Al dan niet voormalige medewerkers die bedrijfsnetwerken saboteren, vertonen vaak al vroegtijdig symptomen die wijzen op hun aanstaande misdragingen. Aldus Dawn Cappelli van de Carnegie Mellon universiteit, die er onderzoek naar deed in samenwerking met de Amerikaanse geheime dienst. Een model kan organisaties helpen suspect gedrag vroegtijdig te detecteren.
Sabotage van it-infrastructuur door insiders is een groeiend probleem. Dat komt niet in de laatste plaats doordat (voormalige) medewerkers beter dan wie dan ook de zwakke punten van systemen kennen. Bovendien genieten ze meestal vertrouwen, waardoor hun bewegingen minder gecontroleerd worden dan die van buitenstaanders. Een enquête onder de lezers van het Amerikaanse CSO Magazine liet zien dat het aantal bedrijven met problemen door insiders groeide van 39 procent in 2005 naar 55 procent in 2006. Het aandeel van insider jobs in het totaal van it-incidenten steeg in dezelfde periode van 20 naar 27 procent.
Er is dus alle reden om aandacht te besteden aan it-bedreigingen van binnenuit. Helaas zijn organisaties niet erg happig om hierover te vertellen. Daardoor is de kennis op dit terrein beperkt. Het onderzoek van Dawn Cappelli is een van de eerste die dit fenomeen op enige schaal belichten.
Cappelli onderzocht 150 gevallen van it-sabotage, waarvan een derde diepgaand uitgespit werd. Daarvoor kreeg ze alle medewerking van overheidsinstanties, zodat ze niet alleen in staat was slachtoffers en opspoorders te spreken, maar ook toegang kreeg tot gevangenissen om daders naar hun motieven en werkwijzen te vragen. De resultaten van dat onderzoek presenteerde ze tijdens een congres van Govcert.nl, dat op 14 en 15 september plaatsvond in Scheveningen.
“Bij het onderzoek hebben we gekeken naar medewerkers, voormalige medewerkers en gedetacheerden die moedwillig netwerken, systemen of data vernietigden”, aldus Cappelli. “We hebben dus gekeken naar gevallen van sabotage, niet naar fraude. In het geval van sabotage is wraakzucht eigenlijk altijd het motief. Hebzucht speelt geen rol. We zijn geen gevallen tegengekomen van sabotage betaald door buitenstaanders. Er is geen verschil tussen cases bij bedrijven en overheden.”
Het profiel van de daders is nogal diffuus. De leeftijd varieert tussen de 17 en 60, wat de veronderstelling logenstraft dat vooral jonge medewerkers over de schreef gaan. Cappelli: “De daders zijn bijna allemaal mannen, maar dat zegt niet zoveel in een vak waar vooral mannen werken. Etniciteit blijkt irrelevant te zijn, net als de vraag of iemand getrouwd is. De helft bestaat uit voormalige medewerkers. De meeste acties zijn redelijk spontaan. Wel blijken veel daders wel eens met collega’s gesproken te hebben over de schade die ze zouden kunnen aanrichten.”
Slaapproblemen
Een van de eerste observaties uit Cappelli’s onderzoek is dat de persoonlijke eigenschappen van de meeste insiders opvallende trekjes vertonen. Velen zijn van nature al erg prikkelbaar. Een stevig aantal heeft een probleem met drank of drugs, of slikt anti-depressiva. Soms is er zelfs sprake van een geestesstoornis. Cappelli: “Het is opvallend hoe vaak collega’s zeggen: ja, hij was altijd al een ruzieschopper.”
Ze geeft een voorbeeld: “Het ging om een jonge vrouw die zich in een mannenomgeving gediscrimineerd voelde. Ze kaartte het aan, kreeg weinig respons, klaagde nogmaals, maar voelde zich niet gehoord. Ze kreeg slaapproblemen, ging pillen slikken. Haar gedrag werd steeds problematischer. Eerst werd ze een paar dagen geschorst, daarna ontslagen. Toen ze al een andere baan had, kwam ze nog een keer terug om data te wissen. Het kostte 1800 manuren om alles te herstellen.”
Niet alleen problematisch gedrag maar ook onverklaarbaar gedrag is reden tot verhoogde waakzaamheid, blijkt uit Cappelli’s onderzoek. “Er bestaat een neiging om toegeeflijk te zijn tegenover ‘rare’ nerds – ten onrechte”, zegt Cappelli. “Tachtig procent van de daders vertoont verontrustend niet-technisch gedrag. In ons onderzoek kwamen we iemand tegen die over bepaalde certificaten leek te beschikken. Op basis daarvan was hij aangenomen. Alleen onttrok hij zich aan het sociale leven in het bedrijf. Zo weigerde hij mee te gaan op reizen, omdat hij vliegangst zou hebben. Maar hij bleek wel een vliegbrevet te hebben.”
“Op een gegeven moment bleek hij in het personeelssysteem twee sofi-nummers te hebben. Dat kwam, omdat hij in Mexico geboren was, zei hij. De certificaten bleken niet te kloppen. Toen is hij ontslagen. Hij bleek echter drie accounts voor zichzelf aangemaakt te hebben, waardoor hij van buitenaf bij het systeem kon. Zo slaagde hij erin het hele netwerk te vernietigen.”
Logische bom
Bovenop de persoonlijkheid van de insider komen vaak extra factoren die hen van latente onvrede aanzetten tot werkelijke sabotage. Een nieuwe baas stelt strengere eisen. Een verzoek om opslag of promotie wordt niet gehonoreerd. Nerds gaan er soms ook vanuit dat zij boven het systeem staan en dus privileges bezitten die anderen niet hebben, bijvoorbeeld om bepaalde sites te bezoeken. Moeten ze zich aan dezelfde regels houden als ieder ander, dan ervaren ze dat als onrechtvaardige behandeling.
Ook hier geeft Cappelli een voorbeeld: “Een jongen die op dertienjarige leeftijd met school stopte en zichzelf allerlei it-vaardigheden aanleerde. Op zijn negentiende kwam hij bij het bedrijf binnen. Collega’s waren jaloers op hem, omdat hij veel beter betaald kreeg dan zij. Hij had het gevoel al het werk te moeten doen, terwijl zijn collega’s zaten te gamen. Omgekeerd vond zijn baas dat hij te laat op zijn werk kwam en dat hij zijn Metallica t-shirt moest inwisselen voor iets meer representatiefs. Zijn gedrag ging van kwaad tot erger. Op een gegeven moment gebruikte hij zijn pauzes om drugs te nemen op de parkeerplaats.”
“Toen vertelde een collega dat hij de baas een ontslagbrief had zien tikken. De jongeman brak in op de computer van de baas, zag dat hij inderdaad ontslagen zou worden en plaatste drie logische bommen in het systeem”, vertelt Cappelli. Een logische bom is een stuk malware dat in actie komt als een bepaalde logische trigger afgaat, bijvoorbeeld iemand die zijn mailbox opent of een logbestand dat een bepaalde omvang bereikt. In dit geval werd de bom zo geconstrueerd dat het leek alsof de baas hem geplaatst had. Dezelfde collega meldde echter verdacht gedrag van de jongen bij de baas, zodat de bommen tijdig ontmanteld konden worden.
De cyclus van reprimandes om afwijkend gedrag, maar ook externe factoren, zoals echtscheiding, draagt bij aan de sabotagekans. Een van de cases die Cappelli bestudeerde was van een medewerker die in 22 jaar het hele bedrijfsnetwerk had opgebouwd. Het netwerk groeide hem echter boven het hoofd, toen het bedrijf internationaal ging. Ineens kreeg hij iemand boven zich. Daar weigerde hij zich bij neer te leggen. Een lange reeks van waarschuwingen volgde. Uiteindelijk werd hij ontslagen. Ook hij nam wraak met een logische bom.
Badges
De combinatie van technisch en psychologisch onderzoek maakt het werk van Cappelli uniek. Het is juist door opvallend gedrag van medewerkers te koppelen aan hun gedragingen op het netwerk dat sabotage vroegtijdig ontdekt kan worden. Cappelli vond verschillende typische technische nalatigheden die het gefrustreerde medewerkers mogelijk maken om dood en verderf te zaaien.
“In bijna alle gevallen vertonen insiders online gedrag dat de organisatie had moeten alarmeren”, vertelt Cappelli. “In één geval testte een dader zijn logische bom drie keer zonder dat de organisatie het opmerkte. Toen hij echt afging, kostte dat het bedrijf tien miljoen dollar. Tachtig mensen verloren hun baan.”
“In een ander geval plaatste iemand zijn bom zes maanden tevoren, zodat hij moeilijker te traceren viel. Bij problemen zijn systeembeheerders immers geneigd de logs van de afgelopen dagen door te spitten als zich ineens onregelmatigheden voordoen. In dit geval werd volstrekt willekeurig de letter i in dataverkeer toegevoegd, wat heel vervelend is als je een telecombedrijf bent. En dat allemaal omdat iemand niet de bonus gekregen had die hij verwachtte.”
Een andere technische factor is het domweg slecht uitvoeren van regels, bijvoorbeeld voor toegangscontrole. Als gevolg daarvan moest een Amerikaanse nooddienst eens terugvallen op papieren telefoonboeken. Ook het slordig omgaan met wachtwoorden is een voorbeeld van nalatigheid door derden.
Als anderen niet nalatig zijn, kan de insider doelbewust regels schenden, bijvoorbeeld een badge stelen om toegang te krijgen tot een bepaalde ruimte. Medewerkers die regels aan hun laars lappen, tonen een vervaagd normbesef en lopen daarom een hoger risico zwaar over de schreef te gaan.
Cappelli: “Neem het geval van iemand die vond dat het management dom was. Als ze hem niet expliciet vertelden back-ups te maken, maakte hij geen back-ups. Als zij zo dom zijn geen back-ups te willen, is het niet mijn verantwoordelijkheid die fout te herstellen, redeneerde hij. Ook weigerde hij zijn project te documenteren, omdat het management toch te dom was om het te begrijpen. Alle broncode stond uitsluitend op zijn laptop, want hij was de enige die het begreep.”
‘Toen hij ontslagen werd, wiste hij zijn harddisk onder het motto: jullie willen vast dat ik alles schoon oplever. Zo raakte het bedrijf een zeer kritische applicatie kwijt. Gelukkig kwamen ze erachter dat hij thuis een versleutelde kopie had. De FBI moest eraan te pas komen om hem te dwingen die af te geven. Zes maanden vertraging liep het bedrijf zo op.”
Observaties
gevallen waarin dit een rol speelde
1. persoonlijke eigenschappen als prikkelbaarheid. 60 %
2. afwijkend, ‘raar’ gedrag in het algemeen 80 %
3. teleurstelling bij medewerkers 100 %
4. factoren die extra stress kunnen veroorzaken 97 %
5. technische onregelmatigheden 96 %
6. handhaving van toegangsregels 93 %
7. overtredingen van bedrijfsregels 85 %
Het Merit-model
De observaties van Dawn Cappelli uit haar onderzoek naar 150 cases van it-sabotage in de VS zijn vervat in een model waarin psychologische en technische factoren in elkaar grijpen. De bedoeling is dat dit model gebruikt wordt voor training van managers om potentiële probleemgevallen in hun organisatie sneller op te merken. Ook zijn tools in ontwikkeling om verdacht gedrag automatisch te detecteren.
Dit Merit-model (Management and Education of the Risk of Insider Threat) laat zien dat waakzaamheid moet beginnen bij psychologische factoren. Afwijkend gedrag is de eerste aanwijzing en als dat doorzet, wordt het tijd om extra aandacht te besteden aan iemands bewegingen op het bedrijfsnetwerk. Zodra daar tekenen opduiken van verdacht technisch gedrag, is het echt opletten geblazen.
De toepassing van dit model brengt een aantal dilemma’s met zich mee. In de eerste plaats is er doorgaans sprake van een vertrouwensrelatie met de medewerker. Dat geldt niet alleen voor de leidinggevende, maar ook voor de technici die de verscherpte monitoring moeten uitvoeren: het gaat immers meestal om een directe collega. Als de betrokkene erachter komt, kan een voorzorgsmaatregel juist de trigger zijn die ervoor zorgt dat hij ontspoort. Hij kan dan voorzichtiger te werk gaan, waardoor hij lastiger te betrappen valt.
Wie is Cappelli
Dawn Cappelli leidt het onderzoek naar dreiging door insiders bij het Amerikaanse CERT (Computer Emergency Response Team). Daarnaast bekleedt ze twee posities als senior docent aan de Carnegie Mellon-universiteit, een bij het Sofware Engineering Institute en een aan de Heinz School of Public Policy and Management. Voor de Amerikaanse geheime dienst is ze projectleider van het Cricital Systems Protection Initiative (CSPI). Ze studeerde wiskunde en informatica aan de University of Pittsburgh en werkte jarenlang bij Westinghouse, waar ze software schreef voor kernreactoren.