Insider threats, czyli jak chronić dane przed pracownikami

Insider threats to zagrożenia dla danych występujące wewnątrz organizacji.
Insider threats to zagrożenia dla danych występujące wewnątrz organizacji.

Zagrożeniem dla bezpieczeństwa danych medycznych nie są tylko hakerzy. Mogą nim być też pracownicy. Zapobieganie atakom przeprowadzanym od wewnątrz organizacji – czyli tzw. insider threats – jest wyjątkowo trudne. Jak stworzyć skuteczną strategię obrony?

Co to jest „insider threat”?

Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) definiuje zagrożenie wewnętrzne (ang.: insider threat) jako sytuację, gdy osoba z wewnątrz organizacji wykorzystuje swój autoryzowany dostęp, celowo lub nieumyślnie, aby wyrządzić szkodę w zasobach informacyjnych.

Najczęściej występującymi formami jest szpiegostwo, sabotaż, kradzież i cyberatak. Ale insder threats nie muszą być zamierzone i często wynikają z niewiedzy i błędów. To może być pomyłka w adresie e-mail i przypadkowe wysłanie dokumentacji medycznej do nieuprawnionej osoby, nieumyślne kliknięcie linka lub otwarcie załącznika w wiadomości phishingowej, niewłaściwa utylizacja dokumentów.

Czy placówki ochrony zdrowia są zagrożone?

Tak jak każda inna organizacja, także szpitale i przychodnie są narażone na wewnętrzne ataki. W ochronie zdrowia mogą one przybierać subtelne formy jak manipulacja danymi pacjenta w celu ukrycia błędu medycznego albo danymi rozliczeniowymi, aby uzyskać większą kwotę refundacji. Często wynikają z niewiedzy (wysyłanie dokumentacji pacjenta np. mailem lub klikanie na niezweryfikowane linki w wiadomościach e-mail).

Jeszcze innym szkodliwym działaniem jest użycie danych pacjenta do celów innych niż leczenie oraz przekazanie ich nieuprawnionej osobie. Klasycznym przykładem jest sytuacja, gdy znana lub popularna osoba przebywa w szpitalu i do mediów przedostają się informacje o jej stanie zdrowia, a nawet zdjęcia. Są one przekazywane przez tzw. insidera, czyli człowieka z wewnątrz organizacji.

W ochronie zdrowia zdecydowanie rzadziej dochodzi – ze względu na charakter gromadzonych danych – do kradzieży danych strategicznych i biznesowych w celach konkurencyjnych albo działania o charakterze szpiegowskim.

Rodzaje zagrożeń wewnętrznych

Pod względem czynnika intencyjności, amerykańska CISA wyodrębnia 5 typów zagrożeń wewnętrznych:

  • Z zaniedbania. Pracownik naraża organizację na zagrożenie przez nieostrożność. Mimo znajomości zasad bezpieczeństwa IT, dana osoba je ignoruje, stwarzając ryzyko dla organizacji. Przykładem jest przekazanie innemu pracownikowi hasła dostępu do systemu IT, zapisywanie danych z kartoteki pacjenta na nośniku USB, ignorowanie komunikatów o konieczności zainstalowania nowych aktualizacji i poprawek zabezpieczeń.
  • Przypadkowe. Osoba mająca dostęp do informacji poufnych omyłkowo powoduje niezamierzone ryzyko dla organizacji. Najczęstszym przykładem jest nieumyślne kliknięcie hiperłącza lub otwarcie załącznika w wiadomości phishingowej zawierającej złośliwe oprogramowanie.
  • Intencjonalne. Zagrożenia celowe to działania podejmowane w celu zaszkodzenia organizacji dla osobistych korzyści lub działania z takich pobudek jak zemsta czy zazdrość. Na przykład, pracownik, który czuje się traktowany w nieodpowiedni sposób (brak awansu albo premii) lub zostaje zwolniony dopuszcza się kradzieży zastrzeżonych danych.

Choć nie można ich wykluczyć, w placówkach zdrowia rzadkością są dwa pozostałe typy zagrożeń, czyli zagrożenia w zmowie (jeden lub więcej insiderów współpracuje z zewnętrznym podmiotem) oraz zagrożenia ze strony osób trzecich (nie będących pracownikami organizacji, ale którym przyznano dostęp do np. sieci i systemów IT, jak przykładowo firmy serwisujące sprzęt).

Ile zaufania, a ile kontroli, aby chronić skutecznie dane?

Zagrożenia wewnętrzne są nieuniknionym skutkiem ubocznym tego, że organizacja ufa swoim pracownikom, udzielając im dostępu do danych niezbędnych do wykonywania pracy. Dlatego są o wiele trudniejsze do wykrycia i monitorowania niż ataki hakerów z zewnątrz, wymagające przełamania barier cyberbezpieczeństwa.

Podstawą minimalizacji insider threats jest opracowanie odpowiedniego programu profilaktycznego, podobnie jak organizacja powinna dysponować strategią ochrony danych przed hakerami. Od razu warto zaznaczyć, że celem nie jest stworzenie kultury kontroli i braku zaufania – takie podejście nie zmniejszy zagrożeń, a jedynie doprowadzi do erozji zaufania, toksycznej kultury organizacyjnej i w efekcie – pogorszenia morale pracowników i jakości obsługi pacjenta.

Na komputerach gdzie przetwarzane są dane pacjentów należy zablokować dostęp do Internetu oraz porty USB, aby zapobiec kopiowaniu danych. W szczególnie wrażliwych sytuacjach – przykładowo podczas pobytu w szpitalu osób publicznych – należy objąć kartoteki medyczne zaostrzonym reżimem dostępu, aby nieuprawnieni pracownicy nie mogli np. wykonać zdjęć danych smartfonem.
Na komputerach gdzie przetwarzane są dane pacjentów należy zablokować dostęp do Internetu oraz porty USB, aby zapobiec kopiowaniu danych. W szczególnie wrażliwych sytuacjach – przykładowo podczas pobytu w szpitalu osób publicznych – należy objąć kartoteki medyczne zaostrzonym reżimem dostępu, aby nieuprawnieni pracownicy nie mogli np. wykonać zdjęć danych smartfonem.

Strategia tłumienia zagrożeń wewnętrznych powinna uwzględniać takie elementy jak:

  • Kontrola dostępu do danych. Polega ona na określeniu ról pracowników i na ich podstawie przypisaniu w systemach IT uprawnień do wglądu do danych. Obowiązującą jest zasada minimalnych uprawnień – na początek odblokowywany jest dostęp do tych funkcji i informacji, które są niezbędne do wykonywania zadań, a potem się je rozszerza w miarę potrzeb.
  • Monitorowanie użytkowników. W systemach IT są to np. dzienniki logowania dostępne z pozycji administratora. O takiej możliwości kontroli higieny informatycznej powinni być poinformowani pracownicy. Należy także kontrolować nietypowe zachowania, jak pobieranie dużej ilości danych, podejrzanie częste logowania itd.
  • Systematyczne sprawdzenie jakości wprowadzanych danych przez administratorów systemu IT, co jest elementem psychologicznym skłaniającym do zachowania higieny zapisu danych.
  • Blokowanie potencjalnie niebezpiecznych zachowań, jak przykładowo portów USB (można to zrobić z poziomu administratora sprzętu).
  • Szkolenie pracowników. Podnoszenie kompetencji cyfrowych i aktualizacja wiedzy z zakresu cyberbezpieczeństwa. System szkoleń powinien uwzględniać zagrożenia zewnętrzne i wewnętrzne.
  • Opracowanie planów reagowania na incydenty. Scenariusze dochodzenia do źródła wewnętrznych wycieków danych, plan usuwania skutków oraz komunikacji kryzysowej.
  • Stworzenie białej i czarnej listy. Określenie, co można robić na danym stanowisku pracy (np. tylko używanie systemu gabinetowego bez dostępu do internetu).
  • Podnoszenie kwalifikacji osób odpowiedzialnych za monitorowanie i zapobieganie zagrożeniom wewnętrznym. W większości przypadków będzie to dział IT.
  • Przygotowanie procedur onboardingu i offboardingu. Nowi pracownicy muszą znać zasady bezpiecznego przetwarzania danych i dostępu do zasobów informatycznych. Gdy pracownicy opuszczają miejsce pracy, należy na czas odbierać im dostęp do danych.
  • Wprowadzenie systemu zgłaszania nieprawidłowości, przykładowo za pomocą anonimowych ankiet.
  • Uruchomienie uwierzytelniania dwuskładnikowego dla krytycznych systemów, jak poczta e-mail, intranet, VPN itd.
  • Przeprowadzanie wewnętrznych i zewnętrznych audytów zarządzania informacją. Pozwalają one testować wdrożone procedury i zabezpieczenia danych.
  • Dokumentowanie wykrytych nieprawidłowości do celów dowodowych w przypadku naruszenia prawa oraz dla organów kontrolnych, jak np. Urząd Ochrony Danych Osobowych.

Najbardziej skrajne formy, jak badania psychologiczne, audyt życiorysu, kamery i wywiady środowiskowe stosowane są jedynie w organizacjach o strategicznym znaczeniu dla państwa narażonych na np. ryzyko szpiegostwa. Dlatego nie są stosowane w ochronie zdrowia..

Ufaj, ale sprawdzaj

Każda organizacja ochrony zdrowia musi bazować na wysokim zaufaniu do pracowników. Inaczej trudno sobie wyobrazić stworzenie pozytywnej i motywującej kultury pracy. Ale zaufanie nie wyklucza elementów kontroli, które nie są wymierzone przeciwko pracownikom, ale tworzone w trosce o dobro pacjentów, ochronę ich danych i prywatności. Tak jak w przypadku ochrony przed cyberprzestępcami, minimalizacja ryzyka ataków wewnętrznych wymaga stosowania wielowarstwowego systemu: nawet jeśli jedna warstwa zawiedzie, kolejna może zadziałać.

Czytaj także: Duży wyciek danych w laboratoriach ALAB. Wyniki 55 tys. pacjentów w internecie