Is het paranoia als het echt is? Herken de indicatoren van insider threats

Weet u hoe u bedreigingen van binnenuit zogenaamde insider threats kunt herkennen? Het beschermen van de gegevens van uw organisatie hangt ervan af. Het is geen paranoia, het is voorbereiding.

Beheerders die zich vandaag de dag paranoïde voelen, hebben daar een goede reden voor. Externe aanvallen komen het meest  voor, maar insider threats blijven vaak onopgemerkt totdat het te laat is. Zelfs als uw werknemers eerlijk en betrouwbaar zijn. Wat als dit ook uw organisatie zou kunnen treffen? Weet u wat een insider motiveert en welke indicatoren van insider threats u in de gaten moet houden?

Stap 1: Verhoog de bewustwording van insider threats

Denkt u dat uw organisatie immuun is voor insider threats? Het creëren van bewustwording rondom insider threats is de eerste stap in het voorkomen van een aanval. Laten we eens kijken naar enkele statistieken die laten zien hoe reëel deze bedreigingen zijn. 

Het afgelopen jaar heeft maar liefst 94% van de organisaties te maken gehad met een insider breach. Zoals te verwachten was, waren de meeste van deze breaches (84%) het gevolg van menselijke fouten. Maar van de 16% die niet door menselijke fouten werd veroorzaakt, was maar liefst 66% resulteerde in een datalek. Bovendien zijn veel IT-afdelingen onvoldoende voorbereid op kwaadaardige insider threats. Dit blijkt uit het feit dat een overweldigende meerderheid (72%) van IT-beheerders aangeeft dat het beschermen tegen opzettelijk kwaadwillend gedrag een hoge prioriteit heeft. Het meest verontrustende is misschien wel dat 23% van de werknemers geen bezwaar heeft tegen het meenemen van bedrijfsgegevens naar een nieuwe baan (zoals bleek bij twee voormalige GE-werknemers).

Denkt u dat een insider threat ook uw organisatie kan treffen? Laten we nu kijken naar wat u kunt doen om zich hiertegen te beschermen.

Stap 2: Begrijp de motivaties achter insider threats

Wat een insider motiveert, hangt af van de sector waarin uw organisatie zich bevindt, de omvang van het bedrijf en de IT-infrastructuur. Toch zijn er enkele veelvoorkomende motivaties die voor organisaties van alle soorten en groottes universeel zijn. 

#1 Menselijke fout
De meeste insider threats ontstaan uit onschuldige motieven. De overgrote meerderheid van de insider threats komt van werknemers die onzorgvuldig handelen of zich niet aan de beveiligingsprotocollen houden. Werknemers – vooral degenen in niet-technische functies – zijn zich vaak niet bewust van de gevolgen van hun acties voor de gegevensbeveiliging.

#2 Gebrek aan duidelijkheid over de verantwoordelijkheid voor gegevensbeveiliging
Het is lastig om werknemers verantwoordelijk te maken voor gegevensbeveiliging. Toch is het een gezamenlijke verantwoordelijkheid. Sommige medewerkers, óók op C-level, vermijden beveiligingsprotocollen omdat ze denken dat de IT-procedures niet voor hen gelden. Het is echter van essentieel belang dat álle werknemers, ongeacht hun functie, verantwoordelijkheid nemen voor en eigenaarschap tonen over gegevensbeveiliging. 

#3 Kwaadaardige bedoelingen
Kwaadaardige insiders hebben vaak één doel: profiteren van bedrijfsgegevens, bijvoorbeeld door deze te verkopen of te delen. De motivatie kan financieel gewin zijn, het verkrijgen van een voordeel in samenwerking met een derde partij, of het bewust ondermijnen van het bedrijf na een ontslag of gemiste promotie. Soms komt de kwaadaardige actie voort uit wrok tegen een collega of de organisatie. 

#4 Sector-specifieke insider threats
In sectoren met een hoge beveiliging, zoals defensie, inlichtingendiensten of kritieke infrastructuur, kunnen insider threats ook voortkomen uit medewerkers die een spionage- of sabotage-agenda hebben. Deze medewerkers kunnen voor een rivaliserende organisatie werken of onder druk staan van een derde partij om gevoelige informatie te lekken. Klokkenluiders kunnen vertrouwelijke gegevens ook onbedoeld delen met de pers of overheidsinstellingen. Hoe goed is uw organisatie voorbereid op deze specifieke bedreigingen? 

Stap 3: Herken de indicatoren van insider threats

Zodra u de verschillende soorten insider threats kent, kunt u stappen ondernemen om aanvallen te voorkomen door een aantal belangrijke indicatoren van insider threats te monitoren en hier meldingen van te genereren.

#1 Toegangsniveau
Uw IT-beheerders hebben doorgaans het hoogste niveau van netwerktoegang. Soms kan een insider threat juist van deze beheerders komen. Stel u voor dat een IT-beheerder zich ondergewaardeerd voelt en van plan is het bedrijf te verlaten, maar eerst allerlei documentatie en scripts kopieert. Vervolgens wordt  deze informatie gedeeld men een of meerdere externe organisaties. Simpelweg voor financieel gewin of misschien voor meer aanzien. Er kan zo allerlei vertrouwelijke informatie bij kwaadwillende organisatie terecht komen waardoor er een datalek ontstaat, men inzage heeft in uw intellectuele eigendommen of de continuïteit van uw dienstverlening kan bedreigen. Dit kan schadelijk zijn en zelfs tot enorme boete leiden. 

#2 Werken op afstand
Met steeds meer medewerkers die op afstand werken, komen insider threats vaker van buiten het netwerk. Tenzij alle apparaten – zowel op kantoor als daarbuiten – dezelfde beveiligingsprotocollen en software hebben, wordt het gemakkelijker voor hackers om toegang te krijgen. Wat gebeurt er bijvoorbeeld als een werknemer zijn eigen apparaat gebruikt, of als een apparaat verloren gaat of wordt gestolen? Kunt u alle apparaten op afstand wissen? En hoe weet u zeker dat niemand gevoelige informatie kopieert of fotografeert?

#3 Social engineering
Werknemers, zeker wanneer die regelmatig op dezelfde plaatsen komen of thuis werken, kunnen gemakkelijk het doelwit worden van social engineering-aanvallen. Stel u voor dat er USB-sticks worden uitgedeeld als onderdeel van een nep-promotie of met het logo van uw architect, op een locatie die populair is onder uw medewerkers. Deze sticks bevatten malware, waardoor een hacker op afstand toegang krijgt tot uw netwerk zodra ze in een computer worden gestoken. Hoeveel van uw werknemers zouden de verleiding weerstaan om deze USB-stick te gebruiken op hun werkplek?

#4 Ongewoon gedrag
Als een werknemer inlogt op ongebruikelijke tijden of vanaf ongebruikelijke locaties, moet dat een rode vlag zijn. Waarom logt iemand om 2 uur 's nachts in? Of vanuit een locatie die kan worden getraceerd naar een concurrent? Andere waarschuwingssignalen zijn werknemers die plotseling toegang willen tot onbekende systemen of applicaties, of grote hoeveelheden data kopiëren.

#5 Sector-specifieke indicatoren
Ook onwetendheid over sector-specifieke regelgeving kan een risico vormen. Stel dat een zorgverlener CCTV-camera’s installeert die per ongeluk gericht zijn op computerschermen met medische gegevens van patiënten. Dit kan niet alleen een insider threat zijn, maar ook een ernstige schending van wetgeving rond gegevensbescherming, zoals de AVG . Dit kan leiden tot persoonlijk leed en/of hoge boetes. Het is essentieel om de regelgeving in uw sector volledig te begrijpen en te naleven om dergelijke incidenten te voorkomen.

Voorbereiding voorkomt insider threats

Ja, het is niet altijd makkelijk om een insider threat te identificeren, maar de kosten van het niet doen kunnen enorm zijn. Gegevensverlies, beveiligingsinbreuken, service-uitval of juridische sancties kunnen leiden tot hoge kosten. Reputatieschade kan jaren duren om te herstellen. Reputatie komt te voet en gaat te paard.

In een wereld waar insider threats steeds vaker voorkomen, kan een goed monitorsysteem u helpen de indicatoren van een potentiële aanval te herkennen en deze te voorkomen voordat er schade ontstaat. Of het nu gaat om het implementeren en monitoren van multi-factor authenticatie of het toepassen van contextueel toegangsbeheer, door te focussen op het beveiligen van uw netwerk tegen deze risico’s, kunt u een stap voor blijven op potentiële insider aanvallen. 

Meer weten over hoe u uw bedrijf kan beschermen? Neem contact op.