Hoewel we zien dat organisaties zich steeds beter beschermen tegen cyberdreigingen van buitenaf, zien we dat er nog te weinig actie wordt ondernomen tegen bedreigingen van binnenuit. We noemen deze bedreigingen ook wel insider threats. Dergelijke cyberdreigingen kunnen zowel onopzettelijk als opzettelijk plaatsvinden. Bij een onopzettelijke insider threat kun je bijvoorbeeld denken aan een werknemer die per ongeluk een klantendatabase stuurt naar een verkeerd emailadres. Bij een opzettelijke insider threat gaat het bijvoorbeeld over een ontslagen werknemer die bewust een klantendatabase lekt.
Om insider threats te voorkomen is het ten eerste belangrijk om in kaart te brengen wie tot wat toegang heeft tot bepaalde netwerken, systemen en vertrouwelijke gegevens. Breng vervolgens de risico’s in kaart en ontwikkel een plan, waarin staat wat er moet gebeuren om deze risico’s zo goed mogelijk in te dammen. Zorg er ook voor dat er een beveiligingsbeleid wordt opgesteld, zodat alle interne stakeholders weten hoe ze moeten omgaan met alle data, systemen en netwerken. Definieer, documenteer en verspreid dit beveiligingsbeleid. Dit voorkomt onduidelijkheid en legt de juiste basis voor handhaving. Geen enkele werknemer, aannemer, verkoper of partner mag enige twijfel hebben over wat acceptabel gedrag is als het gaat om de security. Ze moeten hun verantwoordelijkheid kennen, zodat bevoorrechte informatie niet bij onbevoegde partijen terecht komt.
Insider threats kunnen ook voortkomen uit menselijke fouten of nalatigheid. Het is daarom belangrijk om medewerkers goed te trainen, zodat ze op de hoogte zijn van de risico’s en weten waar ze op moeten letten. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur. Een training, zoals de G DATA Security Awareness Training, is hier ideaal voor. Om medewerkers die meer instructies nodig hebben te ondersteunen, kan er bijvoorbeeld iemand worden aangesteld binnen het bedrijf. Hierdoor is er ruimte om vragen te stellen en samen te werken aan een veilige werkomgeving. Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren, zodat kan worden vastgesteld of de inspanningen effect hebben gehad. Bovendien is het belangrijk om tijdens het traject aan medewerkers duidelijk te maken dat het melden van menselijke fouten (gemaakt door collega’s) niet slecht is, gezien het noodzakelijk is voor de cyberveiligheid van de organisatie.
Daarnaast is het detecteren van insider threats middels solide technologie ook belangrijk. Zorg daarom altijd voor de juiste mix van beveiligingsoplossingen en wees er zeker van dat al je apparaten volledig geüpdatet en gepatched zijn. Moderne security oplossingen werken met intelligente mechanismen zoals heuristiek, gedragsanalyse en een exploitbeveiliging. Definieer daarnaast per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Uitgebreide toegangsrechten moeten alleen worden gegeven aan medewerkers die dit nodig hebben. Door toegangsrechten per medewerker te beperken en te bepalen, voorkom je dat mensen binnen en buiten je bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk niet nodig hebben. Overweeg daarnaast ook software die interne activiteiten van gebruikers kunnen volgen. Dergelijke oplossingen kunnen volgen hoe gebruikers zich bewegen door het netwerk. Als er vervolgens afwijkend gedrag plaatsvindt, zoals het downloaden van gevoelige gegevens naar een externe harde schijf, kan de IT afdeling onmiddellijk onderzoek verrichten of het gedrag legitiem is of niet.
Hoewel bovenstaande maatregelen insider threats kunnen voorkomen, zijn het geen wondermiddelen. Daarnaast zijn insider threats niet alleen van toepassing op grote organisaties. Ook KMO bedrijven hebben waardevolle bezittingen, zoals gevoelige informatie of financiële middelen, die beschermd moeten worden. Aan de andere kant zullen organisaties medewerkers ook het vertrouwen moeten geven om toegang te krijgen tot deze waardevolle bezittingen, omdat het de basis vormt voor een gezonde en succesvolle werkrelatie. Kortom, controle is noodzakelijk maar organisaties zullen eerst goed moeten nadenken welke maatregelen acceptabel zijn om insider threats te voorkomen. Het is immers niet de bedoeling om als ‘big brother’ op te treden.
Dirk Cools, Country Manager BeLux en Frankrijk bij G DATA CyberDefense
