Insider threat: hoe voorkom je schade door werknemers?

Cyberaanvallen zijn niet het enige digitale gevaar. Ook werknemers kunnen schade veroorzaken: de ‘insider threat’. Zo was de grootschalige datadiefstal bij de GGD het werk van malafide medewerkers. Hoe krijg je als organisatie grip op deze interne dreiging, zeker nu thuiswerken een vast gegeven is geworden?

Begin 2021 ontdekte RTL Nieuws een illegale handel in privégegevens uit de 2 coronasystemen van de GGD. De gegevens werden verkregen via omgekochte medewerkers en verkocht op chatdiensten als Telegram en Snapchat. Het ging onder andere om contactgegevens en burgerservicenummers. Deze informatie kan bijvoorbeeld worden gebruikt voor identiteitsfraude en phishingaanvallen.

“De dataroof bij de GGD is een schoolvoorbeeld van een insider threat", zegt Mathijs Valk, expert in digitale identiteiten bij KPN Security. “Bij de GGD ging het om een bewuste actie van kwaadwillende medewerkers voor financieel gewin, maar dat is slechts 1 verschijningsvorm. Een insider threat kan ook een onoplettende werknemer zijn die een foutje maakt. Of er is sprake van nalatigheid: iemand negeert uit gemakzucht bewust de veiligheidsprotocollen.”

Sabotage of nalatigheid

Kwaadwillende insiders handelen vaak vanuit eigenbelang. “Denk hierbij aan ontevreden werknemers die de organisatie saboteren, of informatie stelen waar ze in hun volgende baan iets aan hebben. Soms ligt dit genuanceerder. We zien ook dat cybercriminelen social engineering toepassen om een organisatie binnen te dringen. Ze kopen bijvoorbeeld mensen met financiële problemen om of chanteren een persoon met gevoelige privé-informatie.”

Onoplettende of nalatige insiders hebben meestal geen kwade intenties. Valk: “Een medewerker laat bijvoorbeeld een laptop in de trein liggen of stuurt een e-mail met gevoelige informatie naar de verkeerde persoon. Dat is vooral pech. Nalatige insiders nemen wél bewust een risico. Ze installeren bijvoorbeeld onveilige applicaties op hun zakelijke apparaat of delen gevoelige informatie via een filesharingdienst, terwijl ze weten dat dit niet mag.”

Effectieve tegenmaatregelen

De motieven en omstandigheden lopen uiteen. Maar het eindresultaat is hetzelfde: een datalek of ander beveiligingsincident. Er is organisaties dus veel aan gelegen om de interne dreiging te minimaliseren. Dat is makkelijker gezegd dan gedaan. “Zeker nu steeds meer bedrijven het hybride werken hebben omarmd. Als werkgever heb je dan minder zicht op gebruikers en hun gedrag. Maar je kan hen ook niet de toegang tot bedrijfssystemen en -data ontzeggen.”

Volgens Valk is er geen wondermiddel tegen insider threats. “Maar er zijn wel allerlei securitymaatregelen die de risico’s verkleinen, ook in een hybride werkomgeving.” De identityexpert noemt een aantal voorbeelden:

1. Zerotrust-architectuur

“Een zerotrust-architectuur gaat uit van het principe dat niemand te vertrouwen is, ook medewerkers niet. Eenmalig inloggen volstaat niet. De identiteit van een medewerker wordt op meerdere plaatsen in het netwerk geverifieerd, en toegang wordt alleen verleend op een need-to-know-basis. En je beveiligt die toegang met multifactorauthenticatie, waarbij een werknemer naast een wachtwoord bijvoorbeeld ook een sms-code moet invoeren. Hoe meer zekerheid er is over de identiteit, hoe meer toegangsrechten de gebruiker krijgt.”

2. Logging en detectie

Een ander belangrijk onderdeel van een zerotrust-architectuur is logging en detectie. Valk: “Je moet je omgeving zo organiseren dat je goed kan zien wat er op het netwerk gebeurt en welke informatie met wie wordt gedeeld. Is er iets niet in de haak? Dan moet je snel kunnen ingrijpen. Er zijn bijvoorbeeld systemen die per IP-adres een profiel aanmaken van hoe iemand tikt. Als er dan iemand anders de laptop van bijvoorbeeld de CEO gebruikt, kan de toegang tot systemen direct worden geblokkeerd.”

3. Investeer in loyaliteit

De kwaadwillende insider heeft vaak een diepgewortelde reden om de organisatie te schaden. Deze persoon is bijvoorbeeld ontevreden over zijn leidinggevenden, salaris of carrièreperspectief. Valk: “Dat zijn natuurlijk nooit redenen voor diefstal en sabotage. Maar een goede behandeling van het personeel kan wel degelijk helpen bij de preventie. Een gelukkige werknemer zal zoiets niet snel doen, tenzij dit onder druk van criminelen gebeurt.  Investeer dus in de loyaliteit van je mensen.”

4. Applicatiebeheer en DLP

Er zijn allerlei technische maatregelen die schade door nalatig en onoplettend gedrag tegengaan. “Je kan bijvoorbeeld monitoren welke software een werknemer op zijn laptop installeert, ook als die persoon thuiswerkt. Als de scan een schadelijke applicatie detecteert die niet past binnen het beveiligingsbeleid, kan de IT-afdeling ingrijpen. Een andere maatregel is het gebruik van een Data Loss Prevention-oplossing. Hiermee voorkom je ongeautoriseerde opslag en verspreiding van gevoelige informatie.”

5. Kroonjuwelen afschermen

Sommige gegevens zijn zo gevoelig en bedrijfskritisch dat ze een extra beveiligingslaag vereisen. Valk adviseert organisaties om de toegang tot deze ‘kroonjuwelen’ zoveel mogelijk te beperken. “In een ideale wereld is alle informatie op een veilige manier in te zien voor thuiswerkers. Maar in de praktijk zijn hybride werken en security soms niet verenigbaar. Bepaalde informatie, zoals bedrijfsgeheimen of de architectuur van het netwerk, wil je gewoon nooit op afstand toegankelijk maken.”

Begin met een risicoanalyse

Individuele maatregelen bieden geen volledige bescherming tegen de insider threat. “Het is een samenspel van mensen, processen en technologie. Binnen elke organisatie hebben andere maatregelen prioriteit. Breng eerst de risico’s goed in kaart. Welke informatie moet echt veilig zijn? Welke werknemers hebben veel toegangsrechten nodig en hoe beveilig ik die accounts? Op basis daarvan formuleer je een beleid en tref je gerichte maatregelen.”

Valk sluit af met een algemeen advies. “Zorg dat je 100% zeker weet dat iedereen op je netwerk daar ook hoort te zijn. Dat geldt voor je eigen medewerkers, maar ook voor externe medewerkers. Als je de techniek en het beleid zo hebt opgebouwd dat je vanuit zero trust kan redeneren, ben je ook veel minder kwetsbaar voor de insider threat.”

Wil je meer informatie over dit onderwerp? Of heb je hulp nodig bij Identity & Access Management? Neem dan contact op met een van onze experts.

Maak een adviesafspraak

Gerelateerde artikelen