Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Máte bezpečnostní strategii proti hackerským útokům, chráníte firemní systémy před neautorizovaným vniknutím, a dokonce myslíte na fyzické vetřelce. Jenže hrozba může přijít i zevnitř firmy – ze strany zaměstnanců, dodavatelů a obchodních partnerů. Tedy od všech, kdo už mají oprávněný přístup k interním platformám a citlivým datům. Jak se proti tomu bránit? 

Firmy se obvykle soustředí na obranu proti vnějším kybernetickým hrozbám. Útoky přicházejí čím dál rychleji a opatření je třeba udržovat stále aktuální. Rizika spojená s interními aktéry se proto často řeší až na posledním místě. Přitom takový útok zevnitř, byť amatérsky provedený, může napáchat neméně velké škody. A navíc bývá složitější ho odhalit.

Malá chyba a data aerolinek byla volně na internetu 

V březnu 2022 se velké množství citlivých dat turecké nízkonákladové letecké společnosti Pegasus Airlines ocitlo volně přístupné na internetu. Jejich cloudové úložiště na platformě Amazon Web Services nemělo správně nastavená přístupová oprávnění. Místo toho, aby byla data dostupná pouze oprávněným uživatelům, mohl se k nim dostat kdokoliv s odpovídajícím odkazem nebo nástrojem pro vyhledávání špatně zabezpečených úložišť. 

Mezi vystavenými daty se nacházely letecké mapy, navigační materiály, osobní údaje posádky a zdrojový kód systémového softwaru. Dohromady šlo o 23 milionů souborů o velikosti 6,5 terabajtu. 

Jak se to stalo? V tomto případě šlo o nedbalost zaměstnance. Nedostatečně proškolený správce systémů společnosti udělal chybu při konfiguraci cloudového prostředí, což vedlo k tomu, že citlivá data zůstala bez jakékoliv ochrany.  

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Zobrazit článek

Kdyby došlo k jejich zneužití, mohlo by to ohrozit tisíce pasažérů i členy posádky. Navíc šlo o porušení tureckého zákona o ochraně osobních údajů, který mluví o pokutě až 183 tisíc dolarů. Naštěstí se na únik dat relativně rychle přišlo a chyba byla za tři dny opravena. 

Jak šlo incidentu předejít? Pegasus Airlines měly předvídat nutnost monitorování interakcí uživatelů s citlivými systémy a daty. Zvlášť důležitý je monitoring právě u privilegovaných uživatelů, kteří mají přístup k nejkritičtější IT infrastruktuře a zdrojům. 

Propustili ho a on zveřejnil údaje 8,2 milionu zákazníků 

Ještě méně bývají firmy připravené na záměrné poškození zevnitř. Pachatele z řad zaměstnanců láká možný finanční zisk nebo se touží pomstít bezprostředně po propuštění. Můžou zneužít svých přístupů do firemního systému k prodeji obchodního tajemství konkurenci nebo k využití citlivých informací ve svém novém byznysu.  

V dubnu 2022 si čerstvě propuštěný zaměstnanec cíleně stáhl osobní data uživatelů mobilní platební služby Cash App. Šlo o celá jména klientů, hodnoty a obsah investičních portfolií i záznamy o aktivitě při obchodování s akciemi. Únik dat vedl ke kompromitaci údajů 8,2 milionu zákazníků.  

Společnost navíc informovala postižené uživatele až čtyři měsíce po odhalení incidentu, což vedlo k hromadné žalobě proti Cash App Investing i její mateřské společnosti Block.  

Prvotní chyba byla samozřejmě v tom, že firma neodebrala propuštěnému zaměstnanci přístupová oprávnění. Správně nastavený proces ukončení pracovního poměru a pravidelné kontroly uživatelských oprávnění jsou klíčové pro ochranu firem před krádeží dat od odcházejících zaměstnanců – a v tomto případě mohly incidentu zabránit. Kromě toho by nasazení nástroje pro nepřetržité monitorování uživatelské aktivity umožnilo Cash App Investing včas odhalit podezřelé chování na účtu bývalého zaměstnance. 

Jak může pomoci Privileged Access Management?  

Privileged Access Management (PAM) řídí, omezuje a monitoruje aktivitu privilegovaných uživatelů, kteří mají administrátorská oprávnění. Výrazně se tím snižuje pravděpodobnost úniku nebo zneužití dat. PAM navíc umožňuje aplikovat princip nejnižších oprávnění (Least Privilege), což znamená, že uživatelé získají pouze takový přístup, jaký skutečně potřebují, a to jen po nezbytnou dobu. Díky tomu organizace nejen zvyšují úroveň vlastní bezpečnosti, ale také zamezují neautorizovaným změnám v kritických systémech – úmyslným i neúmyslným. 

Technologie pro detekci podezřelých aktivit  

Jaké další technologie vám mohou pomoci identifikovat rizika spojená s interními spolupracovníky a předcházet jim?

Log management

Aby mohly pokročilé bezpečnostní systémy fungovat, potřebují kvalitní data. Log management je proces centralizovaného sběru, ukládání a analýzy záznamů o činnosti systémů, aplikací a zařízení napříč IT prostředím. Logy obsahují informace o přístupech, chybách, změnách i dalších událostech, které mohou být klíčové pro odhalení neobvyklého chování nebo bezpečnostního incidentu. Teprve sjednocením a korelací těchto dat lze efektivně využít nástroje jako analýzu chování uživatelů (UBA) nebo systémy SIEM. Log management tak tvoří důležitý základ pro detekci i zpětnou analýzu interních hrozeb. 



Analýza chování uživatelů (User Behavior Analytics, UBA)

UBA využívá pokročilé datové analýzy a umělou inteligenci k vytvoření modelů standardního chování uživatelů. Tím umožňuje detekovat odchylky, které mohou naznačovat kybernetické hrozby, včetně těch interních. UBA se nejčastěji používá ve spojení se systémy pro správu bezpečnostních informací a událostí (SIEM), které shromažďují, korelují a analyzují bezpečnostní data napříč organizací.   

Pokročilé monitorovací systémy

Moderní monitorovací nástroje umožňují sledovat aktivity uživatelů v reálném čase, identifikovat podezřelé vzorce chování a rychle reagovat na potenciální hrozby. Například integrace cloudových služeb jako Dropbox s nástroji typu Microsoft Defender for Cloud Apps poskytuje lepší přehled o aktivitách uživatelů, detekci hrozeb pomocí analýzy anomálií i automatizované nápravné akce.   

Automatizovaná reakce na hrozby pomocí umělé inteligence

Implementace umělé inteligence v kybernetické bezpečnosti umožňuje nejen detekci hrozeb v reálném čase, ale také automatizovanou reakci na ně. Po identifikaci potenciální hrozby může AI automaticky podniknout kroky ke zmírnění nebo izolaci útoku, jako je odpojení kompromitovaných systémů nebo blokování podezřelé komunikace, čímž minimalizuje jeho dopad a poskytuje čas na detailnější analýzu a dlouhodobější řešení.   

Ofenzivní bezpečnost (Offensive Security, OffSec)

OffSec využívá podobné taktiky jako útočníci při reálných útocích, ale za účelem posílení bezpečnosti sítě. Tuto činnost obvykle provádějí etičtí hackeři, kteří identifikují a opravují nejen slabiny v IT systémech, ale i bezpečnostní rizika a zranitelnosti v chování uživatelů při reakcích na útoky. 

Kdy je monitoring zaměstnanců neetický?  

Etická hranice v monitoringu zaměstnanců spočívá v rovnováze mezi bezpečností firmy a ochranou soukromí zaměstnanců. Společnosti by měly při nastavování monitorovacích opatření vycházet z následujících principů:  

• Legálnost a transparentnost. Monitoring musí být v souladu s právními předpisy (např. GDPR) a zaměstnanci by o něm měli být jasně informováni. Skrytý dohled bez jejich vědomí je eticky problematický a v mnoha zemích i nezákonný.  
• Přiměřenost a účelnost. Sledování by mělo být cílené pouze na aktivity, které mohou ohrozit bezpečnost organizace, nikoli na běžnou pracovní činnost zaměstnanců nebo jejich soukromou komunikaci.  
• Minimální zásah do soukromí. Organizace by měly minimalizovat rozsah sbíraných dat a zajišťovat, aby nebyla využívána k jiným účelům než k ochraně firemních aktiv. Například není etické sledovat, jaké webové stránky zaměstnanci navštěvují ve volném čase, pokud se nejedná o přímou bezpečnostní hrozbu.  
• Možnost přezkoumání. Zaměstnanci by měli mít možnost seznámit se s tím, jak jsou monitorováni, a mít právo se proti neetickému monitoringu bránit.   
• Etická politika a firemní kultura. Monitoring by neměl vytvářet prostředí strachu, ale měl by být součástí transparentní a bezpečnostně uvědomělé kultury firmy. Důvěra a spolupráce mezi zaměstnanci a vedením jsou klíčové pro efektivní kybernetickou ochranu.  

Zdroj: commission.europa.eu, forrester.com, gartner.com   

Bezpečnost jako společný cíl firmy i zaměstnanců 

Každá silná bezpečnostní strategie musí stát na třech pilířích: správně nastavených přístupových politikách, firemní kultuře podporující odpovědné chování a technologiích, které rizika pomáhají řídit, nejen slepě hlídat.  

Člověk jako nejslabší článek kyberbezpečnosti. 5 tipů, jak školit vaše zaměstnance

Člověk jako nejslabší článek kyberbezpečnosti. 5 tipů, jak školit vaše zaměstnance

Zobrazit článek

Efektivní řízení přístupů znamená pravidelně revidovat oprávnění a odstraňovat přístupy, které už nejsou potřeba. U citlivých systémů je pak klíčové nastavit dynamické, časově omezené přístupy, aby měli zaměstnanci oprávnění jen v době, kdy je skutečně potřebují. Další vrstvu ochrany přidává vícefaktorová autentizace (MFA), která zajišťuje, že ani v případě kompromitace hesla útočník nezíská přístup k privilegovaným účtům. 

A neméně důležité je budovat prostředí, kde zaměstnanci vnímají bezpečnost jako společný cíl, ne jako dohled nad sebou. Když jsou zaměstnanci na vaší straně, snižuje se riziko neúmyslných chyb i vědomého zneužití přístupů.  

Co si z článku odnést?  

• Interní hrozby bývají stejně nebezpečné jako externí útoky, protože přicházejí od osob, které už disponují oprávněným přístupem. 
• Lidské chyby i úmyslné zneužití dat mohou způsobit rozsáhlé škody, a to i v důsledku špatně nastavených přístupových politik.  
• Privileged Access Management (PAM) pomáhá minimalizovat rizika tím, že řídí a monitoruje oprávnění privilegovaných uživatelů. 
• Technologie jako User Behavior Analytics, OffSec nebo AI pro detekci hrozeb umožňují včasné odhalení podezřelých aktivit.  
• Firemní kultura a vzdělávání zaměstnanců jsou klíčové, protože bezpečnost musí být vnímána jako společná odpovědnost, ne jenom jako dohled.  

Kateřina Benešová
Marketingový specialista pro B2B