Uma análise mais detalhada das ameaças internas no setor financeiro

De acordo com o Índice IBM X-Force Threat Intelligence 2017, o setor de serviços financeiros sofreu o maior número de ataques cibernéticos em 2016. 58% desses ataques foram causados por pessoas internas. 53% dos ataques internos foram inadvertidos e apenas 5% foram maliciosos. Os ataques internos não são necessariamente iniciados por funcionários atuais, mas também por ex-funcionários e terceiros. O relatório sugere que a razão pela qual o sector financeiro enfrenta tantas ameaças internas é porque tem uma maior susceptibilidade a ataques de phishing. Nesse caso, eles precisam se concentrar em educar os funcionários sobre como identificar tais ataques.

As consequências de um ataque interno podem manifestar-se de diversas maneiras diferentes. Podem levar à divulgação de dados confidenciais dos clientes, o que prejudica a confiança do cliente na instituição. Podem resultar em fraude, perda monetária, perda de propriedade intelectual, perturbar infraestruturas críticas e manchar a reputação da instituição.

Como as instituições financeiras podem se proteger contra ameaças internas?

É claro que o primeiro passo é educar os funcionários - especialmente no que diz respeito aos ataques de phishing. Os membros da equipe devem ser informados sobre os tipos de e-mail normalmente associados a ataques de phishing. Estes podem incluir e-mails de remetentes não reconhecidos, e-mails solicitando que divulguem informações pessoais ou financeiras, e-mails com a palavra “URGENTE” ou saudações impessoais como “Prezado cliente”. Devem ser treinados para realizar uma análise independente de cada situação e reportar qualquer comportamento suspeito.

É crucialmente importante que as instituições saibam exatamente quem acede a que dados e quando. Para começar, as instituições devem garantir que as senhas sejam alternadas regularmente. É comum que os funcionários compartilhem senhas casualmente, pois isso pode facilitar a vida em algumas circunstâncias. No entanto, caso essas credenciais caiam em mãos erradas, dados confidenciais poderão vazar por algum tempo sem que ninguém perceba. Como tal, a rotação regular de senhas pode limitar a quantidade de danos que um insider desonesto pode causar.

Depois de implementar uma política para alterar regularmente as senhas após um número selecionado de dias, você poderá enfrentar um número maior de bloqueios de conta, pois os funcionários se esquecem de alterar suas senhas. Para evitar esses casos, você pode automatizar o processo de lembrar os usuários de alterar suas senhas com o Lepide User Password Expiration Reminder.

Além disso, a Lepide Data Security Platform pode detectar, alertar e responder a logins simultâneos (quando um único usuário está conectado em vários dispositivos/locais ao mesmo tempo). As instituições também devem garantir que os funcionários tenham acesso apenas aos dados de que necessitam. Eles devem ser capazes de identificar quem tem acesso a quais dados, como as permissões são concedidas e quando essas permissões são alteradas. As instituições devem ser capazes de detectar, alertar e responder a atividades suspeitas de arquivos e pastas - com base em um único evento ou condição limite. Eles também devem ser capazes de monitorar modificações/exclusões de contas, gerenciar contas de usuários inativas, rastrear acessos privilegiados a caixas de correio e realizar outros tipos de auditoria.

Finalmente, o recurso de alerta de limite na Lepide Data Security Platform pode ser muito útil para limitar os danos causados por ataques de ransomware. Um ataque de ransomware normalmente criptografa dados no dispositivo da vítima e solicita um resgate, na forma de pagamento, da vítima na troca da chave de descriptografia necessária. Embora o alerta de limite não impeça a execução do código malicioso, ele pode ser usado para detectar, alertar e responder automaticamente ao ataque, limitando assim os danos que ele pode causar. Por exemplo, se um número X de Y alterações forem feitas durante o período Z, um script personalizado poderá ser executado, o que pode desabilitar uma conta de usuário, interromper um processo específico, alterar a configuração do firewall ou desligar o servidor.