Interne actoren vormen een steeds groter risico voor organisaties. Volgens recente statistieken waren zij verantwoordelijk voor 19% van de onderzochte datalekken, met een stijging van 44% in beveiligingsincidenten in twee jaar.
Het begon allemaal heel onschuldig toen een Tesla-medewerker een uitnodiging ontving van een vroegere compagnon om eens bij te praten onder het genot van een drankje. Een aantal etentjes later maakte de oude kennis zijn ware bedoelingen duidelijk. Hij bood de Tesla-medewerker $1 miljoen voor het binnensmokkelen van malware in het computernetwerk van de autofabrikant. Als het plan zou slagen, zou een cybercrimelekring in staat zijn geweest om vitale gegevens van Tesla te stelen en hier losgeld voor te vragen. Gelukkig ging het complot niet door nadat de werknemer het juiste had gedaan: hij rapporteerde het aanbod aan zijn werkgever en hij werkte samen met de FBI om zijn oude compagnon voor de rechter te brengen.
Deze uitkomst mag echter niet verbergen dat het ook de andere kant op had kunnen gaan. De poging tot aanval herinnerde ons eraan dat werknemers niet alleen de grootste aanwinst van een organisatie zijn, maar kwaadwillenden zich ook vaak richten op de werknemers om inbreuk te doen in een organisatie.
Een paar statistieken kunnen dit duidelijk maken. Volgens het Verizon 2023 Data Breach Investigations Report werden 19% van de ongeveer 5200 onderzochte datalekken veroorzaakt door interne actoren. Uit onderzoek van het Ponemon Institute onder 1000 IT-beveiligingsprofessionals van organisaties die te maken hadden gehad met "materiële gebeurtenissen veroorzaakt door een insider" bleek dat het aantal insider-gerelateerde beveiligingsincidenten in slechts twee jaar met 44 procent was gestegen. In het 2022 Cost of Insider Threats Global Report wordt het aantal van deze gebeurtenissen geschat op meer dan 6.800, waarbij de getroffen organisaties jaarlijks 15,4 miljoen dollar besteden aan het herstel van de gevaren van binnenuit.
Het aanvalsoppervlak wordt groter - ook voor dreigingen van binnenuit
Acute cyberdreigingen, zoals aanvallen op de toeleveringsketen van software, BEC-fraude (Business Email Compromittering) en andere zwendelpraktijken die gebruikmaken van gestolen werknemerslogins, samen met ransomware en andere aanvallen die vaak worden gefaciliteerd door een bloeiend cybercrime-as-a-service bedrijfsmodel, hebben cybersecurity bovenaan de agenda's van directies geplaatst.
Met de haast naar digitale transformatie, de verschuiving naar flexibele werkregelingen in de cloud en een groeiende afhankelijkheid van externe leveranciers, is het aanvalsoppervlak van elke organisatie aanzienlijk vergroot. Het cyberbeveiligingslandschap is nu complexer dan ooit, en omdat aanvallers onophoudelijk misbruik maken van deze complexiteit, is het niet altijd eenvoudig om de meest kritieke risico's te bepalen en te prioriteren.
Om het nog ingewikkelder te maken, is het op afstand houden van externe aanvallers vaak maar de helft van de strijd. Dreigingen van binnenuit krijgen meestal niet de hoogste prioriteit, ook al is de impact van een incident met een insider vaak nog groter dan de impact van een incident dat alleen wordt veroorzaakt door een externe aanvaller.
Soorten dreigingen van binnenuit
Een dreiging van binnenuit is een cyberbeveiligingsdreiging die uit het diepst van een organisatie komt, omdat het meestal verwijst naar een werknemer of leverancier, zowel huidige als voormalige, die schade zou kunnen toebrengen aan de netwerken, systemen of gegevens van een bedrijf.
Dreigingen van binnenuit vallen meestal uiteen in twee soorten: opzettelijk en onopzettelijk. Hierbij wordt de laatste verder onderverdeeld in toevallige en onzorgvuldige handelingen. Studies tonen aan dat de meeste insider-gerelateerde incidenten vaker te wijten zijn aan onoplettendheid of nalatigheid, dan aan kwade bedoelingen.
De dreiging kan vele vormen aannemen, waaronder diefstal of misbruik van vertrouwelijke gegevens, vernietiging van interne systemen en toegang verlenen aan kwaadwillenden. Dergelijke dreigingen worden meestal ingegeven door verschillende factoren, zoals financiële motieven, wraak, ideologie, nalatigheid of pure kwaadwillendheid.
Deze dreigingen vormen unieke beveiligingsuitdagingen, omdat ze moeilijk te detecteren en nog moeilijker te voorkomen kunnen zijn. Dit komt onder andere omdat insiders veel meer mogelijkheden hebben dan externe aanvallers. Natuurlijk hebben werknemers een legitieme en verhoogde toegang tot de systemen en gegevens van een organisatie nodig om hun werk te kunnen doen. Dit betekent dat de dreiging mogelijk niet zichtbaar is totdat de aanval daadwerkelijk plaatsvindt of nadat de schade is aangericht. Insiders zijn ook vaak bekend met de beveiligingsmaatregelen en -procedures van hun werkgever en kunnen deze gemakkelijker omzeilen.
Bovendien, ook al vereist een veiligheidsmachtiging een achtergrondonderzoek, wordt er niet altijd strikt rekening gehouden met de persoonlijke gemoedstoestand, omdat die in de loop van de tijd kan veranderen.
Toch zijn er bepaalde maatregelen die een organisatie kan nemen om het risico op dreigingen van binnenuit te minimaliseren. Deze zijn gebaseerd op een combinatie van beveiligingscontroles, een cultuur van beveiligingsbewustzijn en omvatten tools, processen & mensen.
Preventieve maatregelen om het risico van dreigingen van binnenuit te beperken
Deze vijf maatregelen zijn niet allesbepalend voor cyberbeveiliging, maar ze helpen organisaties wel om zich te beschermen tegen dreigingen van binnenuit.
1. Toegangscontrole implementeren
Het implementeren van toegangscontroles zoals RBAC (role-based access control) kan helpen om de toegang tot gevoelige gegevens en systemen te beperken tot alleen de werknemers die het nodig hebben om de taken van hun werk uit te voeren. Door alleen toegang te verlenen aan werknemers die dit nodig hebben voor hun taken, kan een bedrijf de blootstelling aan dreigingen van binnenuit aanzienlijk verminderen. Het is ook essentieel om deze toegangsrechten regelmatig te herzien, zodat de toegangsniveaus gepast blijven en afgestemd zijn op de rollen van de werknemers.
2. Activiteiten van werknemers monitoren
Het implementeren van monitoringtools om de activiteiten van werknemers op bedrijfsapparaten of hun netwerk te volgen, kan helpen bij het identificeren van verdacht gedrag dat kan duiden op een dreiging van binnenuit. Monitoring kan ook helpen bij het detecteren van ongebruikelijke gegevensoverdracht of abnormale toegangspatronen tot gevoelige systemen en gegevens. Zorg er echter wel voor dat de lokale regelgeving wordt nageleefd en stel duidelijke richtlijnen op met betrekking tot monitoring om mogelijke zorgen over privacy weg te nemen.
3. Achtergrondcontroles uitvoeren
Door achtergrondcontroles uit te voeren op alle werknemers, leveranciers en verkopers voordat ze toegang krijgen tot gevoelige en vertrouwelijke gegevens, kunnen potentiële risico's worden vastgesteld. Deze controles kunnen ook worden gebruikt om iemands arbeidsverleden en strafblad te verifiëren. Probeer ook actief bezig te blijven met de persoonlijke gemoedstoestand van de betreffende personen.
4. Organiseer awareness trainingen over beveiliging
Door werknemers regelmatig bewust te maken van beveiliging, kunnen ze meer inzicht krijgen in de risico's van cybersecurity en hoe ze deze kunnen beperken. Dit kan helpen om de kans op onopzettelijke dreigingen van binnenuit te verkleinen, zoals slachtoffer worden van phishing.
5. Data Loss Prevention (DLP)
Het implementeren van een DLP-systeem kan helpen bij het voorkomen van gegevensverlies of -diefstal door het bewaken, detecteren en blokkeren van ongeautoriseerde overdracht of het delen van gevoelige gegevens. Dit kan helpen om dreigingen van binnenuit te verminderen, maar ook om vertrouwelijke gegevens te beschermen. Het voorbehoud hierbij is echter dat kwaadwillenden DLP-providers ook in het vizier hebben, dus dat kan een extra zorg zijn.
Helaas is geen van deze maatregelen waterdicht en geen enkele oplossing kan dreigingen van binnenuit volledig elimineren. Maar door een combinatie van deze maatregelen te implementeren en het veiligheidsbeleid regelmatig te herzien en bij te werken, kunnen bedrijven hun blootstelling aan dreigingen van binnenuit aanzienlijk verminderen.
Besparingen door awareness trainingen
Dit is om verschillende redenen de beste keuze uit de beschreven maatregelen. Ten eerste helpen deze trainingen bedrijven geld te besparen door het risico op onbedoelde dreigingen van binnenuit te verkleinen.
Werknemers zijn zich vaak niet bewust van bepaalde risico's op het gebied van cybersecurity en kunnen onbewust op een phishing-link klikken, malware downloaden of vertrouwelijke interne gegevens delen, wat kan leiden tot een datalek of andere incidenten. Door werknemers regelmatig te trainen, kan de kans op dit soort incidenten worden verkleind, waardoor de kosten (in verband met deze dreiging van binnenuit) en de reputatieschade (in verband met inbreuken en juridische problemen) worden beperkt.
Bovendien kan het aanbieden van awareness trainingen zowel de persoonlijke cyberhygiëne als de algehele beveiligingsstatus van een bedrijf verbeteren. Dit leidt tot een hogere efficiëntie en productiviteit, omdat werknemers die zijn getraind in het herkennen en melden van beveiligingsincidenten, kunnen helpen bij het vroegtijdig detecteren en beperken van beveiligingsdreigingen. Hierdoor worden de impact ervan en de kosten die ermee gepaard gaan, beperkt.
Het implementeren van een combinatie van maatregelen op maat van de specifieke behoeften van een bedrijf is echter nog steeds de beste aanpak om dreigingen van binnenuit te bestrijden en op de lange termijn kosten te besparen.