W 2024 roku 83 proc. organizacji zgłosiło co najmniej jeden atak z udziałem pracownika. To wzrost z 60 proc. rok wcześniej. Jeszcze bardziej niepokojące: firmy doświadczające 11-20 ataków insiderskich odnotowały pięciokrotny wzrost - z 4 proc. do 21 proc. w ciągu zaledwie 12 miesięcy.

W skrócie:

• Stawki za dostęp: 3-15 tys. dolarów za jednorazową operację
• 83 proc. firm zgłosiło atak insidera w 2024 roku
• Średni koszt naruszenia danych: 4,45 mln dolarów
• 51 proc. organizacji doświadczyło 6+ incydentów rocznie

Jak rekrutacja insiderów zmienia krajobraz cyberzagrożeń

Klasyczne mechanizmy ochrony - firewalle, systemy wykrywania włamań, phishing filters - stają się bezradne, gdy ktoś wewnątrz organizacji celowo omija procedury. Według raportu Cybersecurity Insiders, 48 proc. organizacji odnotowało wzrost częstotliwości ataków insiderskich w 2024 roku. Ponad połowa firm zmaga się z sześcioma lub więcej incydentami rocznie.

Globalne koszty cyberataków osiągnęły 9,5 bln dolarów w 2024 roku, wzrastając z 8 bln w 2023. Średni koszt pojedynczego naruszenia danych wynosi 4,45 mln dolarów, przy czym sektor opieki zdrowotnej ponosi najwyższe straty - 10,93 mln dolarów rocznie. Dla polskich firm, zwłaszcza z sektora finansowego i telekomunikacyjnego, to realne zagrożenie biznesowe.

Kto jest celem cyberprzestępców na darknetowych forach

Banki pozostają najbardziej atrakcyjnym celem. Cyberprzestępcy poszukują dostępu do instytucji powiązanych z amerykańskim Fedem oraz pełnych historii transakcji z dużych banków europejskich. Check Point Research zidentyfikował oferty dotyczące konkretnych instytucji finansowych, w tym polskich banków obsługujących transakcje międzynarodowe.

Telekomy są drugim priorytetem, głównie ze względu na możliwość przeprowadzenia SIM-swappingu - przejęcia numeru telefonu w celu obejścia dwuskładnikowej autoryzacji SMS.

• Za współpracę w takich operacjach oferowano 10-15 tys. dolarów.

Firmy technologiczne i dostawcy usług chmurowych również znajdują się na celowniku: przestępcy poszukują resetów kont e-mail, dostępu do danych klientów oraz uprawnień w systemach cloud.

"Ogłoszenia na darknetowych forach bywają krótkie i konkretne: 'szukam dostępu', 'potrzebuję resetu konta'. Ale pojawia się też manipulacja emocjami - zachęty do 'ucieczki z niekończącego się cyklu pracy' i obietnice wypłat pięcio- i sześciocyfrowych" - eksperci Check Point Research

Konkretne przykłady ofert z darknetu

W lipcu 2024 roku na jednym z forów pojawiła się oferta zakupu pakietu danych z giełdy kryptowalutowej - rzekomo 37 mln rekordów użytkowników - za 25 tys. dolarów. Taki zestaw to paliwo do precyzyjnych ataków: podszywania się, wyłudzeń, przejęć kont. Inne ogłoszenia dotyczyły dostępu do systemów płatniczych, baz danych klientów banków oraz narzędzi do zarządzania infrastrukturą telekomunikacyjną.

Część grup ransomware prowadzi rekrutację przez szyfrowane komunikatory, zwłaszcza Telegram. Oferują udział w zyskach oraz "portale" do obsługi ataków - sygnał, że rynek cyberprzestępczy coraz bardziej przypomina zorganizowany biznes z rolami, prowizjami i stałymi stawkami.

Jak firmy mogą bronić się przed insiderami

Obrona przed zagrożeniami wewnętrznymi wymaga połączenia technologii i kultury organizacyjnej. Eksperci z Teramind rekomendują wdrożenie proaktywnych systemów monitoringu wykrywających podejrzane aktywności, regularne audyty bezpieczeństwa identyfikujące luki oraz rygorystyczne kontrole dostępu ograniczające uprawnienia pracowników.

Kluczowe działania obejmują: zasadę minimalnych uprawnień (dostęp tylko do niezbędnych zasobów), monitoring anomalii w zachowaniach użytkowników, biometrię behawioralną (np. analiza wzorców pisania na klawiaturze) oraz aktywne sprawdzanie, czy nazwa firmy lub jej systemy nie krążą już w internetowym podziemiu. Narzędzia Data Detection and Response pozwalają na bieżąco śledzić, kto i w jakim celu uzyskuje dostęp do wrażliwych danych.

Rola edukacji i kultury bezpieczeństwa

Według raportu Inneractiv, 45 proc. organizacji potrzebuje tygodnia lub dłużej na odzyskanie sprawności po ataku insidera. To pokazuje, że prewencja jest kluczowa.

• Edukacja pracowników nie może ograniczać się do "slajdów do odkliknięcia" - musi obejmować realne scenariusze, symulacje ataków i jasne konsekwencje naruszenia procedur.

Promowanie kultury transparentności i zaufania, przy jednoczesnym egzekwowaniu zasad, pomaga identyfikować sygnały ostrzegawcze: nagłe zmiany w zachowaniu pracownika, problemy finansowe, niezadowolenie z pracy. Firmy powinny także wdrożyć anonimowe kanały zgłaszania podejrzanych aktywności.

Warto zapamiętać:

• Regularnie audytuj uprawnienia dostępu - usuń nieaktywne konta i ogranicz dostęp do minimum
• Monitoruj aktywność pracowników w systemach krytycznych - nietypowe logowania lub transfery danych to czerwona flaga
• Sprawdzaj, czy dane Twojej firmy nie pojawiły się na darknetowych forach - to może być sygnał kompromitacji
• Inwestuj w narzędzia wykrywające anomalie behawioralne - sztuczna inteligencja potrafi wyłapać wzorce niedostrzegalne dla człowieka

Jeśli cyberprzestępca kupi dostęp do systemów za kilka tysięcy dolarów, rachunek dla firmy może pójść w miliony. W erze, gdy 83 proc. organizacji doświadcza ataków insiderskich, obrona musi być wielowarstwowa - od technologii po kulturę organizacyjną. Polskie firmy, zwłaszcza z sektora finansowego i telekomunikacyjnego, powinny traktować to zagrożenie priorytetowo.

W obliczu rosnącej aktywności brokerów dostępu i coraz wyższych stawek za skradzione dane, warto przypomnieć sobie o sprawdzonych sposobach na skuteczne zabezpieczenie konta bankowego, które pozwolą zminimalizować ryzyko infekcji złośliwym oprogramowaniem typu infostealer.

Źródło: Check Point Research, IBM Security, Cybersecurity Insiders, Syteca

Foto: DC studio, Freepik