Insider malicioso: e quando a ameaça vem de dentro?
Embora as empresas estejam sempre focadas para combater riscos externos, é possível ter em mente que um colaborador pode ser o estopim de um incidente.
Quando falamos sobre segurança cibernética, é normal que profissionais da área pensem imediatamente em formas de proteger a informação contra ameaças externas — softwares para barrar malwares, soluções para detectar intrusões, auditorias constantes para detectar vulnerabilidades que possam ser exploradas por criminosos e assim por diante. Todas essas práticas estão corretas e são importantíssimas, mas você já parou para pensar que a maior ameaça pode vir de dentro da sua empresa?
Todos nós sabemos que erros humanos são grandes culpados por vazamentos de dados, seja porque algum funcionário baixou um anexo malicioso em um email de phishing ou por conta de uma má-configuração efetuada em algum servidor por um profissional de baixo conhecimento técnico. Porém, desta vez, falaremos de fato sobre os insiders maliciosos, ou seja, aqueles colaboradores que causam um incidente de segurança de forma arbitrária, por vontade própria, geralmente incentivados por questões financeiras.
Basta uma rápida pesquisa no Google para encontrar diversos casos noticiados pela imprensa especializada. Os insiders maliciosos fazem parte de sua equipe, recebem treinamentos de segurança, conhecem as melhores práticas de proteção de dados… Mas, seja para se “vingar” da empresa por qualquer motivo ou por ter sido contratado por um agente externo para tal, ele comete um crime contra a informação, abrindo portas para um meliante cibernético ou desviando informações sigilosas para fora de seu perímetro.
Lá fora, o problema do insider malicioso se tornou comum sobretudo em operadoras de telefonia móvel. Para efetivar o golpe conhecido como SIM Swapping (sequestro de linhas telefônicas), os criminosos pagam funcionários das provedoras de serviços para que eles usem o sistema interno para trocar a titularidade de determinado chip SIM, permitindo que o estelionatário personifique a vítima final e roube seu perfil do WhatsApp, por exemplo. Geralmente, a cada titularidade alterada, o funcionário recebe um valor em dinheiro.
Como se proteger?
Podemos dizer que é impossível identificar um insider malicioso — afinal, não é como se você pudesse simplesmente prever qual dos seus funcionários (especialmente em empresas de grande porte) pode se virar contra você. Dessa forma, o que podemos fazer é aplicar medidas cautelares que visam reduzir os eventuais impactos caso algum colaborador decida trabalhar para o “lado negro da força”. E a primeira medida é realizar um trabalho caprichado de classificação de informações.
Ao classificar devidamente o nível de confidencialidade de cada informação e atribuir níveis de privilégio de acesso da forma mais rígida possível, você evita que, por exemplo, um profissional júnior acesse dados sigilosos que apenas um colaborador sênior (com anos de casa) deveria acessar. O descontrole de privilégios de acesso é uma das falhas mais comuns para incidentes causadas por insiders maliciosos — é importante garantir que documentos sensíveis só sejam abertos por quem realmente precise abri-los.
Também existem no mercado diversas soluções de prevenção de perda de dados (data loss prevention ou DLP, no original em inglês). Estamos falando de softwares que se integram ao seu ambiente de trabalho e impedem, por exemplo, que determinado conteúdo seja copiado, impresso, compartilhado com terceiros ou até mesmo capturado via print screen. Tudo isso respeitando uma série de regras impostas pelo time de segurança da informação, garantindo que dados sensíveis não trafeguem de forma desordenada.
Por fim, é claro que ter uma equipe de resposta a incidentes é crucial para identificar eventuais anomalias e tomar as medidas necessárias o mais rápido possível. Converse com os especialistas da Aser Security e entenda como podemos ajudar a sua empresa com o nosso expertise!