Trace Id is missing
Przejdź do głównej zawartości
Rozwiązania zabezpieczające firmy Microsoft

Co to jest zagrożenie wewnętrzne?

Dowiedz się, jak chronić swoją organizację przed działaniami osób mających dostęp do informacji poufnych (insiderów), w tym użytkowników z autoryzowanym dostępem, którzy mogą umyślnie lub nieumyślnie spowodować zdarzenia zagrażające bezpieczeństwu danych.

Zdefiniowano zagrożenie wewnętrzne

Zanim insiderzy staną się zagrożeniem, stanowią ryzyko, które definiuje się jako możliwość wykorzystania przez daną osobę autoryzowanego dostępu do zasobów organizacji — złośliwie lub niezamierzenie — w sposób, który negatywnie wpływa na organizację. Dostęp obejmuje zarówno dostęp fizyczny, jak i wirtualny, a zasoby obejmują informacje, procesy, systemy i obiekty.

Co to jest insider?

Insider to zaufana osoba, która ma dostęp do zasobów, danych lub systemu firmy, które nie są ogólnie dostępne publicznie, w tym:

  • Osoby, które mają identyfikator lub inne urządzenie umożliwiające im stały dostęp do fizycznej własności firmy, takiej jak centrum danych lub siedziba główna firmy.
  • Osoby, które mają firmowy komputer z dostępem do sieci.
  • Osoby, które mają dostęp do firmowej sieci, zasobów w chmurze, aplikacji lub danych.
  • Osoby, które mają wiedzę na temat strategii firmy i jej finansów.
  • Osoby, które tworzą produkty lub usługi firmy.

Rodzaje zagrożeń wewnętrznych

Zagrożenia wewnętrzne są trudniejsze do wykrycia niż zagrożenia zewnętrzne, ponieważ osoby te mają już dostęp do zasobów organizacji i znają jej środki zabezpieczeń. Znajomość rodzajów zagrożeń wewnętrznych pomaga organizacjom lepiej chronić swoje cenne zasoby.

  • Wypadek

    Czasami ludzie popełniają błędy, które mogą prowadzić do potencjalnych zdarzeń zagrażających bezpieczeństwu. Na przykład partner biznesowy wysyła dokument z danymi klienta do współpracownika, nie zdając sobie sprawy, że nie jest on uprawniony do przeglądania tych informacji. Lub pracownik odpowiada na kampanię wyłudzania informacji i przypadkowo instaluje złośliwe oprogramowanie.

  • Złośliwe

    W przypadku złośliwego zdarzenia zagrażające bezpieczeństwu spowodowanego przez osobę mającą dostęp do informacji poufnych, pracownik lub zaufana osoba celowo robi coś, o czym wie, że będzie miało negatywny wpływ na firmę. Takie osoby mogą być motywowane osobistymi skargami lub innymi osobistymi powodami i mogą dążyć do osiągnięcia korzyści finansowych lub osobistych poprzez swoje działania.

  • Zaniedbanie

    Niedbalstwo jest podobne do wypadku, w wyniku który osoba nie chciała spowodować zdarzenia zagrażającego bezpieczeństwu danych. Różnica polega na tym, że mogą oni świadomie łamać zasady zabezpieczeń. Typowym przykładem jest sytuacja, w której pracownik pozwala komuś wejść do budynku bez okazania identyfikatora. Cyfrowym odpowiednikiem byłoby pominięcie zasad zabezpieczeń bez starannego rozważenia ze względu na szybkość i wygodę lub logowanie się do zasobów firmy za pośrednictwem niezabezpieczonego połączenia bezprzewodowego.

  • Zmowa

    Niektóre zdarzenia zagrażające bezpieczeństwu wewnętrznemu są wynikiem współpracy zaufanej osoby z organizacją cyberprzestępczą w celu popełnienia szpiegostwa lub kradzieży. Jest to kolejny rodzaj złośliwego ryzyka wewnętrznego.

Jak dochodzi do złośliwych zdarzeń z wykorzystaniem informacji poufnych?

Złośliwe zdarzenia powodowane przez osoby mające dostęp do informacji poufnych mogą występować na wiele sposobów wykraczających poza typowy cyberatak. Oto kilka typowych sposobów, w jakie insiderzy mogą powodować zdarzenia zagrażające bezpieczeństwu:

  • Przemoc

    Insiderzy mogą stosować przemoc lub groźbę jej użycia w celu zastraszenia innych pracowników lub wyrażenia niezadowolenia w organizacji. Przemoc może przybierać formę przemocy werbalnej, molestowania seksualnego, zastraszania, napaści lub innych gróźb.

  • Szpiegostwo

    Szpiegostwo odnosi się do praktyki kradzieży tajemnic handlowych, poufnych informacji lub własności intelektualnej należącej do organizacji w celu zapewnienia przewagi konkurentowi lub innej stronie. Na przykład, organizacja może zostać zinfiltrowana przez złośliwego insidera, który gromadzi informacje finansowe lub plany produktów w celu uzyskania przewagi konkurencyjnej na rynku.

  • Sabotaż

    Insider może być niezadowolony z organizacji i czuć się zmotywowany do uszkodzenia jej własności fizycznej, danych lub systemów cyfrowych. Sabotaż może mieć różne formy, takie jak dewastacja sprzętu lub naruszenie poufnych informacji.

  • Oszustwo

    Insiderzy mogą dopuszczać się nieuczciwych działań w celu osiągnięcia osobistych korzyści. Na przykład, złośliwy insider może używać firmowej karty kredytowej do użytku osobistego lub składać fałszywe lub zawyżone wnioski o zwrot wydatków.

  • Kradzież

    Insiderzy mogą kraść aktywa organizacji, poufne dane lub własność intelektualną dla osobistych korzyści. Na przykład, odchodzący pracownik, który jest motywowany osobistymi korzyściami, może dokonać eksfiltracji poufnych informacji dla swojego przyszłego pracodawcy, lub wykonawca, który jest zatrudniony przez organizację do wykonania określonych zadań, może ukraść poufne dane dla własnych korzyści.

Siedem wskaźników ryzyka wewnętrznego

Zarówno ludzie, jak i technologia odgrywają swoją rolę w wykrywaniu ryzyka wewnętrznego. Kluczem jest ustalenie punktu odniesienia dla tego, co jest normalne, aby łatwiej było zidentyfikować nietypowe działania.

  • Zmiany aktywności użytkownika

    Współpracownicy, menedżerowie i partnerzy mogą być w najlepszej pozycji, aby wiedzieć, czy ktoś stał się zagrożeniem dla organizacji. Na przykład insider, który jest zmotywowany do spowodowania zdarzenia zagrażającego bezpieczeństwu danych, może mieć nagłe obserwowalne zmiany postawy jako nietypowy znak.

  • Nietypowa eksfiltracja danych

    Pracownicy często uzyskują dostęp do poufnych danych i udostępniają je w pracy. Jednak gdy użytkownik nagle udostępnia lub pobiera nietypową ilość poufnych danych w porównaniu z jego wcześniejszymi działaniami lub rówieśnikami w podobnej roli, może to wskazywać na potencjalne zdarzenie zagrażające bezpieczeństwu danych.

  • Sekwencja powiązanych ryzykownych działań

    Pojedyncze działanie użytkownika, takie jak pobranie poufnych danych, może samo w sobie nie stanowić potencjalnego zagrożenia, ale seria działań może wskazywać na potencjalne zagrożenia dla bezpieczeństwa danych. Załóżmy na przykład, że użytkownik zmienił nazwę poufnych plików, aby wyglądały na mniej poufne, pobrał je z magazynu w chmurze, zapisał na urządzeniu przenośnym i usunął z magazynu w chmurze. W tym przypadku może to sugerować, że użytkownik potencjalnie próbował dokonać eksfiltracji poufnych danych, unikając wykrycia.

  • Eksfiltracja danych odchodzących pracowników

    Eksfiltracja danych często pojawia się wraz z rezygnacjami i może być zamierzona lub niezamierzona. Niezamierzone zdarzenie może wyglądać tak, że odchodzący pracownik nieumyślnie skopiuje poufne dane, aby zachować zapis swoich osiągnięć na swoim stanowisku, podczas gdy złośliwe zdarzenie może wyglądać tak, że świadomie pobierze poufne dane w celu uzyskania osobistych korzyści lub aby pomóc sobie na następnym stanowisku. Gdy zdarzenia rezygnacji zbiegają się z innymi nietypowymi działaniami, może to wskazywać na zdarzenie zagrażające bezpieczeństwu danych.

  • Nietypowy dostęp do systemu

    Potencjalne zagrożenia wewnętrzne mogą zaczynać się od dostępu użytkowników do zasobów, których zwykle nie potrzebują do pracy. Na przykład, użytkownicy, którzy normalnie uzyskują dostęp tylko do systemów związanych z marketingiem, nagle zaczynają uzyskiwać dostęp do systemów finansowych wiele razy dziennie.

  • Zastraszanie i nękanie

    Jedną z wczesnych oznak zagrożeń wewnętrznych może być użytkownik wyrażający groźby, nękający lub dyskryminujący. Nie tylko szkodzi to kulturze firmy, ale może również prowadzić do innych potencjalnych zdarzeń.

  • Eskalacja uprawnień

    Organizacje zazwyczaj chronią i zarządzają cennymi zasobami poprzez przypisywanie dostępu uprzywilejowanego i ról ograniczonemu personelowi. Jeśli pracownik próbuje eskalować swoje uprawnienia bez wyraźnego uzasadnienia biznesowego, może to być oznaką potencjalnego ryzyka wewnętrznego.

Przykłady zagrożeń wewnętrznych

Do zdarzeń związanych z zagrożeniami wewnętrznymi, takimi jak kradzież danych, szpiegostwo czy sabotaż, dochodziło w organizacjach różnej wielkości na przestrzeni lat. Oto kilka przykładów:

  • Kradzież tajemnic handlowych i sprzedaż ich innej firmie.
  • Włamanie do infrastruktury chmurowej firmy i usunięcie tysięcy kont klientów.
  • Wykorzystanie tajemnic handlowych do założenia nowej firmy.

Znaczenie całościowego zarządzania ryzykiem wewnętrznym

Całościowy program zarządzania ryzykiem wewnętrznym, który nadaje priorytet relacjom pracownik-pracodawca i integruje kontrole prywatności, może zmniejszyć liczbę potencjalnych zdarzeń zagrażających bezpieczeństwu wewnętrznemu i prowadzić do szybszego wykrywania. Ostatnie badanie przeprowadzone przez firmę Microsoft wykazało, że firmy z całościowym programem zarządzania ryzykiem wewnętrznym były o 33 procent bardziej skłonne do szybkiego wykrywania ryzyka wewnętrznego i o 16 procent bardziej skłonne do szybkich działań naprawczych niż firmy z bardziej fragmentarycznym podejściem.1

Jak chronić się przed zagrożeniami wewnętrznymi

Organizacje mogą zająć się ryzykiem wewnętrznym w sposób całościowy, koncentrując się na procesach, ludziach, narzędziach i edukacji. Skorzystaj z poniższych najlepszych praktyk, aby opracować program zarządzania ryzykiem wewnętrznym, który buduje zaufanie pracowników i pomaga wzmocnić bezpieczeństwo:

  • Priorytetem jest zaufanie i prywatność pracowników

    Budowanie zaufania wśród pracowników zaczyna się od priorytetowego traktowania ich prywatności. Aby wzmocnić poczucie komfortu związane z programem zarządzania ryzykiem wewnętrznym, należy rozważyć wdrożenie wielopoziomowego procesu zatwierdzania inicjowania badań w sprawie informacji poufnych. Ponadto ważne jest, aby kontrolować działania osób prowadzących badania, aby upewnić się, że nie przekraczają one swoich granic. Wdrożenie kontroli dostępu na podstawie ról, aby ograniczyć, kto w zespole ds. zabezpieczeń może uzyskać dostęp do danych badawczych, może również pomóc w zachowaniu prywatności. Anonimizacja nazw użytkowników podczas badań może dodatkowo chronić prywatność pracowników. Wreszcie, rozważ usunięcie flag użytkowników po określonym czasie, jeśli badanie nie będzie kontynuowane.

  • Stosowanie pozytywnych środków odstraszających

    Podczas gdy wiele programów dotyczących zagrożeń wewnętrznych opiera się na negatywnych środkach odstraszających, takich jak zasady i narzędzia ograniczające ryzykowne działania pracowników, kluczowe jest zrównoważenie tych środków podejściem zapobiegawczym. Pozytywne środki odstraszające, takie jak wydarzenia podnoszące morale pracowników, staranne dołączanie nowych pracowników, ciągłe szkolenia i edukacja w zakresie bezpieczeństwa danych, przekazywanie informacji zwrotnych w górę oraz programy umożliwiające zachowanie równowagi między życiem zawodowym a prywatnym, mogą pomóc zmniejszyć prawdopodobieństwo wystąpienia zdarzeń wewnętrznych. Angażując pracowników w produktywny i proaktywny sposób, pozytywne środki odstraszające zajmują się źródłem ryzyka i promują kulturę bezpieczeństwa w organizacji.

  • Uzyskanie poparcia całej firmy

    Zespoły IT i bezpieczeństwa mogą ponosić główną odpowiedzialność za zarządzanie ryzykiem wewnętrznym, ale konieczne jest zaangażowanie całej firmy w ten wysiłek. Działy takie jak zasoby ludzkie, zgodności i prawny odgrywają kluczową rolę w definiowaniu zasad, komunikowaniu się z interesariuszami i podejmowaniu decyzji podczas badania. Aby opracować bardziej kompleksowy i skuteczny program zarządzania ryzykiem wewnętrznym, organizacje powinny dążyć do uzyskania poparcia i zaangażowania ze wszystkich obszarów firmy.

  • Używaj zintegrowanych i kompleksowych rozwiązań zabezpieczających

    Skuteczna ochrona organizacji przed ryzykiem wewnętrznym wymaga czegoś więcej niż tylko wdrożenia najlepszych narzędzi zabezpieczających; wymaga zintegrowanych rozwiązań, które zapewniają wgląd i ochronę całego przedsiębiorstwa. Po zintegrowaniu rozwiązań z zakresu bezpieczeństwa danych, zarządzania tożsamościami i dostępem, rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR) oraz zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), zespoły ds. bezpieczeństwa mogą skutecznie wykrywać zdarzenia wewnętrzne i im zapobiegać.

  • Wdrażanie skutecznych szkoleń

    Pracownicy odgrywają kluczową rolę w zapobieganiu zdarzeniom zagrażającym bezpieczeństwu, co czyni ich pierwszą linią obrony. Zabezpieczenie zasobów firmy wymaga zaangażowania pracowników, co z kolei zwiększa ogólne bezpieczeństwo organizacji. Jedną z najskuteczniejszych metod budowania tego zaangażowania jest edukacja pracowników. Edukując pracowników, można zmniejszyć liczbę nieumyślnych zdarzeń wewnętrznych. Ważne jest, aby wyjaśnić, w jaki sposób zdarzenia poufne mogą wpływać zarówno na firmę, jak i na jej pracowników. Ponadto kluczowe znaczenie ma informowanie o zasadach ochrony danych i uczenie pracowników, jak unikać potencjalnego wycieku danych.

  • Wykorzystanie uczenia maszynowego i sztucznej inteligencji

    Zagrożenia związane z bezpieczeństwem w dzisiejszym nowoczesnym miejscu pracy są dynamiczne, z różnymi, stale zmieniającymi się czynnikami, które mogą utrudniać ich wykrywanie i reagowanie na nie. Jednak dzięki wykorzystaniu uczenia maszynowego i sztucznej inteligencji organizacje mogą wykrywać i ograniczać zagrożenia wewnętrzne z prędkością maszyny, umożliwiając adaptacyjne i ukierunkowane na człowieka bezpieczeństwo. Ta zaawansowana technologia pomaga organizacjom zrozumieć, w jaki sposób użytkownicy wchodzą w interakcje z danymi, obliczać i przypisywać poziomy ryzyka oraz automatycznie dostosowywać odpowiednie mechanizmy kontroli zabezpieczeń. Dzięki tym narzędziom organizacje mogą usprawnić proces identyfikacji potencjalnych zagrożeń i nadać priorytet swoim ograniczonym zasobom w zakresie przeciwdziałania działaniom insiderów wysokiego ryzyka. Oszczędza to cenny czas zespołów ds. zabezpieczeń, zapewniając jednocześnie lepsze bezpieczeństwo danych.

Rozwiązania do zarządzania ryzykiem wewnętrznym

Obrona przed zagrożeniami wewnętrznymi może być trudna, ponieważ naturalne jest, że ufamy tym, którzy pracują dla organizacji i z nią. Szybka identyfikacja najbardziej krytycznych zagrożeń wewnętrznych i ustalenie priorytetów zasobów w celu ich zbadania i złagodzenia ma kluczowe znaczenie dla zmniejszenia wpływu potencjalnych zdarzeń i naruszeń. Na szczęście wiele narzędzi cyberbezpieczeństwa , które zapobiegają zagrożeniom zewnętrznym, może również identyfikować zagrożenia wewnętrzne.

Usługa Microsoft Purview oferuje funkcje ochrony informacji, zarządzania ryzykiem wewnętrznym i ochrony przed utratą danych (DLP) , które ułatwiają uzyskiwanie wglądu w dane, wykrywanie krytycznych zagrożeń wewnętrznych, które mogą prowadzić do potencjalnych zdarzeń związanych z bezpieczeństwem danych i ochrony przed utratą danych.

Tożsamość Microsoft Entra ułatwia zarządzanie tym, kto może uzyskiwać dostęp do czego i może Cię ostrzegać, jeśli aktywność związana z logowaniem i dostępem innej osoby jest ryzykowna.

Usługa Microsoft Defender 365 to rozwiązanie XDR, które pomaga zabezpieczyć chmury, aplikacje, punkty końcowe i pocztę e-mail przed nieautoryzowanymi działaniami. Organizacje rządowe, takie jak Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury, również zapewniają wytyczne dotyczące opracowywania programu zarządzania zagrożeniami wewnętrznymi.

Przyjmując te narzędzia i korzystając ze wskazówek ekspertów, organizacje mogą lepiej zarządzać zagrożeniami wewnętrznymi i chronić swoje krytyczne zasoby.

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Microsoft Purview

Pobierz rozwiązania w zakresie zarządzania, ochrony i zgodności danych w swojej organizacji.

Dowiedz się więcej

Zarządzanie ryzykiem wewnętrznym w Microsoft Purview

Wykrywaj i ograniczaj zagrożenia wewnętrzne dzięki gotowym do użycia modelom uczenia maszynowego.

Dowiedz się więcej

Ochrona adaptacyjna w usłudze Microsoft Purview

Zabezpiecz dane dzięki inteligentnemu i zorientowanemu na ludzi podejściu.

Dowiedz się więcej

Tworzenie całościowego programu zarządzania ryzykiem wewnętrznym

Poznaj pięć elementów, które pomagają firmom zapewnić większe bezpieczeństwo danych przy jednoczesnej ochronie zaufania użytkowników.

Wyświetl raport

Ochrona przed utratą danych w Microsoft Purview

Zapobiegaj nieautoryzowanemu udostępnianiu, przesyłaniu lub wykorzystywaniu danych między aplikacjami, urządzeniami i środowiskami lokalnymi.

Dowiedz się więcej

Zgodność w komunikacji w Microsoft Purview

Spełniaj obowiązki w zakresie zgodności z przepisami i zajmuj się potencjalnymi naruszeniami zasad prowadzenia działalności.

Dowiedz się więcej

Ochrona przed zagrożeniami firmy Microsoft

Chroń urządzenia, aplikacje, wiadomości e-mail, tożsamości, dane i obciążenia w chmurze dzięki ujednoliconej ochronie przed zagrożeniami.

Dowiedz się więcej

Tożsamość Microsoft Entra

Ochrona dostępu do zasobów i danych przy użyciu silnego uwierzytelniania i adaptacyjnych zasad dostępu opartych na ryzyku.

Dowiedz się więcej

Często zadawane pytania

  • Istnieją cztery typy zagrożeń wewnętrznych. Przypadkowe zagrożenie wewnętrzne to ryzyko, że ktoś, kto pracuje dla firmy lub z firmą, popełni błąd, który potencjalnie narazi na szwank organizację, jej dane lub osoby. Ryzyko związane z nieostrożnym dostępem do informacji poufnych ma miejsce, gdy ktoś świadomie łamie zasady bezpieczeństwa, ale nie chce wyrządzić szkody. Złośliwe zagrożenie ma miejsce, gdy ktoś celowo kradnie dane, sabotuje organizację lub zachowuje się agresywnie. Inną formą złośliwego zagrożenia jest zmowa, czyli sytuacja, w której osoba mająca dostęp do informacji poufnych (insider) współpracuje z kimś spoza organizacji w celu wyrządzenia szkody.

  • Zarządzanie ryzykiem wewnętrznym jest ważne, ponieważ tego typu zdarzenia mogą wyrządzić wiele szkód organizacji i jej pracownikom. Dzięki odpowiednim zasadom i rozwiązaniom organizacje mogą wyprzedzić potencjalne zagrożenia wewnętrzne i chronić cenne zasoby organizacji.

  • Istnieje kilka możliwych oznak zagrożenia wewnętrznego, w tym nagłe zmiany w działaniach użytkowników, powiązana sekwencja ryzykownych działań, próba uzyskania dostępu do zasobów niepotrzebnych do pracy, próba eskalacji uprawnień, nietypowa eksfiltracja danych, odchodzący pracownicy eksfiltrujący dane oraz zastraszanie lub nękanie.

  • Zapobieganie zdarzeniom z udziałem insiderów może być trudne, ponieważ ryzykowne działania, które mogą prowadzić do zdarzeń zagrażających bezpieczeństwu, są wykonywane przez zaufane osoby, które mają relacje w organizacji i autoryzowany dostęp. Całościowy program zarządzania ryzykiem wewnętrznym, który nadaje priorytet relacjom pracownik-pracodawca i integruje kontrole prywatności, może zmniejszyć liczbę zdarzeń zagrażających bezpieczeństwu wewnętrznemu i prowadzić do szybszego wykrywania. Oprócz kontroli prywatności i skupienia się na morale pracowników, regularne szkolenia, zaangażowanie całej firmy i zintegrowane narzędzia bezpieczeństwa mogą pomóc zmniejszyć ryzyko.

  • Złośliwe zagrożenie wewnętrzne to możliwość, że zaufana osoba celowo zaszkodzi organizacji i pracującym w niej osobom. Różni się to od niezamierzonego ryzyka wewnętrznego, które występuje, gdy ktoś przypadkowo naraża firmę lub łamie zasadę bezpieczeństwa, ale nie chce wyrządzić firmie żadnej szkody.

[1] „W jaki sposób całościowe podejście może pomóc organizacji? Korzyści płynące z całościowego programu zarządzania ryzykiem wewnętrznym” w sekcji Tworzenie całościowego programu zarządzania ryzykiem wewnętrznym: 5 elementów, które pomagają firmom zapewnić lepszą ochronę i bezpieczeństwo danych przy jednoczesnej ochronie zaufania użytkowników, rozwiązania zabezpieczające firmy Microsoft 2022, str. 41.

Obserwuj rozwiązania zabezpieczające firmy Microsoft