Overal ter wereld lopen organisaties een groter risico op insider threats dan ooit tevoren. Zo is het aantal gerapporteerde incidenten met 47% gestegen ten opzichte van het jaar ervoor. En ze komen niet alleen veel voor, ze zijn ook zeer schadelijk.
De wereldwijde kosten van aanvallen door insiders stegen vorig jaar tot 11,45 miljoen dollar, In 2018 bedroegen ze nog 8,75 miljoen dollar. Voor de individuele organisaties die het slachtoffer zijn geworden van deze aanvallen, zijn de financiële gevolgen niet minder schokkend. Zo varieren de kosten tussen $307.111 voor een incident vanwege nalatigheid en $871.686 voor gestolen inloggegevens. En dat voor slechts één enkel incident.
Nu een groot deel van het wereldwijde personeelsbestand in de nabije toekomst niet meer op kantoor werkzaam is, zullen deze cijfers alleen maar toenemen.
De massale migratie naar werken op afstand en de toegenomen afhankelijkheid van cloud-systemen, in combinatie met mogelijke financiële druk, werkonzekerheid, onbekende omstandigheden en de algemene angst voor een wereldwijde pandemie hebben geleid tot een ‘volmaakte cyberstorm’. Meer dan een derde van de organisaties meldt sinds maart een toename van het aantal insider threats (34%).
Aanpassen aan een nieuw landschap
Elke sterke cyberverdediging moet zich aanpassen en niets vraagt om een groter aanpassingsvermogen dan een wereldwijde pandemie. Maar hoewel het gesneden koek is om de verdediging te versterken om een verhoogd risico op aanvallen tegen te gaan, is een massale gedrags- en mentaliteitsverandering dat allesbehalve.
Je medewerkers opereren buiten de normen en formaliteiten van de kantooromgeving – en velen zijn daar nog niet aan gewend. Ze kunnen onrustig zijn, afgeleid worden door klusjes of het leven thuis, en meer geneigd zijn om simpele fouten te maken.
De meer ontspannen thuisomgeving kan er ook toe leiden dat ze het niet zo nauw nemen met de veiligheidsnormen die op kantoor gelden. Dit kan betekenen dat privé-apparaten uit gemakzucht worden gebruikt, dat zakelijke apparatuur wordt gebruikt voor privédoeleinden, dat wachtwoorden ergens op een papiertje worden opgeschreven of dat er niet op de juiste manier wordt ingelogd en uitgelogd.
Dan is er nog het altijd aanwezige gevaar van phishing. Nu de persoonlijke en zakelijke wereld steeds meer in elkaar overgaan, kan het zijn dat gebruikers meer geneigd zijn om thuis op een verdachte link te klikken dan in de meer formele setting van het kantoor. Cybercriminelen zijn zich hiervan terdege bewust.
Sinds het begin van de pandemie hebben we honderden COVID-19-gerelateerde phishing-aanvallen gezien, waarbij slachtoffers werd verzocht om op links te klikken, bijlagen te downloaden en inloggegevens te delen. Er is slechts één onoplettende medewerker nodig om de veiligheid van je hele organisatie in gevaar te brengen.
Naast het controleren van mogelijk risicovol gedrag, moeten cyberverdedigers ook rekening houden met nieuw gedrag dat de wenkbrauwen kan doen fronsen. Denk bijvoorbeeld aan medewerkers die op ongebruikelijke uren inloggen omdat ze op andere momenten voor hun kinderen zorgen. De reguliere telemetrie van je logboeken is bijna in één nacht tijd volledig veranderd. Aanpassing aan deze verandering vereist een scherpe blik en een robuuste strategie die in staat is om van binnenuit te verdedigen.
De psychologische schaduwzijde van een pandemie
Helaas is de toegenomen kans op menselijke fouten niet de enige zwakke schakel waar opportunistische cybercriminelen van profiteren. De psychologische druk van het leven in een lockdown kan ruimte maken voor een meer duistere dreiging – de kwaadwillende insider.
Hoewel kwaadwillende insiders minder vaak voorkomen, kunnen ze meer schade aanrichten. Velen gebruiken voorkennis om de interne verdediging te omzeilen en wissen hun sporen uit, zodat ze veel moeilijker te detecteren en tegen te gaan zijn. Gemiddeld kost een opzettelijk incident 755.760 dollar, meer dan het dubbele van een incident door nalatigheid.
Het risico van kwaadwillende insiders is niet nieuw. Maar nu er steeds meer werknemers met onvrijwillig (deeltijd)verlof zijn, risico op ontslag lopen en mogelijk onder financiële druk staan, moeten organisaties goed op hun hoede zijn.
Zelfs de minst technisch onderlegde gebruikers zijn zich waarschijnlijk bewust van de bedragen die worden geboden voor het doorspelen van gegevens en gevoelige informatie. Besluitvorming kan daardoor makkelijk in het gedrang komen.
Hetzelfde geldt voor medewerkers die wrok koesteren tegen je organisatie. Doordat de kranten regelmatig vol staan met verhalen over datalekken, zijn de verwoestende gevolgen voor de betrokkenen algemeen bekend: sancties van de toezichthouders, reputatieschade en aanzienlijke financiële verliezen. Zo krijgt een ontevreden werknemer ineens een schijnbaar eenvoudige en effectieve manier om wraak te nemen op een presenteerblaadje aangereikt.
De verdediging van binnenuit opbouwen
Potentiële insider threats opsporen is nooit eenvoudig. Het is nog moeilijker om ze te herkennen buiten de kantooromgeving, waar er minder controle of druk is om aan de veiligheidsnormen te voldoen. De enige effectieve verdediging is een flexibele, robuuste, gelaagde strategie die mensen, processen en technologie combineert.
Insider threats zijn uniek omdat ze al legitieme, vertrouwde toegang hebben tot de systemen en gegevens van je organisatie. Daarom is voor deze unieke aanvalsmethode een unieke verdediging nodig. Hoewel het niet mogelijk is om de toegang te blokkeren voor degenen die binnen je netwerken moeten werken, kan je er wel voor zorgen dat de toegang strikt wordt gecontroleerd en alleen wordt toegestaan op basis van een “need to know”-principe.
Begin met het implementeren van een uitgebreide oplossing voor privileged access management (PAM) om de netwerkactiviteit te monitoren, de toegang tot gevoelige gegevens te beperken en de overdracht van deze gegevens buiten de bedrijfssystemen te verbieden.
Je technologie moet niet blindelings je werknemers vertrouwen. Er kan een goede reden zijn voor een verzoek om toegang of voor het inloggen buiten de gebruikelijke uren, maar dit kan niet zomaar worden aangenomen. De controles moeten waterdicht zijn, waarbij elk logboek wordt gemarkeerd en geanalyseerd op tekenen van nalatigheid of kwade opzet.
Verder moeten er duidelijke en uitgebreide processen zijn voor systeem- en netwerktoegang, gebruikersrechten, ongeautoriseerde toepassingen, externe opslag, gegevensbescherming en nog veel meer.
Tot slot kan je je niet alleen beschermen tegen insider threats met technische maatregelen. Aangezien je werknemers zelf de grootste risicofactor voor insider threats zijn, moeten zij de kern van je verdedigingsstrategie vormen.
Streef naar het creëren van een veiligheidscultuur via regelmatige trainingen op het gebied van insider threats. Iedereen in je organisatie moet weten hoe hij of zij een potentiële bedreiging kan herkennen en tegenhouden en, al dan niet opzettelijk, hoe zijn of haar gedrag je organisatie in gevaar kan brengen.
Deze training moet grondig zijn en zich aanpassen aan de huidige omstandigheden. Hoewel de huidige werkomgeving misschien meer ontspannen aanvoelt, zijn de best practices op het gebied van veiligheid nog steeds van toepassing – misschien wel meer dan ooit.
Jim Cox, Area Vice President Benelux bij Proofpoint
