Kas ir iekšējie draudi (insider threats)?

Q: Kāds ir biežākais iekšējo draudu veids?

Biežākais ir nolaidīgie iekšējie draudi (negligent insiders) — aptuveni 60–70% no visiem iekšējiem incidentiem. Darbinieki neapzināti rada drošības riskus caur kļūdām.

Q: Vai darbinieku uzraudzība ir legāla Latvijā?

Jā, bet ar ierobežojumiem — uzraudzībai jābūt samērīgai, pamatotai ar leģitīmām interesēm un darbiniekiem jābūt informētiem. DVI var piemērot sodus par pārkāpumiem.

Q: Kā pasargāt uzņēmumu, kad darbinieks aiziet no darba?

Nekavējoties deaktivizējiet kontus un piekļuves tiesības, atgūstiet ierīces, atsauciet VPN piekļuvi un pārskatiet pēdējo nedēļu aktivitātes žurnālus.

Q: Kas ir DLP un kāpēc tas nepieciešams?

DLP (Data Loss Prevention) uzrauga un novērš sensitīvu datu nesankcionētu pārsūtīšanu ārpus organizācijas. Būtisks instruments GDPR atbilstībai.

Q: Kā atšķirt ļaunprātīgu darbību no neuzmanības kļūdas?

Ļaunprātīgai darbībai raksturīga mērķtiecība, slēpšanas metodes un atkārtota darbība. Neuzmanības gadījumā darbība ir vienreizēja un darbinieks parasti nekavējoties ziņo.

Iekšējie draudi (insider threats) ir kiberdrošības riski, kas rodas no personām ar leģitīmu piekļuvi organizācijas sistēmām un datiem — darbiniekiem, bijušajiem darbiniekiem, līgumdarbiniekiem, partneriem vai pakalpojumu sniedzējiem. Atšķirībā no ārējiem uzbrucējiem, iekšējie draudi jau atrodas aiz organizācijas drošības perimetra un var apiet daudzas tradicionālās aizsardzības kontroles.

Statistikas dati liecina, ka iekšējie draudi ir atbildīgi par aptuveni 60% datu aizsardzības pārkāpumu pasaulē. Latvijā šī problēma ir tikpat aktuāla — DVI (Datu valsts inspekcija) regulāri saņem ziņojumus par incidentiem, kur datu noplūdes cēlonis ir bijuši paši darbinieki vai nu ļaunprātīgi, vai nolaidības dēļ.

Šajā rakstā aplūkosim iekšējo draudu veidus, atpazīšanas pazīmes, tehnoloģiskos un organizatoriskos aizsardzības pasākumus, kā arī līdzsvaru starp drošības uzraudzību un darbinieku privātuma tiesībām GDPR kontekstā.

Iekšējo draudu veidi — ļaunprātīgie un nolaidīgie

Iekšējos draudus iedala vairākās kategorijās atkarībā no nolūka un motivācijas. Ļaunprātīgie iekšējie draudi (malicious insiders) ir darbinieki vai bijušie darbinieki, kas apzināti izmanto savu piekļuvi, lai kaitētu organizācijai. Motivācija var būt finansiāla (datu pārdošana konkurentiem, rūpnieciskā spiegošana), atriebība (neapmierinātība ar darba devēju, atlaišana), ideoloģiska vai ārēja spiediena rezultāts.

Nolaidīgie iekšējie draudi (negligent insiders) ir statistiski biežākais iekšējo draudu veids — tie veido aptuveni 60–70% no visiem iekšējiem incidentiem. Darbinieki neapzināti rada drošības incidentus caur kļūdām — nosūta konfidenciālus dokumentus nepareizajam adresātam, izmanto vājas paroles, pievieno sensitīvus failus publiskām mākoņkrātuvēm vai klikšķina uz pikšķerēšanas saitēm.

Kompromitētie iekšējie (compromised insiders) ir darbinieki, kuru konti vai ierīces ir tikuši pārņemti ārēja uzbrucēja kontrolē. Darbinieks var pat nezināt, ka viņa konts tiek izmantots ļaunprātīgiem mērķiem. Šis scenārijs bieži realizējas pēc veiksmīga pikšķerēšanas uzbrukuma vai malware infekcijas.

Trešo pušu draudi ietver līgumdarbiniekus, konsultantus un pakalpojumu sniedzējus, kuriem ir piešķirta piekļuve organizācijas sistēmām. Latvijā, kur daudzi uzņēmumi izmanto IT ārpakalpojumus, šis riska avots ir īpaši aktuāls un bieži nepietiekami kontrolēts.

Iekšējo draudu indikatori un atpazīšana

Iekšējo draudu agrīna atpazīšana ir kritiska incidentu novēršanai. Uzvedības indikatori ietver neparastas piekļuves modeļus — darbinieks pēkšņi piekļūst datiem vai sistēmām, kas nav saistītas ar viņa darba pienākumiem, strādā neierastos laikos vai no neparastām atrašanās vietām. Liela apjoma datu lejupielāde vai kopēšana uz ārējiem nesējiem ir nopietns brīdinājuma signāls.

Tehniskie indikatori, ko var identificēt drošības sistēmas, ietver anomālu tīkla trafiku (lieli datu apjomi uz ārējām adresēm), neautorizētu programmatūras instalēšanu, mēģinājumus apiet drošības kontroles (VPN, Tor pārlūka izmantošana), paaugstinātu privilēģiju pieprasījumus bez biznesa pamatojuma un failu pārsaukšanu vai šifrēšanu pirms nosūtīšanas.

Organizatoriskie indikatori bieži ir pirmie brīdinājuma signāli — darbinieka neapmierinātība, konflikti ar vadību, gaidāmā atlaišana, finansiālas grūtības vai neparasts intereses pieaugums par sistēmām ārpus viņa kompetences. HR un drošības komandas sadarbība ir būtiska šo signālu savlaicīgai identificēšanai.

Kombinēta analīze ir visefektīvākā — ja darbinieks, kam paziņots par atlaišanu, pēkšņi sāk lejupielādēt lielu apjomu failu no koplietošanas resursiem, tas ir augsta riska scenārijs, kas prasa tūlītēju uzmanību. securIT SOC izmanto UEBA (User and Entity Behavior Analytics) risinājumus, kas automātiski identificē šādas anomālijas.

Datu eksfiltrācijas metodes un DLP aizsardzība

Datu eksfiltrācija jeb nesankcionēta datu izvadīšana no organizācijas ir galvenais iekšējo draudu rezultāts. Iekšējie dalībnieki izmanto dažādas metodes — e-pasta pielikumi (vienkāršākā un biežāk izmantotā metode), mākoņkrātuves (Google Drive, Dropbox, OneDrive personīgie konti), USB zibatmiņas un ārējie diski, ekrānuzņēmumi vai dokumentu fotografēšana ar telefonu.

Sarežģītākas eksfiltrācijas metodes ietver datu slēpšanu citos failos (steganography), šifrētu kanālu izmantošanu, datu sūtīšanu caur atļautiem pakalpojumiem (piemēram, pievieno datus kā komentārus sociālajos tīklos) vai drukāšanu un fizisko dokumentu iznēšanu.

DLP (Data Loss Prevention) risinājumi ir galvenā tehnoloģiskā atbilde uz datu eksfiltrācijas draudiem. DLP sistēmas uzrauga datu plūsmu trīs līmeņos — tīklā (network DLP), gala ierīcēs (endpoint DLP) un mākoņpakalpojumos (cloud DLP). Tās identificē sensitīvus datus pēc satura (personas dati, finanšu informācija, intelektuālais īpašums), klasifikācijas etiķetēm vai konteksta un bloķē vai brīdina par aizdomīgām darbībām.

Efektīva DLP ieviešana prasa sākotnēju datu klasifikāciju — organizācijai jāzina, kādi sensitīvie dati tai pieder un kur tie atrodas. Bez šīs izpratnes DLP politikas būs vai nu pārāk stingras (traucēs ikdienas darbu) vai pārāk vaļīgas (nenoķers patiesos incidentus). securIT palīdz uzņēmumiem izstrādāt datu klasifikācijas shēmu un ieviest DLP risinājumus, kas ir pielāgoti organizācijas specifiskajām vajadzībām.

Darbinieku uzraudzība un GDPR līdzsvars

Iekšējo draudu novēršana neizbēgami ietver darbinieku digitālās aktivitātes uzraudzību, kas rada spriedzi ar privātuma tiesībām un GDPR prasībām. Latvijā šis jautājums ir īpaši sensitīvs — DVI uzrauga darbinieku uzraudzības praksi, un pārmērīga vai nepamatota uzraudzība var novest pie administratīvajiem sodiem.

GDPR 6. pants pieprasa likumīgu pamatu personas datu apstrādei. Darbinieku uzraudzībai visbiežāk tiek izmantots leģitīmo interešu pamats (6.1.f pants) — darba devēja leģitīmā interese aizsargāt savus informācijas aktīvus. Tomēr šī interese ir jālīdzsvaro ar darbinieku privātuma tiesībām, un darba devējam jāveic līdzsvarošanas tests.

Proporcionalitātes princips nosaka, ka uzraudzībai jābūt samērīgai ar draudu līmeni. Vispārēja, nepārtraukta visu darbinieku uzraudzība parasti nav pamatojama. Tā vietā efektīvāka ir riska balstīta pieeja — intensīvāka uzraudzība augstas piekļuves kontiem (administratori, finanšu personāls) un anomāliju balstīta analīze, kas aktivizējas tikai, konstatējot aizdomīgu uzvedību.

Caurspīdīgums ir kritisks — darbiniekiem jābūt informētiem par uzraudzības apjomu un mērķi. Iekšējā kārtībā un darba līgumā jāiekļauj skaidri noteikumi par IT resursu un datu izmantošanu. Darbinieku uzraudzības politikai jābūt saskaņotai ar datu aizsardzības speciālistu (DPO) un, vēlams, juridisku konsultantu.

Praktiskā pieeja ietver iepriekšēju paziņošanu darbiniekiem, uzraudzības datu glabāšanas termiņu ierobežošanu, piekļuves ierobežošanu uzraudzības datiem (tikai autorizēti drošības speciālisti) un regulāru uzraudzības prakses pārskatīšanu.

Iekšējo draudu pārvaldības programma

Efektīva iekšējo draudu pārvaldība prasa visaptverošu programmu, kas apvieno tehnoloģiskos, organizatoriskos un cilvēkresursu elementus. Programmas pamatā ir skaidra politika — organizācijai jādefinē, kas ir pieņemama IT resursu izmantošana, kādas darbības ir aizliegtas un kādas ir sekas politikas pārkāpumiem.

Piekļuves kontroles pārvaldība ir fundamentāls elements — jāpiemēro minimālo privilēģiju princips (least privilege), kur katrs darbinieks saņem tikai to piekļuvi, kas nepieciešama viņa darba pienākumu izpildei. Regulāra piekļuves tiesību pārskatīšana (access review) nodrošina, ka bijušo darbinieku konti tiek nekavējoties deaktivizēti un ka piekļuve tiek atsaukta, kad tā vairs nav nepieciešama.

Tehnoloģiskais steks iekšējo draudu programmai ietver SIEM ar UEBA moduli (anomāliju atklāšanai), DLP risinājumus (datu noplūdes novēršanai), PAM — Privileged Access Management (privileģēto kontu pārvaldībai), failu integritātes uzraudzību un tīkla trafika analīzi.

Organizatoriskā kultūra ir tikpat svarīga kā tehnoloģijas. Regulāras drošības apmācības veido darbinieku izpratni par riskiem. Anonīma ziņošanas iespēja ļauj darbiniekiem ziņot par aizdomīgām aktivitātēm bez bailēm no sekām. Skaidra un taisnīga disciplinārā procedūra nodrošina, ka politikas pārkāpumi tiek konsekventi adresēti.

HR un drošības komandas sadarbība ir kritiska — HR bieži ir pirmie, kas zina par darbinieka neapmierinātību, plānotu atlaišanu vai iekšējiem konfliktiem, kas var palielināt iekšējo draudu risku.

Kā securIT SOC atklāj iekšējos draudus

securIT SOC komanda izmanto specializētas tehnoloģijas un procesus iekšējo draudu atklāšanai un novēršanai. UEBA (User and Entity Behavior Analytics) moduļi SIEM sistēmā veido katram lietotājam uzvedības bāzes līniju — parastu pieteikšanās laiku, tipiski piekļūtās sistēmas, datu apjomu modeļus. Jebkura novirze no šīs bāzes līnijas automātiski ģenerē brīdinājumu analītiķim.

SOC analītiķi uzrauga vairākus kritiskus scenārijus — masveidīgu failu lejupielādi pirms darbinieka pēdējās darba dienas, piekļuvi sistēmām ārpus darba laika no neierastām IP adresēm, atkārtotus neveiksmīgus pieteikšanās mēģinājumus ar dažādiem kontiem un anomālu datu plūsmu uz ārējiem mākoņpakalpojumiem.

Svarīgi ir tas, ka securIT SOC nefokusējas uz darbinieku privātās dzīves uzraudzību — uzmanības centrā ir sensitīvo datu un kritisko sistēmu aizsardzība. Visi uzraudzības procesi ir izstrādāti atbilstoši GDPR prasībām un proporcionālitātes principam.

Incidentu gadījumā SOC komanda nodrošina ātru reaģēšanu — aizdomīgā konta bloķēšanu, pierādījumu saglabāšanu forenziskai analīzei un sadarbību ar klienta HR un juridisko komandu turpmākai rīcībai. Forenziskā izmeklēšana palīdz noskaidrot incidenta apjomu — kādi dati tika skārti, kā un kam tie tika pārsūtīti.

securIT regulāri sagatavo klientiem iekšējo draudu atskaites, kas ietver anomāliju statistiku, risku novērtējumu un rekomendācijas aizsardzības uzlabošanai.

Biežāk uzdotie jautājumi

Kāds ir biežākais iekšējo draudu veids?

Statistiski biežākais iekšējo draudu veids ir nolaidīgie iekšējie draudi (negligent insiders), kas veido aptuveni 60–70% no visiem iekšējiem incidentiem. Darbinieki neapzināti rada drošības incidentus — nosūta datus nepareizajam adresātam, izmanto nedrošas paroles vai klikšķina uz pikšķerēšanas saitēm. Lai gan ļaunprātīgie iekšējie draudi ir retāki, to potenciālais kaitējums ir ievērojami lielāks.

Vai darbinieku uzraudzība ir legāla Latvijā?

Jā, bet ar būtiskiem ierobežojumiem. GDPR un Latvijas Darba likums pieļauj darbinieku digitālās aktivitātes uzraudzību, ja tā ir samērīga, pamatota ar leģitīmām interesēm un darbinieki ir par to informēti. Darba devējam jāveic ietekmes novērtējums uz datu aizsardzību (DPIA), jāinformē darbinieki par uzraudzības apjomu un jānodrošina, ka vāktie dati tiek izmantoti tikai drošības mērķiem. DVI var piemērot sodus par nesamērīgu vai neinformētu uzraudzību.

Kā pasargāt uzņēmumu, kad darbinieks aiziet no darba?

Strukturēts darbinieka aizgāšanas process (offboarding) ir kritisks drošības elements. Nekavējoties deaktivizējiet visus lietotāja kontus un piekļuves tiesības, atgūstiet uzņēmuma ierīces un datu nesējus, atsauciet VPN un attālās piekļuves tiesības, pārskatiet aizgājušā darbinieka pēdējo nedēļu aktivitātes žurnālus un mainiet koplietojamās paroles, ja tādas bija. Automatizēta offboarding procedūra samazina cilvēciskās kļūdas risku.

Kas ir DLP un kāpēc tas nepieciešams?

DLP (Data Loss Prevention) ir tehnoloģisks risinājums, kas uzrauga, atklāj un novērš sensitīvu datu nesankcionētu pārsūtīšanu ārpus organizācijas. DLP sistēmas analizē e-pasta pielikumus, failu kopēšanu uz USB ierīcēm, augšupielādi mākoņkrātuvēs un printēšanu, identificējot sensitīvus datus pēc satura vai klasifikācijas etiķetēm. Uzņēmumiem, kas apstrādā personas datus vai konfidenciālu biznesa informāciju, DLP ir būtisks GDPR atbilstības un datu aizsardzības instruments.

Kā atšķirt ļaunprātīgu darbību no neuzmanības kļūdas?

Atšķiršana prasa kontekstuālu analīzi. Ļaunprātīgai darbībai raksturīga ir mērķtiecība — darbinieks meklē konkrētus datus, izmanto slēpšanas metodes (failu pārsaukšana, šifrēšana), atkārto darbību vairākkārt un mēģina slēpt pēdas. Neuzmanības gadījumā darbība parasti ir vienreizēja, nesistematiska un darbinieks nekavējoties ziņo par kļūdu. SOC analītiķi ņem vērā arī organizatorisko kontekstu — darbinieka apmierinātību, piekļuves līmeni un iepriekšējo uzvedību.

Aizsargājiet savu uzņēmumu no iekšējiem draudiem ar securIT SOC uzraudzību un DLP risinājumiem. Sazinieties ar mums — [email protected] vai +371 27555221, vai apmeklējiet securit.lv/#contact.