După 14 luni de cercetare şi analiza a peste 15.000 de dosare legale, analistul de securitate Michael Robinson a centralizat 1.000 de cazuri reale de comportament maliţios în interiorul companiilor. Studiul său, care va fi prezentat la conferinţa Black Hat Europe, oferă o imagine detaliată asupra modului în care apar, evoluează şi se manifestă ameninţările interne, un subiect adesea trecut cu vederea în discuţiile despre securitatea cibernetică, scrie DarkReading.
Robinson atrage atenţia că, în timp ce organizaţiile discută deschis despre atacuri externe, precum ransomware sau acţiuni ale statelor, incidentele cauzate de propriii angajaţi rămân un „secret murdar” al industriei. Analiza sa, bazată pe arhive judiciare din 84 de districte federale americane, arată că acest fenomen apare în peste 75 de domenii, de la IT şi finanţe, până la producţie, sănătate cibernetică şi administraţie publică. Contrar aşteptărilor, mulţi dintre cei implicaţi nu sunt angajaţi frustraţi sau cu performanţe slabe; aproximativ 25% sunt persoane din conducere, iar aproape 20% sunt angajaţi recent promovaţi, anterior consideraţi „performeri de top”. Robinson subliniază că ambiţia combinată cu accesul la informaţii sensibile poate deveni periculoasă atunci când este folosită abuziv.
Studiul demontează şi mitul conform căruia riscul dispare odată cu plecarea angajatului. În peste jumătate dintre cazuri, persoanele au părăsit organizaţia voluntar, dar au continuat să producă daune folosind conturi sau acces la platforme cloud neînchise complet. Această vulnerabilitate este amplificată de instrumentele de lucru la distanţă, ceea ce face detectarea comportamentelor abuzive mult mai dificilă.
Robinson arată şi o sofisticare tot mai mare în metodele de exfiltrare a datelor, angajaţii combinând e-mail, USB-uri, servicii cloud sau chiar fotografierea ecranelor pentru a ascunde urmele. În 31% dintre cazuri, acţiunile au fost realizate în colaborare de mai mulţi angajaţi, ceea ce reduce eficienţa sistemelor automate de detectare.
Criticând dependenţa excesivă de inteligenţa artificială, Robinson recomandă companiilor să păstreze jurnalele de activitate pe perioade mai lungi şi să menţină vizibilitatea constantă asupra accesului la resursele digitale. În plus, subliniază importanţa închiderii imediate a conturilor atunci când un angajat îşi anunţă plecarea, pentru reducerea riscurilor.
Concluzia expertului este clară: ameninţarea internă nu poate fi gestionată doar prin tehnologie sau prin încredere oarbă în angajaţi. Este necesară o abordare bazată pe date reale, colaborare între organizaţii şi o cultură a transparenţei în gestionarea incidentelor. „Nu e vorba de frică”, spune Robinson, „ci de conştientizare. Doar înţelegând tiparele reale putem trece de la intuiţie la prevenţie.”
