Σάββατο , 24 Οκτωβρίου 2020

Διαχείριση κινδύνων από εσωτερικές απειλές

Σε κάθε Υπηρεσία, Οργανισμό ή ακόμη και επιχείρηση, υπάρχει ανάγκη να αναπτυχθούν εκτενείς και διεξοδικές στρατηγικές ασφαλείας ώστε να είναι σε θέση να προστατεύουν τις κρίσιμες
λειτουργίες και τα κρίσιμα δεδομένα τους από απειλές οι οποίες μπορεί να είναι είτε εσωτερικές είτε εξωτερικές, συμπεριλαμβανομένων συνεργαζόμενων υπηρεσιών ή ατόμων τα οποία αποκτούν πρόσβαση σε αυτά με οποιονδήποτε τρόπο
Είναι σημαντικό για μία Υπηρεσία να έχει αναπτύξει ένα σύστημα διαχείρισης κινδύνου ώστε να είναι σε θέση να μπορεί να κατανοεί άμεσα και απόλυτα το περιβάλλον των απειλών που την αφορούν ώστε να μπορεί να εκτιμήσει με ακρίβεια όλους τους κινδύνους. Μόνο με αυτόν τον τρόπο θα μπορεί να είναι σε θέση να λάβει όλα τα απαραίτητα μέτρα για την αποφυγή τους και είτε να τους αντιμετωπίσει αποτελεσματικά, είτε να μειώσει τις επιπτώσεις τους στη λειτουργία της Υπηρεσίας.
Εάν μία Υπηρεσία δεν γνωρίζει τι είναι αυτό που κάποιος αντίπαλος της στοχεύει, τότε είναι σχεδόν αδύνατον να τον αποτρέψει. Από τη στιγμή που γίνει κατανοητό τι μπορεί να αποτελέσει στόχο, είναι σε θέση να ετοιμάσει τα κατάλληλα μέτρα ασφαλείας αλλά και να τα δοκιμάσει ώστε να αποδειχθούν κατά πόσο είναι αποτελεσματικά.
 Τα Συστήματα Διαχείρισης Κινδύνου (Risk Assessment Systems)  και εκτίμησης απειλών (Threat Assessment) παρέχουν τη δυνατότητα στις Υπηρεσίες να αναγνωρίζουν ποιες είναι οι κρίσιμες λειτουργίες τους και τα κρίσιμα δεδομένα τους, ποιες μπορεί να είναι οι  πιθανές απειλές σε αυτά και ποιες θα είναι οι επιπτώσεις που θα έχει στη λειτουργία τους μία πιθανή προσβολή τους.
 Παράγοντες κινδύνου που προέρχονται από τις εσωτερικές απειλές και πως αυτοί οι κίνδυνοι μπορούν να περιοριστούν (Insider Threat: Risk Factors & Mitigations)
Υπάρχουν τρείς (3) πυλώνες που αφορούν στην ασφάλεια μίας Υπηρεσίας, ενός Οργανισμού ή μίας επιχείρησης:
  • Η ασφάλεια των εγκαταστάσεων ή φυσική ασφάλεια (Physical Security)
  • Η ασφάλεια των πληροφοριακών Συστημάτων (IT or Cyber Security)
  • Η ασφάλεια του προσωπικού (Personnel Security)
Η βάση της ασφάλειας σε μία Υπηρεσία,  Οργανισμό ή επιχείρηση, είναι να μπορεί να εμπιστευτεί το προσωπικό της. Η εμπιστοσύνη αυτή ξεκινάει να κτίζεται από το στάδιο της πρόσληψης και βασίζεται σε μία διεξοδική διαδικασία επιλογής του προσωπικού προκειμένου να προσληφθεί στην Υπηρεσία.
Για να αποφασίσει ένας υπάλληλος μίας Υπηρεσίας ή ενός Οργανισμού να δράσει με τέτοιον τρόπο ώστε να αποτελέσει εσωτερική απειλή, απαιτείται ο συνδυασμός κάποιων από τα παρακάτω:
  • Να έχει τη δυνατότητα να προβεί σε αυτή την πράξη (π.χ. να έχει πρόσβαση σε πληροφορίες).
  • Να υπάρχει κάποιο κίνητρο (πολιτικό, ιδεολογικό, θρησκευτικό).
  • Να έχει την ικανότητα να παρακάμπτει τα ηθικά εμπόδια.
  • Να υπάρχουν ψυχολογικές διαταραχές.
  • Να υπάρξει ο παράγοντας ο οποίος θα πυροδοτήσει την απόφασή του (σοβαρά οικονομικά προβλήματα, οικογενειακά προβλήματα, δυσκολίες στην εργασία κ.λπ.).
Η Υπηρεσία θα πρέπει να μεριμνά να ελέγχονται οι περιπτώσεις υπαλλήλων για τους οποίους υπάρχουν ενδείξεις ότι αντιμετωπίζουν σοβαρά προβλήματα, είτε στην εργασία, είτε στην προσωπική τους ζωή και να τους παρέχει ψυχολογική υποστήριξη με τη μορφή περιοδικών ψυχολογικών εξετάσεων.
Είναι σημαντικό να γίνει κατανοητό σε όλα τα επίπεδα της διοίκησης ότι, όταν γίνεται μία ενέργεια «εκ των έσω» η οποία απειλεί την ασφάλεια της Υπηρεσίας, υπάρχουν σχεδόν πάντα κάποια τρωτά σημεία στην ασφάλεια ή στις διαδικασίες ελέγχου τα οποία μπορεί να εκμεταλλευτεί κάποιος και να προβεί σε μία ενέργεια η οποία μπορεί να χαρακτηριστεί ως «εσωτερική απειλή».
Οι παρακάτω συμπεριφορές και πρακτικές έχουν αναγνωριστεί ως παράγοντες που ευνοούν και είναι πιθανόν να ενεργοποιήσουν μία τέτοια ενέργεια:
  • Έλλειψη κουλτούρας Ασφαλείας εντός της Υπηρεσίας (Poor Security Culture)
  • Ανεπαρκείς έλεγχοι κατά την επιλογή του υπό πρόσληψη προσωπικού (Poor pre-employment screening).
  • Απουσία αποτελεσματικής διαχείρισης προσωπικού (Absence of Personnel Management)
  • Έλλειψη προστατευτικών ελέγχων ασφαλείας και ανεπαρκής λήψη μέτρων ασφαλείας (Lack of protective security controls and Inadequate Controls).
  • Ανεπαρκείς οικονομικοί και λογιστικοί έλεγχοι (Poor usage of auditing functions)
  • Αναποτελεσματική επιλογή του προσωπικού για την κάλυψη θέσεων που ενέχουν ρίσκο ασφαλείας (Lack of adequate role-based personnel security risk assessment).
  • Έλλειψη ικανοποιητικής επικοινωνίας για θέματα ασφαλείας μεταξύ των Διευθύνσεων και Τμημάτων μίας Υπηρεσίας (Poor communication between business areas).
  • Έλλειψη ενημέρωσης της Διοίκησης σχετικά με τους κινδύνους που πιθανόν να προέρχονται από το ανθρώπινο δυναμικό μίας Υπηρεσία και ανεπαρκής Διοίκηση (Lack of awareness of people risk at a senior level and inadequate governance).
Στον αντίποδα, υπάρχουν παράγοντες κλειδιά που ενισχύουν την ασφάλεια του προσωπικού και ευνοούν στην μείωση των τρωτών σημείων και των αδυναμιών που εκμεταλλεύεται το προσωπικό το οποίο, σε κάποια δεδομένη στιγμή, θα αποτελέσει εσωτερική απειλή για την Υπηρεσία, όπως:
  • Να γίνει απόλυτα κατανοητό, σε όλα τα επίπεδα, ότι η εσωτερική απειλή μπορεί να προκύψει από οποιονδήποτε υπάλληλο έχει πρόσβαση σε πληροφορίες και υπηρεσίες μέσα σε έναν Οργανισμό. Για το λόγο αυτό θα πρέπει τα μέτρα και οι διαδικασίες ασφαλείας να εφαρμόζονται σε όλους τους υπαλλήλους, ανεξαρτήτως της θέσεως τους στην ιεραρχία της Υπηρεσίας.
  • Να ακολουθείται πάντοτε η πρακτική της συνεχούς ενημέρωσης όλων των Τμημάτων και του προσωπικού της Υπηρεσίας σχετικά με τους πιθανούς κινδύνους από εσωτερικές απειλές αλλά και σε θέματα ασφαλείας, ελέγχων και διαδικασιών, με σκοπό την εμπέδωση της κουλτούρας ασφαλείας.
  • Να υπάρχουν καλές πρακτικές διοίκησης οι οποίες να ενθαρρύνουν και να διευκολύνουν το προσωπικό να απευθύνεται στους προϊσταμένους και να αναφέρει κάθε ανησυχητικό περιστατικό ή συμπεριφορά η οποία θα μπορούσε να εξελιχθεί σε προβληματική ή επικίνδυνη για την ασφάλεια της Υπηρεσίας.
Η κοινή κουλτούρα ασφαλείας εντός της Υπηρεσίας, δηλαδή, ένας κοινός τρόπος σκέψης και προβληματισμού απέναντι σε θέματα ασφαλείας μεταξύ των υπαλλήλων, αλλά και οι κοινές πρακτικές αντιμετώπισής τους είναι επίσης ένας παράγοντας κλειδί που ενισχύει τη συνολική ασφάλεια στην Υπηρεσία.
Είναι σημαντικό να γίνει από όλους κατανοητό ότι, κάθε υπάλληλος της Υπηρεσίας και όχι μόνο όσοι ασχολούνται με τα θέματα ασφάλειας ή έχουν την ευθύνη θα πρέπει να έχουν ευαισθητοποιηθεί και να γνωρίζουν διαδικασίες και πρακτικές ώστε να εντοπίζουν, αναφέρουν και αντιμετωπίζουν κάθε είδους απειλή.
Εργαλεία για τη δημιουργία και ενίσχυση της κουλτούρας ασφαλείας εντός της Υπηρεσίας:
  • Εκστρατείες ενημέρωσης (campaigns) του προσωπικού σε τακτά χρονικά διαστήματα.
  • Εκπαίδευση του προσωπικού με τη μορφή σεμιναρίων σε ειδικότερα θέματα ασφαλείας ανάλογα με τα καθήκοντα και τη θέση του προσωπικού.
  • Κατασκευή ιστοσελίδας στο εσωτερικό δίκτυο της Υπηρεσίας (intranet) που θα αφορά σε θέματα ασφαλείας και θα περιέχει ανακοινώσεις και ενημερώσεις σε τακτική βάση (newsletters).
  • Συμπλήρωση έντυπου ερωτηματολογίου από όλους τους υπαλλήλους (προϊστάμενοι αλλά και απλό προσωπικό) με ερωτήσεις σχετικές με θέματα που αφορούν την ασφάλεια της Υπηρεσίας. Με τον τρόπο αυτό, ενισχύεται και παρακινείται το προσωπικό να ανακοινώνει περιστατικά που θεωρεί ως πιθανές περιπτώσεις παραβίασης κανόνων ασφαλείας
business man and global communication concept
Profiling the Insider
Ένα άλλο πρόβλημα σχετικά με τις «εσωτερικές απειλές» είναι ότι, δεν υπάρχει κάποιο συγκεκριμένο προφίλ (profile) το οποίο θα μπορούσε να χρησιμοποιηθεί για να εντοπιστεί ένας υπάλληλος ο οποίος θα μπορούσε να προβεί σε τέτοιες ενέργειες που θα προκαλούσαν βλάβη στη λειτουργία της Υπηρεσίας. Σε κάθε άλλο έγκλημα έχουν αναπτυχθεί επιστημονικές θεωρίες και έχουν δημιουργηθεί τα σχετικά προφίλ των εγκληματιών στα οποία κάποιος επαγγελματίας θα μπορούσε να ανατρέξει και να τα αξιοποιήσει για τον εντοπισμό αυτών των εγκληματιών. Η περίπτωση όμως του υπαλλήλου μίας Υπηρεσίας ο οποίος αποφασίζει να παραβιάσει τους κανόνες ασφαλείας και να βλάψει την ίδια την Υπηρεσία, δεν έχει ακόμη ερευνηθεί διεξοδικά.
Υπάρχει όμως μία σχετική έρευνα που διεξήγαγε το CPNI (Centre for the Protection of National Infrastructures) της Βρετανικής Κυβέρνησης (MI5) η οποία έχει δοθεί στη δημοσιότητα. Στην έρευνα αυτή, έγινε μία προσπάθεια να αναγνωριστεί το μοτίβο (pattern) των ενεργειών και τα χαρακτηριστικά της προσωπικότητας του υπαλλήλου ο οποίος σε κάποια δεδομένη στιγμή αποτέλεσε απειλή (εσωτερική) για την Υπηρεσία, ώστε να δημιουργηθεί το προφίλ του (profile).
Η μελέτη αυτή χρησιμοποίησε στοιχεία από (120) καταγεγραμμένες περιπτώσεις υπαλλήλων για τους οποίους αποκαλύφθηκε ότι, κάποια δεδομένη στιγμή, αποτέλεσαν με τις πράξεις τους «εσωτερική απειλή» για τις Υπηρεσίες τους. Οι περιπτώσεις αυτές, συλλέγηκαν και αναλύθηκαν κατά το χρονικό διάστημα μεταξύ 2007 και 2012 και αφορούσαν περιπτώσεις υπαλλήλων από το δημόσιο αλλά και τον ιδιωτικό Τομέα.
Τα αποτελέσματα της μελέτης ήταν τα εξής:
Αναγνωρίστηκαν πέντε (5) κύριοι τύποι δράσης από τις εσωτερικές απειλές:
  • Αποκάλυψη ευαίσθητων πληροφοριών,
  • Παρέμβαση στην πορεία μίας εσωτερικής διεργασίας με σκοπό να προκαλέσει συγκεκριμένο (μη-εξουσιοδοτημένο) αποτέλεσμα,
  • Διευκόλυνση πρόσβασης άλλων τρίτων (third party) σε στοιχεία ενός οργανισμού (εγκαταστάσεις, πληροφορίες, προσωπικό).
  • Φυσική Δολιοφθορά
  • Ηλεκτρονική Δολιοφθορά
Οι πιο συχνοί τύποι δράσης ήταν η «αποκάλυψη ευαίσθητων πληροφοριών» σε ποσοστό 47%και η «παρέμβαση στην πορεία μίας εσωτερικής διεργασίας» σε ποσοστό 42%.
Μέσα από την έρευνα καταγράφηκαν κάποια στατιστικά δεδομένα που αφορούσαν σε περιπτώσεις υπαλλήλων οι οποίοι σε κάποια στιγμή αποτέλεσαν εσωτερική απειλή για την Υπηρεσία, και αυτά είναι:
  • Σημαντικά περισσότεροι άντρες (82%) ενεπλάκησαν σε υποθέσεις εσωτερικής απειλής από ότι γυναίκες (18%).
  • Το 49% των υποθέσεων αφορούσαν προσωπικό ηλικίας 31-45 ετών.
  • Το σύνολο των ενεργειών εσωτερικών απειλών έγιναν από μόνιμο προσωπικό  (88%) ενώ μόνον το 7% αφορούσε περιπτώσεις συνεργαζομένων και μόνον το 5% αφορούσε προσωρινό (κυρίως βοηθητικό) προσωπικό.
  • Η διάρκεια της δράσης των υπαλλήλων που χαρακτηρίστηκαν ως εσωτερική απειλή, κυμαινόταν μεταξύ έξι (6) μηνών (41%) έως και πέντε (5) έτη (11%). Περισσότερες από τις μισές υποθέσεις ανακαλύφθηκαν μέσα στον πρώτο χρόνο δράσης των υπαλλήλων.
  • Το 60% των υποθέσεων αφορούσε υπαλλήλους οι οποίοι εργάζονταν στην Υπηρεσία για διάστημα λιγότερο των πέντε (5) ετών.
  • Η πλειοψηφία των περιπτώσεων αφορούσε υπαλλήλους οι οποίοι πήραν οι ίδιοι την πρωτοβουλία να ενεργήσουν (76%) σε σχέση με τις περιπτώσεις όπου έγινε προσέγγιση από άλλες Υπηρεσίες (6%).
Η έρευνα κατέδειξε ότι, οι λόγοι που κάποιος υπάλληλος αποφασίσει να ενεργήσει σε βάρος της Υπηρεσίας είναι πολυσύνθετοι. Πολύ συχνά, στο 1/3 των περιπτώσεων, υπάρχουν περισσότερα από ένα κίνητρα.
Αν και το οικονομικό κέρδος ήταν το πρωταρχικό κίνητρο στις περισσότερες περιπτώσεις (47%), η ιδεολογία (20%), η επιθυμία για αναγνώριση (14%) η έλλειψη αφοσίωσης(14%) και η εκδίκηση (6%), ήταν επίσης συχνά κίνητρα.
Παρατηρήθηκε επίσης ένα ξεκάθαρο μοτίβο (pattern) στις σχέσεις μεταξύ του κινήτρου και της πράξης στην οποία προέβη ο υπάλληλος. Έτσι, το ιδεολογικό κίνητρο και η επιθυμία για αναγνώριση συνδεόταν άμεσα με τις περιπτώσεις που αφορούσαν σε αποκάλυψη ευαίσθητων πληροφοριών, ενώ το κίνητρο του οικονομικού οφέλους συνδεόταν άμεσα με περιπτώσεις που αφορούσαν σε  παρέμβαση στην πορεία μίας εσωτερικής διεργασίας και με τη διευκόλυνση πρόσβασης άλλων σε στοιχεία του οργανισμού.
Επίσης, διαπιστώθηκε ότι, υπάρχουν ενδεικτικοί ατομικοί παράγοντες οι οποίοι εάν συνδυαστούν και με άλλα χαρακτηριστικά της προσωπικότητας και του τρόπου ζωής του υπαλλήλου, υπάρχει μεγάλη πιθανότητα να τους οδηγήσουν στη λήψη της απόφασης να προβούν σε μία μη εξουσιοδοτημένη ενέργεια η οποία να αποτελέσει «εσωτερική απειλή» για την Υπηρεσία.
Με την αναγνώριση αυτών των συγκεκριμένων ατομικών παραγόντων, διαμορφώνεται ένα συγκεκριμένο προφίλ (profile) από έναν συνδυασμό αναγνωρίσιμων χαρακτηριστικών της προσωπικότητας του υπαλλήλου τα οποία πιθανώς  και να είναι εκμεταλλεύσιμα από τρίτους (π.χ. ξένοι πράκτορες οι οποίοι εντοπίζουν τέτοιες περιπτώσεις με σκοπό να τις στρατολογήσουν ως πηγές τους).
Τέτοιοι ενδεικτικοί ατομικοί παράγοντες, είναι:
Προσωπικότητα.
  • Ανωριμότητα
  • Χαμηλή αυτοεκτίμηση
  • Ανηθικότητα
  • Απόμακρος
  • Εριστικός
  • Φαντασιόπληκτος
  • Δεν συμμορφώνεται με κανόνες
  • Χειριστικός
  • Κυκλοθυμικός
  • Ψυχολογικές διαταραχές
Συμπεριφορά.
  • Έλειψη ενδιαφέροντος για την εργασία του.
  • Σημάδια κατάληψης από άγχος.
  • Σοβαρά ελαττώματά-αδυναμίες χαρακτήρα (αλκοολισμός, χαρτοπαιξία, ιδιαίτερες σεξουαλικές προτιμήσεις, χρήση ναρκωτικών κ.λπ.).
  • Σημαντικά αρνητικά περιστατικά στη ζωή του υπαλλήλου (απώλεια θέσης στην εργασία του, χωρισμός, απώλεια αγαπημένου προσώπου, οικονομικές δυσκολίες, σοβαρές ασθένειες κ.λπ.).
  • Ψυχολογικά προβλήματα.
Young man chatting with their smartphone in the street
Χώρος εργασίας.
  • Στην εργασία του είναι εξουσιοδοτημένος να έχει πρόσβαση σε σημαντικές πληροφορίες.
  • Εκφράζει παράπονα για την αντιμετώπισή του από τους προϊσταμένους και τους συναδέλφους.
  • Εκφράζει παράπονα για την αντιμετώπισή του από την Υπηρεσία γενικά.
  • Διακατέχεται από αίσθημα μη αναγνώρισης της αξίας του από την Υπηρεσία.
  • Είναι υπερόπτης και ερειστικός με τους συναδέλφους.
  • Είναι ατομιστής και μη συνεργάσιμος.
  • Δείχνει αδιαφορία σε συστάσεις ή παρατηρήσεις των προϊσταμένων του.
  • Παρουσιάζει ασυνήθιστο και έντονο ενδιαφέρον για θέματα της Υπηρεσίας τα οποία δεν είναι στην αρμοδιότητά του.
  • Εκφράζει απαξιωτικά σχόλια αναφορικά με το έργο των προϊσταμένων του, των συναδέλφων του ή αναφορικά με το έργο της Υπηρεσίας.
  • Παρουσιάζει ασυνήθιστη συμπεριφορά αναφορικά με υποστήριξη ιδεολογιών και πεποιθήσεων (πολιτικών, θρησκευτικών κ.λπ.)
  • Ασυνήθιστη παραγωγή φωτοαντίγραφων υπηρεσιακών εγγράφων.
  • Προβαίνει σε ασυνήθιστη και μη εξουσιοδοτημένη χρήση ηλεκτρονικών υπολογιστών.
  • Χειρίζεται ευαίσθητες πληροφορίες χωρίς εξουσιοδότηση.
  • Παραβιάζει συστηματικά τους κανόνες ασφαλείας.
Τα παραπάνω, όπως αναφέρθηκε προηγουμένως, είναι ενδεικτικοί ατομικοί παράγοντες οι οποίοι μπορεί να επηρεάσουν έναν υπάλληλο να λάβει την απόφαση να προβεί σε μία μη εξουσιοδοτημένη ενέργεια η οποία να αποτελέσει «εσωτερική απειλή» για την Υπηρεσία, σημαντικό στοιχείο όμως για την τέλεση μίας τέτοιας πράξης είναι η παρουσία ενός σοβαρού γεγονότος το οποίο θα πυροδοτήσει μία τέτοια απόφαση.
Κλείνοντας…
Είναι πολύ σημαντικό να γίνει κατανοητό ότι, οι υπάλληλοι που αποτελούν «εσωτερική απειλή» έχουν ήδη εξουσιοδότηση και πρόσβαση σε χώρους και πληροφορίες και γνωρίζουν όλα τα μέτρα ασφαλείας της Υπηρεσίας. Έτσι λοιπόν, τις περισσότερες φορές, θα εκμεταλλευτούν το ποιο αδύνατο σημείο στα μέτρα ασφαλείας ώστε να έχουν τις περισσότερες πιθανότητες να πετύχουν το σκοπό τους με τις λιγότερες πιθανότητες να γίνουν αντιληπτοί.
Είναι λοιπόν, πολύ σημαντικό να γίνει κατανοητό ότι, το θέμα της ασφάλειας  της Υπηρεσίας δεν αφορά μόνο το Τμήμα ή το προσωπικό που είναι αρμόδιο για τη λήψη την εφαρμογή και τον έλεγχο των μέτρων ασφαλείας αλλά  αφορά κάθε επίπεδο διοίκησης, κάθε Τμήμα και κάθε υπάλληλο ξεχωριστά.
Η κουλτούρα ασφαλείας σε μία Υπηρεσία Πληροφοριών είναι παράγοντας κλειδί για τη συνολική ασφάλεια της Υπηρεσίας.