovo se dešava kada spoljašnji faktor uspe da uđe u sistem kompanije koristeći informacije dobijene od zaposlenog (dobijene krađom, prevarom, ubacivanjem malvera i sl).
Maliciozni insajderi
Ovo su zaposleni koji imaju nameru da ukradu informacije od značaja za kompaniju obično radi zarade ili radi sabotaže kompanije, njene opreme ili IT sistema. Ovi slučajevi se najteže otkrivaju i mogu da izazovu najveću štetu po kompaniju.
