Insider threats, ook wel dreigingen van binnenuit, zijn lastig op te sporen. Aanvallers buiten de deur houden, is al uitdagend genoeg. Je verdedigen tegen hen die al binnen, zijn vraagt om een totaal andere aanpak. Een insider threat hoeft niet veel verdedigingsmechanismen te omzeilen, wekt mogelijk geen argwaan en blijft vaak onopgemerkt. Het duurt gemiddeld 77 dagen om een incident met insiders te ontdekken en op te lossen.
Alle soorten insider threats nemen toe. Afgelopen jaar kostten insider threats organisaties ruim tien miljoen euro, een stijging van 31 procent ten opzichte van 2018. Hoewel de gevolgen van dergelijke dreigingen desastreus kunnen zijn, is er bij de meeste gevallen geen sprake van kwade bedoelingen. Bijna twee derde van de vorig jaar gemelde incidenten met insiders had te maken met nalatigheid van werknemers of leveranciers. Met andere woorden: gewoon een menselijke fout.
Nalatige insiders zijn er in vele vormen met vele kenmerken. Zo ontbreekt het hen aan een motief. En dat maakt het moeilijk om je tegen hen te verdedigen. Zoals altijd is het beter een dreiging te voorkomen dan er een op te sporen. Het belangrijkste is om pro-actief te blijven. Identificeer veelvoorkomende fouten, zorg ervoor dat medewerkers voldoende zijn getraind en implementeer waar mogelijk ‘fail-safes’ om onvermijdelijke menselijke fouten te beperken.
Gevolgen van nalatige insiders
Een insider threat hoeft geen kwaadaardige bedoelingen te hebben om flinke schade te veroorzaken. Tal van organisaties wereldwijd hebben een hoge prijs betaald voor de onachtzaamheid van werknemers en leveranciers. Niet alle incidenten worden echter veroorzaakt door structurele fouten. Sommige worden veroorzaakt door één menselijke fout.
Phishing blijft een groot probleem voor cybersecurity-teams. Meer dan de helft van de organisaties kreeg vorig jaar te maken met een succesvolle phishing-aanval. Maar ondanks de alomtegenwoordigheid ervan is slechts 61 procent van het wereldwijde personeelsbestand bekend met de term. Er is slechts één werknemer voor nodig om op één schadelijke link te klikken en zo te zorgen voor enorme financiële en imagoschade – zoals Sony Pictures kan bevestigen. In 2014 gaf het bedrijf ruim dertig miljoen dollar uit om zijn it-systemen te repareren nadat verschillende topmanagers in een phishing-bericht waren getrapt. De aanvallers lekten intellectuele eigendommen en gevoelige e-mails en stalen meer dan honderd terabytes aan gegevens.
Als een gebruiker met veel rechten zijn of haar inloggegevens verliest, door phishing of op een andere manier, kan dit een verwoestende impact hebben. Zodra de inloggegevens gecompromitteerd zijn, kunnen ze worden gebruikt om toegang te krijgen tot gevoelige informatie, geld weg te sluizen, netwerken te beschadigen en nog veel meer. Ongeacht de aard van een insider threat geldt: hoe langer deze onopgemerkt blijft, hoe hoger de kosten. Insider threats die binnen dertig dagen worden opgelost, kosten gemiddeld ruim zes miljoen euro. Incidenten die langer dan negentig dagen duren om op te lossen, kosten gemiddeld ruim twaalf miljoen euro.
Gevaar?
Alle organisaties lopen risico op insider threats, vooral wanneer deze door nalatigheid worden veroorzaakt. Het maakt niet uit welke middelen en controles we inzetten, we zullen menselijke fouten nooit volledig voorkomen. Het is een deel van ons allemaal.
Verreweg de belangrijkste risicofactor voor nalatige insiders is kennis en bewustzijn, dan wel het gebrek daaraan. Eindgebruikers op alle niveaus en in alle bedrijfstakken zijn onvoldoende geïnformeerd over gemeenschappelijke risico’s en hun rol in de verdediging daartegen. Dit is te wijten aan een gebrek aan continue en uitgebreide training.
Uit onderzoek blijkt dat 68 procent van de leidinggevenden en het hoger management geen goed beeld heeft van hardnekkige dreigingen en de negatieve gevolgen daarvan voor organisaties. Erger nog, 60 procent begrijpt niet dat cyberaanvallen een constant punt van aandacht zijn.
Van binnenuit verdedigen
Het bestrijden van insider threats is een complex proces. Vooral wanneer de ‘aanvallers’ niet van plan zijn een aanval uit te voeren. Dreigingen zijn soms moeilijk te definiëren en nog moeilijker om te detecteren. Elke verdediging moet zich richten op drie belangrijke gebieden: je technologie, je processen en bovenal je mensen.
Alle organisaties hebben oplossingen nodig die de activiteit van gebruikers monitoren en eventuele ongebruikelijke verzoeken en toegang tot het systeem signaleren. Maak gebruik van hulpmiddelen en technologie om de toegang tot gevoelige informatie te beperken en het kopiëren of exporteren van dergelijke gegevens te verbieden.
Deze technologie moet worden ondersteund door duidelijk gedefinieerde, gemakkelijk te volgen processen met betrekking tot alles van apparaatbeheer tot netwerktoegang en acceptabel gebruik. Medewerkers moeten zich bewust zijn van de gevolgen van het niet naleven van dit beleid.
Tot slot moet je je mensen voorzien van de vaardigheden en kennis die ze nodig hebben om je organisatie te beschermen. Dit houdt veel meer in dan het aanvinken van een vakje. Trainingen moeten uitgebreid zijn en worden herhaald.
Als je medewerkers geen gesimuleerde aanvallen uitvoeren of regelmatig workshops voor persoonlijke beveiliging volgen, is je training waarschijnlijk ontoereikend. Als zij het gevaar voor je organisatie van nalatigheid niet begrijpen of zich niet bewust zijn van de rol die zij spelen bij de verdediging tegen cyberaanvallen, dan loopt je organisatie zeker gevaar.