Kas ir iekšējie draudi?
Izpētiet, kā aizsargāt savu organizāciju pret iekšējām darbībām, tostarp lietotājiem ar autorizētu piekļuvi, kuri apzināti vai nejauši izraisa datu drošības incidentu.
Iekšējo draudu definīcija
Pirms iekšējās personas kļūst par apdraudējumu, tās ir risks, kas tiek definēts kā iespēja personai izmantot autorizētu piekļuvi organizācijas līdzekļiem — ļaunprātīgi vai nejauši — tādā veidā, kas negatīvi ietekmē organizāciju. Piekļuve ietver gan fizisko, gan virtuālo piekļuvi, un līdzekļi ietver informāciju, procesus, sistēmas un telpas.
Kas ir iekšējās personas?
Iekšēja persona ir uzticama persona, kurai ir piešķirta piekļuve jebkādiem uzņēmuma resursiem, datiem vai sistēmām, kas parasti nav pieejami publiski, vai kam ir zināšanas par tiem, tostarp:
- Personas, kurām ir žetons vai cita ierīce, kas ļauj pastāvīgi piekļūt uzņēmuma fiziskajam īpašumam, piemēram, datu centram vai uzņēmuma galvenajam birojam.
- Personas, kurām ir uzņēmuma dators ar piekļuvi tīklam.
- Personas, kurām ir piekļuve uzņēmuma korporatīvajam tīklam, mākoņa resursiem, programmām vai datiem.
- Personas, kurām ir zināšanas par uzņēmuma stratēģiju un zināšanas par tā finansēm.
- Personas, kas veido uzņēmuma produktus vai pakalpojumus.
Iekšējo draudu veidi
Iekšējos riskus ir grūtāk noteikt nekā ārējos apdraudējumus, jo darbiniekiem jau ir piekļuve organizācijas līdzekļiem un viņi ir iepazinuši tās drošības līdzekļus. Zinot iekšējo risku veidus, organizācijas var labāk aizsargāt vērtīgus līdzekļus.
-
Negadījums
Dažkārt cilvēki pieļauj kļūdas, kas var izraisīt drošības incidentus. Piemēram, biznesa partneris nosūta dokumentu ar klienta datiem kolēģim, neapjaušot, ka tas nav pilnvarots skatīt šo informāciju. Vai arī darbinieks reaģē uz pikšķerēšanas kampaņu un nejauši instalē ļaunprogrammatūru.
-
Ļaunprātība
Ļaunprātīgā drošības incidentā, ko izraisījusi iekšēja persona, darbinieks vai uzticama persona apzināti veic kaut ko tādu, par ko šī persona zina, ka tas negatīvi ietekmēs uzņēmumu. Šādas personas var būt personisku aizvainojumu vai citu personisku iemeslu motivētas un, veicot savas darbības, var meklēt finanšu vai personiskus ieguvumus.
-
Nolaidība
Nolaidība ir līdzīga negadījumam ar to, ka persona neplānoja izraisīt datu drošības incidentu. Atšķirība ir tāda, ka viņa, iespējams, apzināti pārkāpa drošības politiku. Bieži sastopams piemērs: darbinieks ļauj kādam ienākt ēkā, neuzrādot žetonu. Digitālais ekvivalents būtu drošības politikas ignorēšana ātruma un ērtības labad bez rūpīgiem apsvērumiem vai pierakstīšanās uzņēmuma resursos, izmantojot nedrošu bezvadu savienojumu.
-
Slepena noruna
Daži iekšējie drošības incidenti ir uzticamas personas sadarbības ar kibernoziedznieku organizāciju rezultāts, veidot spiegošanu vai zādzību. Šis ir cita veida ļaunprātīgs iekšējais risks.
Kā notiek ļaunprātīgi iekšēji incidenti?
Ļaunprātīgi incidenti, ko izraisa iekšējās personas, var notikt dažādos veidos, ne tikai ar tipisku kiberuzbrukumu. Lūk, daži bieži sastopami veidi, kā iekšējās personas var izraisīt drošības incidentus:
-
Vardarbība
Iekšējās personas var izmantot vardarbību vai vardarbības draudus, lai iebiedētu citus darbiniekus vai paustu neapmierinātību organizācijā. Vardarbība var būt verbāla apvainošana, seksuāla uzmākšanās, terorizēšana, uzbrukums vai citas apdraudošas darbības.
-
Spiegošana
Spiegošana attiecas uz komercnoslēpumu, konfidenciālas informācijas vai intelektuālā īpašuma, kas pieder organizācijai, zagšanu, lai sniegtu priekšrocības konkurentam vai citai pusei. Piemēram, organizācijā var infiltrēties ļaunprātīga iekšēja persona, kas apkopo finanšu informāciju vai produktu plānus, lai gūtu konkurētspējīgas priekšrocības tiešsaistes tirgū.
-
Sabotāža
Iekšēja persona var būt neapmierināta ar organizāciju un justies motivēta kaitēt organizācijas fiziskajam īpašumam, datiem vai digitālajām sistēmām. Sabotāža var notikt dažādos veidos, piemēram, demolējot aprīkojumu vai apdraudot konfidenciālu informāciju.
-
Krāpniecība
Iekšējās personas var veikt krāpnieciskas darbības personiska labuma gūšanai. Piemēram, ļaunprātīga iekšējā persona var izmantot uzņēmuma kredītkarti personiskai lietošanai vai iesniegt nepatiesas vai uzpūstas prasības izdevumu atmaksai.
-
Zādzība
Iekšējās personas var nozagt organizācijas līdzekļus, sensitīvus datus vai intelektuālo īpašumu, lai gūtu personisku labumu. Piemēram, darbinieks, kurš pārtrauc darba attiecības un kuru motivē personiska labuma gūšana, var eksfiltrēt konfidenciālu informāciju savam nākotnes darba devējam, vai darbuzņēmējs, kuru organizācija ir nolīgusi konkrētu uzdevumu veikšanai, var nozagt sensitīvus datus, lai izmantotu savam labumam.
-
Septiņi iekšējā riska indikatori
Gan cilvēkiem, gan tehnoloģijām ir sava loma iekšējo risku noteikšanā. Galvenais ir izveidot normas bāzlīniju, lai būtu vieglāk identificēt neparastas darbības.
-
Lietotāja darbību izmaiņas
Kolēģi, vadītāji un partneri var būt vislabākajā stāvoklī, lai zinātu, vai kāds nav kļuvis par risku organizācijai. Piemēram, riskantai iekšējai personai, kas ir motivēta izraisīt datu drošības incidentu, kā neparasta zīme varētu būt pēkšņas attieksmes izmaiņas.
-
Anomāla datu eksfiltrācija
Darbinieki bieži piekļūst konfidenciāliem datiem un tos koplieto savā darbā. Tomēr, ja lietotājs pēkšņi kopīgo vai lejupielādē neparastu sensitīvu datu apjomu, salīdzinot ar tā iepriekšējām darbībām vai līdzīgas lomas lietotājiem, tas var norādīt uz iespējamu datu drošības incidentu.
-
Saistītu riskanto darbību secība
Viena lietotāja darbība, piemēram, konfidenciālu datu lejupielāde, pati par sevi var nebūt potenciāls risks, bet darbību sērija var norādīt uz iespējamiem datu drošības riskiem. Piemēram, pieņemsim, ka lietotājs pārdēvēja konfidenciālus failus, lai tie šķistu mazāk sensitīvi, lejupielādēja tos no mākoņkrātuves, saglabāja tos portatīvā ierīcē un izdzēsa tos mākoņkrātuvē. Šajā gadījumā tas varētu liecināt par to, ka lietotājs, iespējams, mēģināja eksfiltrēt sensitīvus datus, vienlaikus izvairoties no noteikšanas.
-
Aizejošā darbinieka veikta datu eksfiltrācija
Datu eksfiltrācija bieži vien notiek līdz ar atlūguma rakstīšanu, turklāt tā var būt apzināta vai netīša. Netīšs incidents varētu būt, kad aizejošais darbinieks netīši kopē sensitīvus datus, lai saglabātu liecības par sasniegumiem savā lomā, bet ļaunprātīgs incidents varētu būt apzināta sensitīvu datu lejupielāde personiska labuma gūšanai vai lai palīdzēt viņam nākamajā amatā. Ja atlūguma iesniegšana sakrīt ar citām neparastām darbībām, tas varētu norādīt uz datu drošības incidentu.
-
Neparasta piekļuve sistēmai
Iespējamie iekšējie riski var sākties ar lietotājiem, kuri piekļūst resursiem, kas tiem parasti nav nepieciešami darba vajadzībām. Piemēram, lietotāji, kuri parasti piekļūst tikai ar mārketingu saistītām sistēmām, pēkšņi vairākas reizes dienā sāk piekļūt finanšu sistēmām.
-
Iebiedēšana un uzmākšanās
Viena no agrīnajām iekšējā riska pazīmēm varētu būt lietotājs, kura saziņa ir draudoša, uzmācīga vai diskriminējoša. Tas ne tikai rada kaitējumu uzņēmuma kultūrai, bet arī var izraisīt citus iespējamos incidentus.
-
Privilēģiju eskalācija
Organizācijas parasti aizsargā un pārvalda vērtīgus resursus, ierobežotam personālam piešķirot priviliģētu piekļuvi un lomas. Ja darbinieks mēģina eskalēt savas privilēģijas bez skaidra komerciālā pamatojuma, tā varētu būt iespējamā iekšējā riska pazīme.
-
Iekšējo draudu piemēri
Gadu gaitā visu lielumu organizācijās ir notikuši iekšējo draudu incidenti, piemēram, datu zādzības, spiegošana vai sabotāža. Daži piemēri ir šādi:
- Komercnoslēpumu zagšana un pārdošana citam uzņēmumam.
- Uzņēmuma mākoņa infrastruktūras uzlaušana un tūkstošiem klientu kontu dzēšana.
- Komercnoslēpumu izmantošana, lai dibinātu jaunu uzņēmumu.
Visaptverošas iekšējā riska pārvaldības svarīgums
Visaptveroša iekšējā riska pārvaldības programma, kas par prioritāti nosaka darbinieka un darba devēja attiecības un integrē konfidencialitātes kontroles līdzekļus, var samazināt iespējamo iekšējā riska incidentu skaitu un paātrināt atklāšanu. Nesenā korporācijas Microsoft veiktā izpēte tika konstatēts, ka uzņēmumiem ar visaptverošu iekšējā riska pārvaldības programmu bija par 33 procentiem lielāka iespējamība, ka iekšējais risks tiks ātri atklāts, un par 16 procentiem lielāka iespējamība, ka notiks ātra koriģēšana, salīdzinot ar uzņēmumiem, kuros ir sadalītāka pieeja.1
Kā aizsargāties pret iekšējiem draudiem
Organizācijas iekšējam riskam var pievērsties visaptverošā veidā, koncentrējoties uz procesiem, cilvēkiem, rīkiem un izglītību. Izmantojiet tālāk sniegtos labākās prakses piemērus, lai izstrādātu iekšējā riska pārvaldības programmu, kas būvē darbinieku uzticamību un palīdz stiprināt jūsu drošību:
-
Nosakiet par prioritāti darbinieku uzticamību un konfidencialitāti
Darbinieku uzticamības izveide sākas ar viņu konfidencialitātes noteikšanu par prioritāti. Lai sekmētu ērtību sajūtu, izmantojot iekšējā riska pārvaldības programmu, apsveriet iespēju ieviest vairāklīmeņu apstiprināšanas procesu iekšējo personu izmeklēšanas uzsākšanai. Turklāt ir svarīgi auditēt to personu darbības, kas veic izmeklēšanu, lai nodrošinātu, ka tās nepārkāpj savas robežas. Lomu piekļuves vadības līdzekļu ieviešana, lai ierobežotu, kurš drošības komandā var piekļūt izmeklēšanas datiem, arī var palīdzēt uzturēt konfidencialitāti. Lietotājvārdu anonimizēšana izmeklēšanas laikā var papildus aizsargāt darbinieku konfidencialitāti. Visbeidzot, apsveriet iespēju izdzēst lietotāju karodziņus pēc noteikta laika perioda, ja izmeklēšana netiek uzsākta.
-
Izmantojiet pozitīvus atturošus līdzekļus
Lai gan daudzas iekšējā riska programmas paļaujas uz negatīviem atturošiem līdzekļiem, piemēram, politikām un rīkiem, kas ierobežo riskantas darbinieku darbības, ir būtiski svarīgi līdzsvarot šos mērus ar apsteidzošu pieeju. Pozitīvi atturošie līdzekļi, piemēram, darbinieku morāles pasākumi, rūpīga pievienošana, pastāvīga datu drošības apmācība un izglītība, augšupvērstas atsauksmes, kā arī darba un privātās dzīves līdzsvara programmas var palīdzēt mazināt iekšējo personu izraisītu notikumu iespējamību. Iesaistot darbiniekus produktīvā un proaktīvā veidā, pozitīvie atturošie līdzekļi pievēršas riska avotam un sekmē drošības kultūru organizācijā.
-
Gūstiet visa uzņēmuma atbalstu
IT un drošības komandas var uzņemties primāro atbildību par iekšējā riska pārvaldību, bet ir svarīgi šajos centienos iesaistīt visu uzņēmumu. Nodaļām, piemēram, cilvēkresursu, atbilstības un juridiskajai nodaļai, ir kritiska loma, definējot politikas, sazinoties ar ieinteresētajām pusēm un pieņemot lēmumus izmeklēšanas laikā. Lai izstrādātu aptverošāku un efektīvāku iekšējā riska pārvaldības programmu, organizācijām ir jāmeklē atbalsts un iesaistīšanās visās uzņēmuma daļās.
-
Izmantojiet integrētus un visaptverošus drošības risinājumus
Efektīvai jūsu organizācijas aizsardzībai pret iekšējo risku ir nepieciešams kas vairāk, nekā tikai vislabāko drošības rīku ieviešana; tā pieprasa integrētus risinājumus, kas nodrošina redzamību un aizsardzību visā uzņēmumā. Ja datu drošības, identitāšu un piekļuves pārvaldības, paplašinātā atklāšanas un reaģēšanas (XDR) un drošības informācijas un notikumu pārvaldības (SIEM) risinājumi ir integrēti, drošības komandas var efektīvi atklāt un novērst iekšējos incidentus.
-
Ieviesiet efektīvu apmācību
Darbiniekiem ir būtiska loma, lai nepieļautu drošības incidentus, kas padara viņus par pirmo aizsardzības līmeni. Uzņēmuma līdzekļu drošināšanai ir nepieciešams darbinieku atbalsts, kas, savukārt, uzlabo organizācijas vispārējo drošību. Viena no visefektīvākajām metodēm šāda atbalsta iegūšanai ir darbinieku izglītošana. Izglītojot darbiniekus, varat samazināt iekšējo personu netīši izraisītu notikumu skaitu. Ir svarīgi izskaidrot, kā iekšējo personu notikumi var ietekmēt gan uzņēmumu, gan arī tā darbiniekus. Turklāt ir būtiski svarīgi informēt par datu aizsardzības politikām un apmācīt darbiniekus, kā izvairīties no iespējamas datu noplūdes.
-
Izmantojiet mašīnmācīšanos un mākslīgo intelektu
Drošības riski mūsdienu modernajā darbavietā ir dinamiski un ar dažādiem pastāvīgi mainīgajiem faktoriem, kas var apgrūtināt to noteikšanu un reaģēšanu. Tomēr, izmantojot mašīnmācīšanos un mākslīgo intelektu, organizācijas var noteikt un mazināt iekšējos riskus mašīnas darbības ātrumā, kas ļauj iegūt adaptīvu un uz cilvēkiem orientētu drošību. Šī uzlabotā tehnoloģija palīdz organizācijām saprast, kā lietotāji mijiedarbojas ar datiem, aprēķināt un novērtēt riska līmeņus, kā arī automātiski pielāgot atbilstošas drošības vadīklas. Izmantojot šos rīkus, organizācijas var racionalizēt iespējamo risku identificēšanas procesu un noteikt savu ierobežoto resursu izmantošanas prioritāti, lai pievērstos augsta riska iekšējo personu darbībām. Šādi drošības komandas var taupīt vērtīgo laiku, vienlaikus nodrošinot labāku datu drošību.
Iekšējā riska pārvaldības risinājumi
Aizsardzība pret iekšējiem draudiem var būt izaicinoša, jo ir dabiski uzticēties tiem, kas strādā organizācijas labā un kopā ar to. Ātri identificējot viskritiskākos iekšējos riskus un nosakot resursu prioritāti, lai izpētītu un mazinātu šos riskus, ir svarīgi samazināt iespējamo incidentu un pārkāpumu ietekmi. Par laimi daudzi kiberdrošības rīki, kas novērš ārējos apdraudējumus, var identificēt arī iekšējos apdraudējumus.
Microsoft Purview piedāvā informācijas aizsardzības, iekšējā riska pārvaldības un datu zuduma novēršanas (DLP) iespējas, lai palīdzētu jums gūt datu redzamību, noteikt kritiskus iekšējos riskus, kas var izraisīt iespējamus datu drošības incidentus, un efektīvi nepieļaut datu zudumu.
Microsoft Entra ID palīdz pārvaldīt, kurš un kam var piekļūt, un var jūs brīdināt, ja kāda lietotāja pierakstīšanās un piekļuves darbības ir riskantas.
Microsoft Defender 365 ir XDR risinājums, kas palīdz aizsargāt jūsu mākoņus, programmas, galapunktus un e-pastu pret nepilnvarotām darbībām. Valsts iestādes, piemēram, Kiberdrošības un infrastruktūras drošības aģentūra, sniedz arī norādījumus iekšējo draudu pārvaldības programmas izstrādei.
Apgūstot šos rīkus un izmantojot ekspertu norādījumus, organizācijas var labāk pārvaldīt iekšējos riskus un aizsargāt savus kritiskos līdzekļus.
Papildinformācija par Microsoft drošību
Microsoft Purview
Iegūstiet pārvaldības, aizsardzības un atbilstības risinājumus jūsu organizācijas datiem.
Microsoft Purview iekšējā riska pārvaldība
Nosakiet un maziniet iekšējos riskus, izmantojot lietošanai gatavus algoritmiskās mācīšanās modeļus.
Adaptīvā aizsardzība platformā Microsoft Purview
Drošiniet datus, izmantojot intelektisku un uz cilvēkiem orientētu pieeju.
Visaptverošas iekšējā riska pārvaldības programmas izveide
Uzziniet par pieciem elementiem, kas palīdz uzņēmumiem uzlabot datu drošību, vienlaikus aizsargājot lietotāju uzticamību.
Microsoft Purview datu zuduma novēršana
Novērsiet nepilnvarotu datu koplietošanu, pārsūtīšanu vai izmantošanu programmās, ierīcēs un lokālajā vidē.
Microsoft Purview saziņas atbilstība
Ievērojiet normatīvās atbilstības prasības un novērsiet iespējamos uzņēmējdarbības kodeksa pārkāpumus.
Microsoft pretdraudu aizsardzība
Aizsargājiet ierīces, programmas, e-pasta ziņojumus, identitātes, datus un mākoņa darba slodzes, izmantojot vienoto pretdraudu aizsardzību.
Microsoft Entra ID
Aizsargājiet piekļuvi resursiem un datiem, izmantojot stipru autentifikāciju un uz risku balstītas adaptīvas piekļuves politikas.
Bieži uzdotie jautājumi
-
Pastāv četri iekšējo draudu veidi. Nejauši iekšējie draudi ir risks, ka kāds, kurš strādā uzņēmumā vai tā labā, pieļauj kļūdu, kas iespējami apdraud organizāciju vai tās datus, vai personas. Nolaidības iekšējais risks rodas, kad kāds apzināti pārkāpj drošības politiku, bet tas nenozīmē radīt kaitējumu. Ļaunprātīgs apdraudējums ir tad, ja kāds ar nolūku nozog datus, sabotē organizāciju vai uzvedas vardarbīgi. Cits ļaunprātīga apdraudējuma veids ir slepena vienošanās, kas ir tad, kad iekšēja persona sadarbojas ar kādu ārpus organizācijas, lai nodarītu kaitējumu.
-
Iekšējā riska pārvaldība ir svarīga, jo šāda veida incidenti var radīt lielu kaitējumu organizācijai un tās lietotājiem. Ja ir ieviestas pareizās politikas un risinājumi, organizācijas var būt soli priekšā iespējamajiem iekšējiem draudiem un aizsargāt organizācijas vērtīgos līdzekļus.
-
Pastāv vairākas iekšējā riska pazīmes, tostarp pēkšņas izmaiņas lietotāju darbībās, saistīta riskantu darbību secība, mēģinājumi piekļūt resursiem, kas nav nepieciešami lietotāja darbam, mēģinājumi eskalēt privilēģijas, anormāla datu eksfiltrācija, datu eksfiltrācija, ko veic no uzņēmuma aizejoši darbinieki, kā arī iebiedēšana vai uzmākšanās.
-
Iekšējo personu izraisītu notikumu nepieļaušana var būt sarežģīta, jo riskantas darbības, kas var izraisīt drošības incidentus, veic uzticamas personas, kurām ir attiecības ar organizāciju un pilnvarota piekļuve. Visaptveroša iekšējā riska pārvaldības programma, kas par prioritāti nosaka darbinieka un darba devēja attiecības un integrē konfidencialitātes kontroles līdzekļus, var samazināt iekšējā riska incidentu skaitu un paātrināt atklāšanu. Papildus konfidencialitātes kontroles līdzekļiem un fokusam uz darbinieku morāli, regulāra apmācība, atbalsts visā uzņēmumā un integrēti drošības rīki var palīdzēt mazināt jūsu risku.
-
Ļaunprātīgi iekšējie draudi ir iespēja, ka uzticama persona apzināti kaitēs organizācijai un personām, kas tur strādā. Tie atšķiras no netīšiem iekšējiem riskiem, kas rodas, ja kāds nejauši apdraud uzņēmumu vai pārkāpj kādu drošības noteikumu, bet nenozīmē, ka uzņēmumam tiek nodarīts kaitējums.
Sekot Microsoft drošībai