Na 6. Dnevih nacionalne varnosti 2022, ki so potekali v Sloveniji ste predavali na temo notranjih groženj. Katerih notranjih groženj bi se morale organizacije najbolj zavedati?
Organizacije bi se morale najbolj zavedati groženj, ki izvirajo iz nepooblaščenih dostopov do zaupnih podatkov in informacij, goljufij, kraje, sabotaže ali korporativnega in državnega vohunjenja. Pri tem gre za kršitve politike, ki jo morajo organizacije jasno določiti in sprejeti v notranjih aktih.
Po podatkih Univerze Carnegie Melon je grožnja z notranjimi podatki in informacijami opredeljena v smeri posameznika oz. zaposlenega, ki ima ali je imel dovoljenje za dostop do podatkov organizacije oz. za njihovo uporabo, bodisi zlonamerno ali nenamerno, ter za delovanje na način, ki bi lahko negativno vplivalo na organizacijo in njeno poslovanje.
Za večino organizacij bodo nenamerna dejanja ali razkritja najverjetneje odražala večino ugotovljenih incidentov na področju notranjih groženj.
Do katerih groženj torej najpogosteje prihaja v organizacijah?
Veliko je nenamernih dejanj, kot so kliki na sumljiva elektronska sporočila na povezavah ali prilogah, skupna raba zaupnih informacij ali aktivnosti na podlagi goljufivih zahtev. Preprost primer bi bil zaposleni, ki dela v finančnem oddelku in deluje na podlagi goljufivega elektronskega sporočila, ki zahteva, da se podatki o bančnem računu spremenijo za namen, da se sredstva nakažejo na novi račun.
Katere so najboljše strategije za preprečevanje notranjih groženj?
Obstaja več prefinjenih varnostnih nadzorov, ki jih je mogoče vključiti za zaščito in ukrepanje kot mehanizem odkrivanja, vendar pa močan program za varnostno ozaveščanje zaposlenih še vedno ostaja osnovna ključna komponenta.
Zelo pomembne so tudi načrtovane aktivnosti in kampanije za lažno predstavljanje in spearfishing ter pristop, ki temelji na tveganju, s prizadevanjem za ozaveščanje. Pri tem se je potrebno osredotočiti na financiranje in vire. Zelo priporočam opredelitev za zaposlene na položajih, ki imajo privilegiran dostop do visoko tveganih sredstev ali informacij ter jim zagotoviti usmerjeno usposabljanje na podlagi določenih scenarijev.
Čeprav je socialni inženiring sam po sebi zunanja grožnja, lahko deluje le, če nekdo znotraj podjetja razkrije informacije. Na katerih področjih varnosti je mogoče prakticirati socialni inženiring?
Socialni inženiring je manipulacija nad zaposlenimi za izvajanje posebnih ukrepov v podporo zlonamerni dejavnosti ali razkritju zaupnih informacij. Hekerji in goljufi bodo prečesali platforme socialnih oz. družbenih omrežij, da bi ugotovili potencialne zaposlene, ki imajo privilegiran dostop do informacij ali sredstev.
Poleg izvajanja in vzdrževanja strogega programa za ozaveščanje o varnosti, ki temelji na tveganju, lahko organizacije pomagajo zaposlenim pri razumevanju vrste informacij, povezanih z delom, in ki ne smejo biti javno razkrite.
Kateri oddelek v organizaciji bi moral biti odgovoren za preprečevanje notranjih groženj?
Vsi oddelki si morajo prizadevati in biti enako odgovorni za preprečevanje notranjih groženj in razumevanje tveganj v organizacijah.
Oddelek Korporativne varnosti je najbolj ustrezno področje, ki bi moralo imeti vodilno vlogo na tem področju. Pri tem je prav tako pomemben nadzor nad izvajanjem strategije za preprečevanje notranjih groženj organizacije, da bi zagotovili naslednje:
- Vzpostavitev jasne organizacijske strukture in politike;
- Soodvisnosti znotraj poslovne enote so opredeljene v okviru upravljanja incidentov z notranjimi grožnjami in postopki preiskave;
- Vključenost ključnih zaposlenih iz varnostnega, kadrovskega in pravnega področja za uspešno delovanje programa za grožnje z notranjimi informacijami, ki je podprt s tehnološkimi rešitvami;
- Vzpostavitev programa, ki zagotavlja stalno ozaveščanje in izobraževanje zaposlenih
Kdo je James Malizia?
Je podpredsednik in odgovoren za področje korporativne varnosti v Royal Canadian Mint. Kot nekdanji vodja na področju korporativne varnosti v Banki Kanade ima pomembne izkušnje pri izvajanju in nadzoru programov korporativne varnosti. Je tudi nekdanji pomočnik komisarja pri kanadski policiji.
V svoji karieri je delal na različnih področjih povezanih z nacionalno varnostjo, kot so protiterorizem, protiobveščevalna in kibernetska dejavnost, organizirani kriminal, korupcija, finančni kriminal idr. Predseduje številnim nacionalnim in mednarodnim odborom na področju nacionalne varnosti in organiziranega kriminala.
Po izobrazbi je magister managementa.
Virtualni Muzej The Royal Canadian Mint
K. K. E: info@varensvet.si