Zwolnienia i kryzys kosztów utrzymania napędzają zagrożenia wewnętrzne, a „tłumy” pracowników próbują sprzedawać wiedzę i dane logowania do firm w dark webie.
Podczas gdy firmy skupiają swoją obronę przed cyberatakami na zagrożeniach zewnętrznych, takich jak hakerzy, nowe badania zespołu Cyber Intelligence z Accenture pokazują, że niebezpieczeństwo coraz częściej pochodzi z wewnątrz.
Eksperci ds. cyberbezpieczeństwa z tej firmy doradczej ostrzegają, że złośliwa aktywność „insiderów” (osób z wewnątrz organizacji), wspierana przez ekosystemy dark webu, przybiera na sile i dotyka wielu branż.
Zgodnie z danymi Accenture, w 2025 roku odnotowano 69-procentowy wzrost liczby insiderów oferujących hakerom swój dostęp w porównaniu z 2024 r., a także 127-procentowy skok liczby hakerów rekrutujących osoby z wewnątrz w stosunku do 2022 roku.
Wielu insiderów oferuje hakerom dokładnie to, czego pragną najbardziej: początkowy dostęp i dane uwierzytelniające (credentials), które stanowią nawet 30% wszystkich przypadków.
„Liczby te są alarmujące” – powiedział globalny szef Cyber Intelligence w Accenture, Ryan Whelan, który podzielił się również tymi ustaleniami w poście na LinkedIn.
Według ekspertów ds. cyberbezpieczeństwa, aktywność osób z wewnątrz ułatwiana przez dark web nie tylko wzrosła, ale „nasiliła się na wszystkich frontach”.
Choć problem ten był kiedyś głównie zmartwieniem dla sektorów takich jak finanse i kryptowaluty, a także agencji rządowych, obecnie dotyka branż takich jak produkcja, logistyka i farmacja.
Według Whelana, ten zakres sygnalizuje normalizację interakcji insiderów z ekosystemami cyberprzestępczymi, a także „pogłębiającą się współpracę” między przestępcami a osobami z wewnątrz.
„Co gorsza, mamy obecnie do czynienia z idealną burzą czynników, która powiększa pulę zagrożeń wewnętrznych. Niezależnie od tego, czy wynika to ze zwolnień w branży, czy z kryzysu kosztów utrzymania, insiderzy masowo ruszają do dark webu, aby sprzedawać wiedzę i dane logowania do firm” – powiedział.
Czym jest zagrożenie wewnętrzne (insider threat)?
Zagrożenie wewnętrzne to ryzyko cyberbezpieczeństwa stwarzane przez osobę wewnątrz organizacji, taką jak pracownik, wykonawca lub partner biznesowy – każdego, kto ma dostęp do jej systemów i wiedzę o jej wewnętrznym funkcjonowaniu.
Wewnętrzne akcje przestępcze można podzielić na dwa główne typy:
- Napędzane zemstą: często wywoływane przez zwolnienia lub poczucie niesprawiedliwego traktowania.
- Napędzane finansowo: gdzie insiderzy sprzedają dostęp do systemów lub danych firmy.
Zagrożenia wewnętrzne mogą być również sponsorowane przez państwo. Udokumentowano przypadki firm nieświadomie zatrudniających północnokoreańskich agentów na stanowiska zdalne w dziedzinie IT.
Zgodnie z analizą aktywności w dark webie przeprowadzoną przez Accenture, gospodarka oparta na insiderach jest obecnie zaprojektowana głównie w celu wspierania włamań na wczesnym etapie, a gangi przestępcze coraz częściej polegają na osobach z wewnątrz w celu ominięcia zabezpieczeń cybernetycznych.
Zapobieganie zagrożeniom wewnętrznym
Accenture twierdzi, że ma „mocne dowody” na to, że zagrożenie ze strony osób z wewnątrz rośnie. Zmienia to jego pozycję ze zdarzeń o niskiej częstotliwości i wysokim wpływie na ryzyko strategiczne o średniej częstotliwości i wysokim wpływie, które wymaga uwagi na szczeblu zarządu.
Według Whelana, ważne jest, aby organizacje posiadały strategię zarządzania ryzykiem ze strony insiderów obejmującą cały cykl życia pracownika.
„Oznacza to solidne kontrole rekrutacyjne, zabezpieczenia podczas zatrudnienia każdej osoby oraz proces zwalniania (off-boarding), który natychmiast cofa dostęp, monitoruje systemy pod kątem kradzieży danych przed odejściem i egzekwuje zobowiązania prawne” – powiedział Whelan.
Może to obejmować wzmocnioną weryfikację tożsamości podczas procesu rekrutacji, rozdział ról podczas zatrudnienia oraz natychmiastowe odebranie dostępu podczas procesu zwalniania. Ryzyko ze strony zewnętrznych partnerów może zostać ograniczone poprzez zminimalizowanie polegania na uwierzytelnianiu wieloskładnikowym (MFA) opartym na SMS-ach i połączeniach głosowych oraz rygorystyczne egzekwowanie uwierzytelniania odpornego na phishing.
„Kluczowe jest również zrozumienie, że ten wzrost nie jest przypadkowy. To strategiczny zwrot dla sprawców zagrożeń, którzy postrzegają insiderów jako najłatwiejszą drogę do początkowego dostępu” – ostrzegł Whelan, dodając, że firmy muszą się odpowiednio komunikować i budować zaufanie wśród swoich pracowników.
