Com protegir-nos de l’auge de les amenaces internes?
Les amenaces no només vénen de fora. Una investigació estima que gairebé el 40% dels forats de seguretat de TI els perpetren persones properes de l’empresa. Alguns informes recullen que més del 50% de les organitzacions van sofrir un atac intern en els últims 12 mesos, mentre que un 90% afirmen sentir-se vulnerables a amenaces internes. Per què es produeixen aquests atacs? En general, per obtenir un benefici econòmic, però de vegades és per venjança o un benefici a futur, com pot ser portar dades a una nova feina.
IT Digital Media ha reunit experts en Ciberseguretat per debatre sobre aquestes amenaces internes que s’estan tornant cada vegada més comunes i costoses. Javier Osuna, director Divisió Consultoria i Serveis de Ciberseguretat de GMV, ha aportat la seva experiència i opinió sobre el tema, destacant que els processos de transformació digital fan que els límits físics i lògics s’hagin difuminat. Aspectes com el time to market, la mobilitat, el teletreball, l’associació i subcontractació d’empreses i professionals han obert i allargat tant la cadena de valor com la de subministrament. Com a conseqüència d’això, les problemàtiques de l’amenaces internes tenen cada vegada una dimensió creixent que requereix una conscienciació i reconceptualització associada a una protecció borderless.
Davant un concepte tan ampli com és el de les amenaces internes, Javier Osuna va advocar per centrar-se més en els actors i les seves motivacions: Qui són els insiders i què busquen?
L’insider és la baula imprescindible d’una “cadena fosca” de subministraments d’informació, necessària per a un altre tipus de finalitats que poden tenir motivacions diverses (polítiques, econòmiques, socials, criminals, etc.). La seva perillositat radica en la confiança i la facilitat per accedir a informació o sistemes sensibles de manera normal sense aixecar sospites. Es tracta d’un escenari complex on persones autoritzades són les que accedeixen a informació sensible, i és la destinació d’aquesta informació la que determini si es tracta d’un incident o no.
Les motivacions són variades, i en destaca la convicció com pot ser el hacktivisme o el crim organitzat, l’espionatge industrial i fins i tot entre països i finalment de tipus accidental que inclou el “treballador despistat”, o menys conscienciat i fins i tot, en alguns casos, extorquit.
Aquests modus operandi de les persones són permanentment analitzats a GMV des de la perspectiva d’utilització segura dels recursos de TI així com la informació que una organització pot tractar, desenvolupant models d’ús (cada organització té la seva casuística), per valorar els possibles abusos relacionats amb la disponibilitat de la informació sensible, la seva facilitat d’accés o visualització i els requeriments per a la seva distribució. Això ens dona una capacitat important per poder taxonomitzar els possibles incidents d’exfiltració d’informació, podent cobrir des del monitoratge de l’activitat amb les dades de l’organització, assessorant en matèria de “Forensic Readiness” per adquirir capacitats de recerca davant aquest tipus d’incidents i finalment establir “alertes de mal ús” de la informació.
Si falten diners, tard o d’hora, es troben a faltar perquè canvien de lloc o propietari. No obstant això, detectar si s’ha accedit, duplicat o modificat informació és difícil, ja que el propietari la segueix tenint. Per això, la majoria de les vegades, per identificar fuites d’informació hem de buscar fora. A GMV completem el cercle mitjançant els nostres serveis CERT i els processos de cibervigilància.
En definitiva, es parla molt de detecció d’anomalies, però cal anar amb compte, perquè la normalitat de vegades no és sempre el desitjable. La pitjor amenaça és la que no has detectat i consideres normal.