Home Security De motieven van insider threats in kaart brengen

De motieven van insider threats in kaart brengen

52

Mensen die van binnenin de organisatie een gevaar vormen (insider threats) kunnen vele vormen hebben. Denk bijvoorbeeld aan de verstrooide werknemer die zich niet aan de standaard beveiligingsprotocollen houdt, of de kwaadwillende insider die opzettelijk je organisatie schade wil toebrengen.

Sommige bedreigingen kunnen het gevolg zijn van simpele fouten, andere van een persoonlijke wraakactie. Sommige insiders werken alleen, andere in opdracht van een concurrent of een land.

Wat de methode en de motieven ook zijn, de resultaten kunnen verwoestend zijn. De gemiddelde kosten van een enkel incident door nalatigheid van een insider bedragen meer dan 300.000 dollar. Dat cijfer stijgt tot meer dan 755.000 dollar voor een criminele of kwaadwillige aanval en tot 871.000 dollar voor diefstal van inloggegevens.

In tegenstelling tot veel andere veelvoorkomende aanvallen zijn insider threats zelden een vorm van pakken-wat-je-pakken-kan. Hoe langer een bedreiging onopgemerkt blijft, des te meer schade die kan aanrichten aan je organisatie. Als je je werknemers beter begrijpt – hun motivaties en hun omgang met je data en netwerken – kun je potentiële bedreigingen eerder opsporen en inperken.

De motieven van insiders

Insider threats kunnen grofweg in twee categorieën worden verdeeld – nalatig en kwaadwillig. Binnen die categorieën bevinden zich een aantal potentiële motieven.

Het mechanisme van een aanval kan sterk verschillen per motief. Daarom kan een grondig begrip van deze motieven het verschil betekenen tussen een potentiële dreiging en een succesvolle aanval.

Financieel gewin

Financieel gewin is misschien wel de meest voorkomende drijfveer voor de kwaadwillende insider. Werknemers op alle niveaus zijn zich ervan bewust dat bedrijfsgegevens en gevoelige informatie een bepaalde waarde hebben.

Voor een werknemer met toegang tot je data, kan het in de verkeerde handen laten vallen daarvan een minimaal risico lijken voor een flinke beloning.

Dit is een bedreiging die in de huidige situatie wellicht een hoger risico vormt. Miljoenen mensen kampen vanwege het coronavirus met financiële druk, veel van hen worden geconfronteerd met werkonzekerheid. Wat ooit ondenkbaar leek, voelt nu misschien als een snelle oplossing.

Nalatigheid

Nalatigheid is de meest voorkomende oorzaak van insider threats en kost organisaties gemiddeld 4,58 miljoen dollar per jaar.

Een nalatige insider onstaat meestal door gebrekkige security-praktijken. Denk bijvoorbeeld aan het niet goed in- en uitloggen op bedrijfssystemen en het opschrijven of hergebruiken van wachtwoorden. Of aan het gebruik van ongeautoriseerde apparaten of applicaties en het niet beschermen van bedrijfsgegevens.

Nalatige insiders zijn vaak recidivisten die de beveiliging omzeilen voor meer snelheid, hogere productiviteit of gewoon uit gemakzucht.

Afleiding

Een afgeleide werknemer kan in de categorie nalatigheid vallen. Het is echter de moeite waard om dit soort bedreigingen apart te vermelden, omdat ze moeilijker te herkennen zijn.

Waar nalatige werknemers alarmbellen doen rinkelen door regelmatig de best practices op het gebied van security te negeren, kan de afgeleide insider een modelwerknemer zijn tot het moment dat hij of zij een fout maakt.

Het risico op afleiding is op dit moment wellicht groter, aangezien de meeste werknemers op afstand werken. Veel van hen doen dat voor het eerst en wisselen vaak tussen werk en persoonlijke activiteiten. Buiten de formele kantooromgeving en afgeleid door het thuisleven, kunnen ze verschillende werkpatronen hebben, meer ontspannen zijn en daardoor eerder geneigd zijn om op schadelijke links te klikken of de formele veiligheidsvoorschriften te omzeilen.

Schade

Sommige kwaadwillende insiders hebben geen interesse in persoonlijk gewin. Hun enige drijfveer is om je organisatie schade toe te brengen.

De krantenkoppen staan vol met verhalen over de verwoestende gevolgen van datalekken van Adobe, LinkedIn en Yahoo. Voor iedereen die de reputatie of omzet van een organisatie wil schaden, is er in de digitale wereld geen betere manier dan door gevoelige klantgegevens te lekken.

Insiders met deze beweegredenen zullen meestal wrok koesteren tegen je bedrijf. Het kan zijn dat er niet naar hen is gekeken bij een salarisverhoging of promotie, of dat ze recentelijk disciplinair zijn gestraft.

Spionage en sabotage

Kwaadwillende insiders werken niet altijd alleen. In sommige gevallen geven zij informatie door aan een derde partij, zoals een concurrent of een land.

Dergelijke gevallen vallen meestal onder spionage of sabotage. Dit kan betekenen dat een concurrent een mol in je organisatie plaatst om intellectuele eigendommen, R&D of klantinformatie te verkrijgen en zo een concurrentievoordeel te behalen. Of dat een land op zoek is naar overheidsgeheimen of geheime informatie om een ander land te destabiliseren.

Dergelijke gevallen nemen de laatste jaren toe. Hackers en spionnen uit Rusland, China en Noord-Korea zijn regelmatig namens concurrerende bedrijven of hun eigen landen betrokken bij aanvallen door insiders op westerse organisaties.

Van binnenuit verdedigen

Net zoals motieven de methode kunnen beïnvloeden, zo bepalen zij ook de juiste reactie. Een effectief afschrikmiddel tegen nalatigheid zal vermoedelijk niet helpen om toegewijde en bekwame insiders ontmoedigen om je organisatie schade te berokkenen.

Dat gezegd hebbende, de basis voor elke verdediging wordt gevormd door uitgebreide controles. Je moet volledige zichtbaarheid hebben op je netwerken. Wie bevinden zich op het netwerk en tot welke data hebben zij toegang? Deze controles moeten worden gebruikt om alleen gebruikers met veel privileges toegang tot gevoelige informatie te geven en om de overdracht van data uit bedrijfssystemen te beperken.

Vanaf deze brede basis kun je vervolgens meer lagen toevoegen om specifieke bedreigingen tegen te gaan. Om je organisatie bijvoorbeeld te beschermen tegen ontevreden werknemers, kunnen er filters op bedrijfscommunicatie worden toegepast om risicovol taalgebruik te signaleren. Of er kunnen specifieke controles worden toegepast op personen die een verhoogd risico lopen, zoals personen die gestraft zijn of die het bedrijf binnenkort zullen verlaten.

Tot slot moeten bij elke succesvolle verdediging tegen insider threats je medewerkers centraal staan.

Je moet een sterke veiligheidscultuur creëren. Dit betekent dat alle gebruikers zich bewust moeten zijn van hoe hun gedrag onbedoeld je organisatie in gevaar kan brengen. Iedereen moet weten hoe hij of zij in een vroeg stadium potentiële bedreigingen kan herkennen, wat de oorzaak ook moge zijn. En iedereen moet zich bewust zijn van de ernstige gevolgen van het opzettelijk in gevaar brengen van de organisatie.

Jim Cox, Area Vice President Benelux bij Proofpoint

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in