Ataques dentro de casa: como lidar com insiders, os agentes internos que representam riscos para as empresas?

A edição 2023 do Relatório de Ameaças Cibernéticas SonicWall revela que o Brasil é o quarto maior alvo de ciberataques no mundo, atrás somente dos EUA, Reino Unido e Espanha. Nesse cenário, é comum que as empresas invistam em segurança digital pensando em evitar ameaças externas que se aproveitam das vulnerabilidades da organização.

Contudo, outro fator que merece atenção são os ataques que acontecem internamente. Conhecidos como insiders, esses agentes se aproveitam do cargo que ocupam nas companhias e do acesso privilegiado a dados sigilosos para executar ações nas redes internas ou para vazar informações confidenciais.

Segundo o estudo "Cost of Insider Threats: Global Report", realizado em 2020 pela IBM/Instituto Ponemon, 60% das organizações tiveram mais de 20 incidentes relacionados a agentes internos por ano, sendo que 23% dessas ocorrências e violações foram atribuídas aos insiders.

Seja com a intenção de prejudicar a empresa, utilizar de recursos digitais para disparar ataques contra outros alvos ou se beneficiar de informações privilegiadas, os agentes apresentam diversos riscos ao ecossistema interno de uma organização, que vão desde prejuízos financeiros a danos à reputação da marca.

Com foco em players que trabalham com informações confidenciais e valiosas, como bancos, empresas de tecnologia e governos, o processo de infiltração normalmente acontece a partir do aliciamento de funcionários, por parte dos grupos de cibercriminosos que procuram colaboradores estratégicos, para que eles executem ações dentro da empresa. Além disso, outro método que tem se tornado tendência são os profissionais que se aproveitam do ambiente digital da empresa para realizar ataques criminosos contra outras organizações.

Segundo os especialistas da SonicWall, foram identificadas mais de 21 milhões de tentativas de ransomware no Brasil. Esse fator, assim como venda e vazamento de dados sigilosos, destruição de dados da empresa e fraude financeira estão entre os incidentes envolvendo agentes internos maliciosos.

Em comparação às ameaças externas, casos assim são mais difíceis de se detectar em razão do acesso legítimo dessas pessoas, sem necessidade de invasão e também pelo esforço em não deixar pistas, já que sua presença dentro da empresa depende de não serem pegos.

Entretanto, existem algumas providências que as companhias podem adotar para identificar esses colaboradores mal-intencionados ou vulneráveis a atacar a organização, como realizar monitoramento das ações dos usuários nas redes; gerar logs de atividades e acessos; treinamentos e conscientização de segurança da informação para os funcionários e colocar controle de acessos onde o usuário vai ter permissões limitadas para realizar ações dentro da rede, considerando também o conflito de interesses nas definições de perfis de acesso.

Apesar de apresentar poucos rastros, existem alterações do sistema que podem apontar potenciais ameaças. As mais comuns incluem tentativas de acesso a websites bloqueados, desativação não autorizada de configurações de firewall, acesso remoto à rede e a dados fora do horário comercial, tirar máquinas corporativas da companhia sem permissão, instalação de hardware ou software para acessar remotamente o sistema e troca de senhas de contas não autorizadas.

Diante disso, o cenário de cibercrimes está em expansão, a pandemia e a transição para sistemas híbridos e remotos influenciaram no aumento do número de ataques, tanto externos quanto internos. Portanto, construir políticas de segurança digital que engajem os colaboradores não é apenas uma precaução, mas também uma estratégia mercadológica.

*Caio Telles é CEO da BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas. É formado em Engenharia de Computação e atua na área de segurança há 15 anos.