Última actualització: 28/08/2004; 17:35:21
Quands.info
        

L'amenaça interna

El CERT/CC i el Servei Secret dels Estats Units publiquen un estudi on s'analitzen els atacs informàtics realitzats des de dins les empreses del sector bancari i financer.

Tradicionalment les inversions en mesures de seguretat informàtica s'han centrant, especialment des que la connectivitat amb Internet s'ha convertit en un fet habitual, en els sistemes de defenses i protecció davant la «amenaça externa». Això és, l'objectiu de les mateixes és protegir les xarxes corporatives dels atacs indiscriminats realitzats per persones que no coneixem i que venen des de fora.

Des de fa ja uns anys, diversos analistes vénen posant l'accent que si bé els atacs «externs» són realment molt nombrosos en general l'impacte econòmic dels mateixos és baix. D'altra banda, és important no oblidar aquells que es realitzen des de l'interior de la xarxa corporativa. Aquests, molt inferiors en nombre respecte als atacs externs, en general tenen un impacte econòmic realment important. Per tant la mateixa obstinació que es posa a protegir la xarxa corporativa dels atacs externs cal aplicar-la a protegir els recursos crítics d'informació davant qualsevol atac que provingui de la pròpia xarxa corporativa.

Un gran problema en la defensa d'aquest plantejament radica en la poca informació fidedigna i contrastada sobre els efectes reals de l'«amenaça interna». El sentit comú pot indicar-nos una cosa però la manca d'arguments que corroborin els mateixos fa pràcticament impossible utilitzar-los com mesura argumental.

El Servei Secrets dels Estats Units i el CERT/CC acaben de publicar un informe on s'analitza l'impacte real dels atacs amb origen en l'interior de les organitzacions.

L'estudi se centra en empreses del sector bancari i financer i analitza un total de 23 incidents realitzats per 26 empleats entre els anys 1996 i 2002. Les organitzacions afectades inclouen empreses d'assegurances, bancs, signatures d'inversions i altres empreses del sector bancari i financer.

Dels 23 incidents estudiats, 15 van tenir com resultat diversos tipus de frau, 4 estaven relacionats amb el robatori de propietat intel·lectual i els 4 últims consistien en el sabotatge dels sistemes informàtics o la xarxa.

Les conclusions de l'estudi són realment interessants:
  • La pràctica totalitat dels incidents no poden qualificar-se com complexos ni tan sols sofisticats des del punt de vista tecnològic. Habitualment es basen a utilitzar vulnerabilitats no relacionades amb la tecnologia, sinó amb els procediments de negoci o les polítiques organitzatives. En un 87% dels casos, els atacants interns van utilitzar mecanismes plenament legítims en la realització dels atacs. És més, en un 78% dels casos, els atacants eren personal autoritzat amb accés actiu als sistemes.
     
  • Una gran part dels incidents (81%) van ser fruit d'una planificació prèvia detallada. En moltes situacions, hi havia persones de l'organització que coneixien les intencions, plans i/o activitats dels atacants. Aquestes persones amb coneixement del que succeïa havien participat en l'organització o esperaven obtenir un benefici de l'activitat delictiva que s'estava desenvolupant.
     
  • El principal motiu per a la realització dels atacs (81% dels casos) era l'obtenció de beneficis econòmics i no la intenció de danyar els interessos de l'organització o els sistemes informàtics.
     
  • No hi ha un perfil únic que permeti identificar als autors dels atacs. Només un 23% dels mateixos disposen d'un perfil tècnic dins de l'organització, un 13% han demostrat algun tipus d'interès en temes relacionats amb la seguretat informàtica i un 27% ha rebut algun tipus d'avís previ a causa de les seves activitats.
     
  • Tampoc hi ha un patró comú en la forma de detectar un atac intern: alguns han estat detectats a nivell intern mentre que uns altres han estat identificats gràcies a avisos procedents de l'exterior, com poden ser clients i proveïdors.
     
  • El resultat en virtualment tots els atacs realitzats des de l'interior en el sector financer i bancari va ser una pèrdua econòmica per part de l'organització atacada. En el 30% dels casos l'import de la pèrdua va sobrepassar els 500.000 dòlars. Molts atacs van provocar pèrdues i mals en diversos aspectes de l'organització.
     
  • Gairebé tots els atacs (83%) es van realitzar físicament en l'interior de les organitzacions i durant l'horari habitual de treball.

Més Informació:

Insider Treat Survey: Illicit Caber Activity in the Banking and Finance Sector
http://www.secretservice.gov/ntac_its.shtml

Informe sobre els problemes de seguretat originates dins les organitzacions
http://www.quands.cat/2004/08/26.html#a3330

Xavier Caballé
xcaballe@quands.com

© Copyright 2003-2004 Xavier Caballe. Click here to send an email to the editor of this weblog.