Con la rapida evoluzione della tecnologia, l’Insider Threat e i costi associati per contenere e rispondere a un incidente sono in aumento. Si sono, infatti, verificati alcuni incidenti significativi in cui le organizzazioni non solo hanno subito danni al brand o la perdita di dati critici, ma hanno anche dovuto incorrere in ingenti perdite finanziarie.
Alcuni dei più noti incidenti recenti di Insider Threat sono:
- La Superior Court del Quebec, in Canada, ha approvato un accordo da 200,9 milioni di dollari CAD nei confronti di una grande cooperativa canadese di servizi finanziari per una violazione di dati, la più grande avvenuta finora nel settore dei servizi finanziari canadesi. La violazione dei dati è avvenuta tra il 2017 e il 2019 e ha esposto i dati di 4,2 milioni di titolari di conti corrente. L’incidente è stato collegato alle azioni di un dipendente che ha furtivamente sottratto i dati dei clienti per 26 mesi e li ha trasmessi a una o più persone sconosciute, presumibilmente a scopo di lucro;
- Un ex Senior Developer di un’azienda tecnologica con sede a New York, che offre prodotti e soluzioni wireless, ha abusato del suo accesso da amministratore per sottrarre dati riservati tentando poi di estorcere denaro ai dipendenti senior. Il risultato è stato un calo del prezzo delle azioni dell’azienda di circa il 20% e la sua capitalizzazione di mercato è diminuita di 4 miliardi di dollari;
- Il Direttore associato di una multinazionale americana del settore farmaceutico e biotecnologico ha caricato 12.000 file riservati su un account personale di Google Drive dal suo computer portatile aziendale. I documenti riservati includevano dati sullo sviluppo di farmaci e segreti commerciali relativi al vaccino COVID-19 e ai suoi studi. È stato rilevato che il dirigente ha rubato questi dati prima di trasferirsi in un’azienda concorrente. Ciò ha comportato danni al brand, una perdita di vantaggio competitivo e la perdita dei dati proprietari;
- Un ex dipendente di un’azienda tecnologica con sede a San Josè che sviluppa, produce e vende soluzioni di rete ha inserito del codice in AWS (Amazon Web Services), che ha portato alla cancellazione di circa 450 macchine virtuali relative a una specifica applicazione. Questa azione ha fatto sì che l’organizzazione spendesse circa 1.4 milioni di dollari in termini di tempo impiegato dai dipendenti per ripristinare i danni all’applicazione e rimborsasse più di 1 milione di dollari ai clienti.
Strategie di mitigazione
Visto che le organizzazioni di ogni settore verticale sono continuamente a rischio di essere colpite da Insider Threat, lo sviluppo e l’aggiornamento delle misure di sicurezza per combattere questa attività è idealmente un processo dinamico e continuo. Anche in questo caso le misure variano a seconda delle dimensioni e del settore a cui appartiene l’organizzazione e potrebbero essere:
- Definire un programma per le minacce interne e allinearlo alla gestione del rischio. Un programma efficace richiede la collaborazione e l’integrazione di diversi componenti funzionali trasversali, tra cui: HR, CISO, CSO, Ufficio Legale e le Operations;
- Condurre una valutazione approfondita della minaccia insider. Un prerequisito per realizzare un programma efficace è quello di identificare correttamente lo stato attuale delle capacità di gestione del rischio insider e scoprire le lacune che ne derivano;
- La formazione dei dipendenti è uno dei modi migliori per prevenire e rispondere a un potenziale incidente insider. Se i dipendenti imparano a conoscere le differenti tipologie di Insider Threat e le motivazioni per le quali sono pericolosi, saranno meglio attrezzati per identificare e informare i team designati a rispondere agli incidenti insider;
- Identificare i “crown jewels”, cioè i beni più preziosi;
- Monitorare il comportamento degli utenti e dei dispositivi e confrontarlo con le attività di base precedentemente stabilite, tenendo conto sempre della privacy dei dipendenti;
- Gli amministratori di rete, i responsabili delle policy e i proprietari dei dati devono limitare le opportunità per gli individui di ottenere o sfruttare un accesso non autorizzato;
- Gli strumenti di Data Loss Prevention (DLP), pur non essendo infallibili, possono identificare e impedire che i dati sensibili vengano sottratti.
di JJ Kathuria e Arjun Bhardwaj, Consultant Mandiant
