Je medewerkers zijn je kapitaal, maar tegelijkertijd ook je grootste risico. ‘Insider threats’, oftewel dreigingen van binnenuit, zijn namelijk verantwoordelijk voor ongeveer een derde van de datalekken. De helft van de bedrijven heeft er weleens mee te maken gehad. En naarmate mensen meer hyperconnected en mobiel zijn, neemt het risico almaar toe. Maar wat zijn insider threats precies? Hoe kun je ze voorkomen en herkennen? En wat kun je het beste doen als het je overkomt?
Insider threats zijn een veelvoorkomend, maar vooral een heel lastig probleem binnen de cyber security. De meeste beveiligingstools analyseren namelijk alleen computers, netwerken en systeemdata, maar niet mensen. Terwijl die mensen fouten kunnen maken. Of al de juiste toegang hebben tot systemen en mogelijk precies weten welke beveiligingsmethodes worden gebruikt.
Wat zijn insider threats?
Insider threats zijn dreigingen die komen van mensen binnen de organisatie. Dat kunnen bijvoorbeeld werknemers, voormalige werknemers, contracten of zakelijke relaties zijn, die informatie hebben over de veiligheidspraktijken, data en computersystemen van een organisatie. Daarbij kan het gaan om fraude, diefstal, spionage, verlies of lekken van onder meer intellectuele eigendommen en vertrouwelijke data.
Er zijn drie soorten insiders die een bedreiging vormen. 1) De brokkenpiloot maakt een fout die leidt tot gegevensverlies, een datalek of een actie van een kwaadwillende actor. Denk aan een laptop kwijtraken of een mailtje met gevoelige informatie aan de verkeerde persoon sturen. 2) De koppige insider is nalatig omdat hij bewust – maar doorgaans met de beste intenties – veiligheidsprotocollen overtreedt, bijvoorbeeld door een groot bestand te versturen via een niet toegestane webdienst. Tot slot hebben we 3) de rotte appel die zijn toegang moedwillig gebruikt om de organisatie schade toe te brengen. De rotte appel handelt uit persoonlijk gewin of wraak, dan wel om een organisatie of staat te bevoordelen.
Eitje voor insiders, hell of a job voor IT-beveiligers
De rotte appels, die overigens opvallend vaak antisociale persoonlijkheidskenmerken als narcisme of psychopathie vertonen, hebben ooit toegang gekregen tot systemen om hun functie te kunnen uitoefenen. Nu gebruiken ze die toegang juist om de organisatie schade toe te brengen. Ze zitten in een relatief makkelijke positie: in tegenstelling tot outsiders hoeven ze bijvoorbeeld niet het bedrijfsnetwerk te hacken en door de firewall te breken.
Bovendien kunnen ze vaak makkelijk de veiligheidsmaatregelen omzeilen. Ze weten immers wat voor data en intellectuele eigendommen de organisatie heeft én welke beveiligingsmethodes er worden toegepast.
Lees ook: Tips voor beveiligen bedrijfswebsite
Voorbeelden van insider threats
Aan de lopende band vinden er insider threat-incidenten plaats. Een paar bekende voorbeelden. Een medewerker van Tesla heeft een belangrijk fabricagesysteem gesaboteerd en grote hoeveelheden gevoelige data verstuurd naar onbekende externe partijen. Het Nederlandse uraniumbedrijf Urenco kreeg te maken met spionage: atoomgeleerde Abdul Qadir Khan kwam niet terug van vakantie en bleek atoomgeheimen te hebben verkocht aan Pakistan.
Een leverancier van de Amerikaanse warenhuisketen Target was nalatig met zijn inloggegevens waarna hackers de gegevens van 41 miljoen klanten konden stelen. Een personeelslid van Facebook gebruikte zijn toegang om vrouwen te stalken. En een Coca-Cola-medewerker stal een harde schijf die volstond met personeelsdata.
Wat kun je doen om insider threats te voorkomen?
Aangezien het gaat om insiders, kun je niet vertrouwen op je traditionele veiligheidsmaatregelen. Gelukkig sta je niet met lege handen: je insider threat-management kun je baseren op de volgende vijf pijlers.
1. Risk assessment. Het beste is om te beginnen met een risk assessment. Kijk lang en goed naar alle informatie binnen je bedrijf, categoriseer het belang van de verschillende datasoorten en onderzoek wat er gebeurt als je die data verliest. Hoe waardevoller je data is, hoe strenger de controle erop moet worden.
2. Framework voor minimale privileges. Onderzoek wie er momenteel toegang heeft tot data en wie er toegang zouden mogen hebben. Beperk vervolgens de toegang volgens het minimale privileges-model. Oftewel: iedereen, zelfs het management, beschikt alleen over de informatie die hij ook echt nodig heeft. Wijs data-eigenaren aan die de leiding hebben over het beheren van toestemmingen en zorg dat tijdelijke toegang tot data altijd snel vervalt.
3. Security analytics. Zorg dat je security analytics hebt die afwijkend gedrag detecteren. Denk daarbij bijvoorbeeld aan:
· Pogingen tot het raadplegen van data die niet bij de functie hoort
· Toename van activiteiten in mappen met gevoelige informatie
· Pogingen om systeemlogs te wijzigen of grote datavolumes te verwijderen
· Grote hoeveelheden data die per mail worden verstuurd naar buiten het bedrijf
4. Trainingen geven en bewustzijn creëren. Incidenten met rotte appels kun je niet voorkomen door trainingen te geven en bewustzijn te creëren. Incidenten met brokkenpiloten en koppige insiders mogelijk wél. In je trainingen leg je uit welke gevaren er zijn en hoe je ze kunt voorkomen. Zo creëer je bewustzijn. En dat kun je op peil houden via interne communicatie en herhalingstrainingen.
5. Vertrouwen. De laatste pijler voelt wellicht contra-intuïtief aan: vertrouwen. Tal van factoren maken je bedrijf steeds kwetsbaarder voor insider threats, terwijl de mogelijke maatregelen hiertegen beperkt zijn in aantal en effectiviteit. Medewerkers hebben simpelweg toegang nodig tot gevoelige data en bedrijfskristische systemen en vertrouwen hoort daar nu eenmaal bij. Een gebrek aan vertrouwen werkt juist contraproductief.
Zo kun je insider threat-incidenten opsporen
Aangezien insider threats zo’n grote bedreiging zijn voor organisaties, is er veel onderzoek naar verricht. Het blijkt dat bedreigingen van binnenuit doorgaans gepaard gaan met een aantal duidelijke indicatoren, zoals:
· Pogingen tot het omzeilen van veiligheidsmaatregelen
· Pogingen om toegang te krijgen tot informatie die niet bij iemands functie hoort
· Gevoelige informatie mailen naar een persoonlijk account
· Downloaden van grote hoeveelheden data naar externe schijven
· Afname in productiviteit van medewerker
· Een medewerker is vaak buiten kantooruren aanwezig
· Negatief taalgebruik in elektronische communicatie en het vertonen van ontevreden gedrag door een medewerker
Lees ook: de cybersecurity trends voor bedrijven
Ik ben slachtoffer van een insider threat. Wat nu?
Heb je vastgesteld dat je slachtoffer bent geworden van een insider threat-incident? Volg dan het volgende stappenplan:
1. Identificeer de bedreiging en verwijder een gebruiker (of log hem uit) wanneer er sprake is van verdacht gedrag. Probeer vast te stellen welke gebruikers en bestanden erdoor zijn aangetast.
2. Verifieer de ernst van de bedreiging en breng de juiste afdelingen (HR, juridische zaken, IT, etc.) op de hoogte.
3. Ga over tot herstel. Zet verwijderde data terug als dat noodzakelijk en mogelijk is. Verwijder extra toegangsrechten die zijn gebruikt door de insider. Scan en verwijder malware die is gebruikt tijdens de aanval. En zorg dat uitgeschakelde veiligheidsmaatregelen weer worden ingeschakeld.
4. Doe (forensisch) onderzoek naar het veiligheidsincident. Insider threat-incidenten zijn weliswaar heel lastig te onderzoeken met traditionele onderzoeksmethoden omdat er waarschijnlijk geen wijzigingen zijn in bijvoorbeeld bestandskenmerken of het Windows-register. Nieuwe technieken zoals stochastisch forensisch onderzoek kunnen echter soelaas bieden.
5. Breng de juiste instanties (zoals de Autoriteit Persoonsgegevens) op de hoogte.