In de VS is september National Insider Threat Awareness Month. Die kennen we hier nog niet. Het is een initiatief van het NSCS (national counterintelligence and security center) en NITTF (national insider threat task force). Die laatste hebben we in Nederland ook nog niet. Nu wil ik niet oproepen het initiatief over te nemen of een taskforce op te richten, maar meer aandacht voor dreigingen van binnenuit is wel aan te moedigen.
Volgens een onderzoek van Verizon is 20 procent van de cybersecurity-incidenten en 15 procent van de datalekken toe te wijzen aan interne medewerkers. Het gebeurt minder dan externe aanvallen, maar interne issues kunnen zeer kostbaar uitpakken en zijn lastig tegen te gaan en te ontdekken. De reden hiervoor is dat een ‘insider’ bekend is met de netwerkomgeving en toegang heeft tot waardevolle gegevens. Ze kunnen privileged accounts gebruiken om belangrijke bedrijfssystemen binnen te komen en lateraal door het netwerk te bewegen zonder ook maar enigszins op te vallen. Hierdoor kunnen deze interne dreigingen, of insider attacks, soms wel maanden-, of jarenlang aanhouden voordat ze worden ontdekt. Aandacht hiervoor is dus noodzakelijk om het bewustzijn te vergroten en om organisaties te helpen proactieve strategieën te ontwikkelen om deze risico’s te verkleinen.
Interne dreiging
Elke organisatie heeft te maken met dreiging van binnenuit. Medewerkers die bewust of onbewust onzorgvuldig omgaan met hun geautoriseerde toegang tot faciliteiten en informatie zijn een risico. Ik maakt onderscheid in vier verschillende insider threats.
1. De externe insider
Aangezien er steeds meer systemen van leveranciers en partners geïntegreerd worden met eigen systemen, hebben medewerkers van die partijen ook toegang tot het netwerk. Je kunt echter lastig iets beveiligen dat niet van jou is, dus de onbeheerde leverancierstoegang is een risico, en kan leiden tot negatieve resultaten bij audits of in het ergste geval tot datalekken.
2. De misbruikte insider
Aanvallers richten hun pijlen vaak op medewerkers met hogere toegangsrechten, zoals beheerders, helpdesk-medewerkers of andere collega’s met privileged accounts. Uit onderzoek blijkt dat 33 procent van de inbraken via sociale aanvallen lopen, zoals phishing, spoofing of reverse social engineering via social media. Er hoeft maar één medewerker in te trappen.
3. De kwaadwillende insider
Deze medewerkers zijn gemotiveerd door frustratie, financiële gewin, politiek activisme of een zoektocht naar adrenaline. Ze zijn niet gemakkelijk te identificeren want ze komen vaak legitiem langs allerlei security-checkpoints om als geautoriseerde gebruikers bij de gewenste data te komen.
4. De onbewuste insider.
Waar gehakt wordt vallen spaanders. De meeste medewerkers zijn te goeder trouw en willen gewoon hun werk goed doen. Soms doen ze iets dat onschuldig lijkt, maar dat niet per definitie is. Bijvoorbeeld een app installeren die het werk makkelijker maakt, of een workaround gebruiken die weliswaar tijdswinst kan opleveren, maar niet geautoriseerd is.
Aandacht
De tegenmaatregelen richten zich dus op het beschermen en afschermen van privileged accounts. Keer op keer blijken die aan de basis te staan van een aanval of onbedoeld datalek. Door gebruikers niet te veel rechten te geven en toegang tot systemen strikt te controleren, beperk je medewerkers niet direct in hun werkzaamheden, maar wel in de ongewenste activiteiten die ze soms uitvoeren. En daar moet deze maand, maar ook de volgende maanden aandacht voor zijn.