Het gewicht van ‘insider threat’ in enterprise cybersecurity

Veel is gemaakt van de veelheid van buiten veiligheidsrisico’s en kwetsbaarheden waarmee ondernemingen worden geconfronteerd, en terecht.

Dat gezegd hebbende, zien veel organisaties misschien hun potentieel meest schadelijke dreiging over het hoofd: hun werknemers en andere vertrouwde insiders.

Of het nu opzettelijk of onopzettelijk is, risico van binnenuit en bedreiging van binnenuit komen in vele vormen en hebben schadelijke gevolgen – en in dit postpandemische tijdperk dat wordt gekenmerkt door economische onzekerheid en personeelsverloop, nemen ze toe.

EEN 2022 kosten van onderzoek naar bedreigingen door insiders door Ponemon Institute [subscription required] ontdekte dat door insiders geleide cyberbeveiligingsincidenten de afgelopen twee jaar met 44% zijn toegenomen, waarbij de gemiddelde jaarlijkse kosten van bekende insider-geleide incidenten met meer dan een derde zijn gestegen tot $ 15,38 miljoen.

Dit is op veel fronten nadelig, omdat uiteindelijk “het intellectuele eigendom van een bedrijf een cruciaal goed is”, aldus Paul Furtado, vice-president-analist bij Gartner. “De verspreiding van die informatie naar externe partijen of concurrenten kan een materieel effect hebben op de inkomsten van een bedrijf”, zei hij, “of kan een negatieve invloed hebben op hun merk.”

Of mogelijk nog erger.

Wat houdt insider risk en insider threat in?

De termen “insider risk” en “insider threat” worden vaak door elkaar gebruikt, maar ze zijn verschillend.

Insider-risico verwijst naar iedereen die verbonden is met de systemen van een bepaald bedrijf. Of het nu een werknemer, opdrachtnemer of derde partij is, als ze geautoriseerde toegang hebben of hebben gehad, vormen ze een risico. Ze hebben het potentieel om te handelen op een manier die een organisatie negatief kan beïnvloeden, of dat nu kwaadwillig of onopzettelijk is, aldus Furtado.

“Als we kijken naar insiderrisico, kijken we naar 100% van de aangesloten werknemers/aannemers die toegang hebben tot de gegevens van de organisatie”, legt hij uit.

Een insider-dreiging verwijst daarentegen naar intentie – dat wil zeggen, specifieke gebruikers die geïsoleerde handelingen plegen en worden gemotiveerd door kwaadaardige doelen. Bijvoorbeeld een vertrekkende werknemer die bedrijfseigen bedrijfsgegevens meeneemt wanneer hij vertrekt, of een ontevreden werknemer die belangrijke of gevoelige informatie verwijdert van een bedrijfsserver of cloudaccount.

“De beste manier om het te beschrijven is dat elke insider-dreiging begon als een insider-risico, maar niet elk insider-risico wordt een insider-dreiging”, legt Furtado uit.

Voorbeelden van regelrechte dreiging van binnenuit zijn spionage, fraude, diefstal van gevoelige gegevens, opzettelijke vernietiging, beschadiging of belemmering (sabotage) of samenspanning met – of druk van – derden.

Het lekken van gevoelige gegevens van een bedrijf kan ook heel vaak onbedoeld zijn – door een ongeluk (het sturen van een e-mail naar de verkeerde ontvanger), onvoorzichtigheid of andere nalatigheid. Evenzo kunnen de referenties van werknemers worden aangetast als gevolg van uitbuiting van buitenaf.

Importeer geen risico’s of bedreigingen van binnenuit

Het gaat ook twee kanten op, benadrukte Furtado. Wanneer een bedrijf een werknemer in dienst neemt, kunnen alle gegevens die nieuwe medewerkers met zich meebrengen, leiden tot wettelijke aansprakelijkheid. Als een ingenieur bijvoorbeeld wordt ingehuurd van een concurrent en prototype-informatie van die concurrent binnenbrengt, kan zijn nieuwe werkgever aansprakelijk worden gesteld voor het accepteren en gebruiken van eigendomsgegevens.

EEN gegevensblootstellingsrapport van cyberbeveiligingssoftwarebedrijf Code42 [subscription required] geeft de frequentie van dergelijke informatieoverdracht aan: 63% van de werknemers zegt dat ze gegevens van hun vorige werkgever hebben meegebracht voor gebruik in hun huidige baan. Evenzo gaf 71% van de organisaties aan niet op de hoogte te zijn van de hoeveelheid gevoelige gegevens die hun vertrekkende werknemers doorgaans met zich meebrengen.

Uiteindelijk komt het neer op de menselijke natuur, zegt Carolyn Duby, field CTO bij Cloudera, een hybride datasoftwareplatform. “Het maakt niet uit hoeveel technologie wordt toegepast om een ​​infrastructuur te beveiligen, er zullen altijd risico’s verbonden zijn aan het gedrag van mensen”, zei ze. “Menselijk gedrag is vaak de zwakste veiligheidsschakel.”

Bijdragende factoren

Hoewel insiderrisico’s en insiderbedreigingen al geruime tijd een groot probleem vormen voor ondernemingen – en dit lang vóór het huidige digitale tijdperk – zijn ze alleen maar vaker voorgekomen te midden van de zogenaamde ‘digitale revolutie’. Gegevens worden met de dag meer en meer verzameld en zijn van onschatbare waarde voor ondernemingen – maar tegelijkertijd vergroten ze hun kwetsbaarheid.

Dit is in het afgelopen jaar of zo verergerd te midden van de COVID-19-pandemie en de daaropvolgende Geweldig ontslag (of “Big Quit” of “Great Reshuffle”), een fenomeen dat begon in de VS en sindsdien wereldwijd is gegaan.

Het is algemeen bekend dat de grootste uittocht van werknemers ooit in 2021 plaatsvond. Alleen al in november 2021, bijna 4,5 miljoen mensen in de VS nam vrijwillig ontslag en vestigde een absoluut maandelijks record.

Deze mobiliteit van mensen is vermengd met de abrupte verschuiving – in sommige gevallen van de ene op de andere dag – naar werken op afstand. Dit alles heeft geleid tot “een perfecte storm voor gevoelige gegevens om organisaties te verlaten”, zei Furtado.

In veel gevallen waren organisaties niet bereid om over te stappen naar een extern personeelsbestand op de schaal die nodig was, benadrukte hij. Daarnaast is de zichtbaarheid van de beveiliging in een kantooromgeving sterk verminderd in de wereld van externe werkomgevingen.

“Als ze zich op hun gemak voelen in hun eigen ruimte en wetende dat er niemand over hun schouder meekijkt of naast hen zit, voelen (werknemers) zich misschien gesterkt om hun netwerk te ‘verkennen’ op zoek naar gevoelige informatie”, zegt Furtado.

Duby was het ermee eens: “Als je op afstand werkt, ben je minder verbonden, toch? Er is minder toezicht.”

Het kan ook zijn dat werknemers gewoon op zoek zijn om hun werk gemakkelijker te maken – en zo hun organisatie onbewust in gevaar brengen – door gevoelige gegevens te downloaden naar niet-zakelijke apparaten of niet door het bedrijf goedgekeurde apps.

Een vergelijkbare factor is de opkomst van BYOD (bring your own devices). Volgens TechPro Research, 59% van de organisaties BYOD oefenen. En volgens Microsoft-onderzoek gebruikt 67% van de werknemers hun eigen apparaten op het werk.

Experts wijzen erop dat dit het aanvalsgebied voor cybercriminelen alleen maar heeft vergroot en tegelijkertijd een veelvoud aan gegevenssilo’s heeft gecreëerd die ver buiten de controle van een organisatie liggen.

Dan is er het algemene opdrogen van fraudemogelijkheden elders. Er zijn bijvoorbeeld naar schatting miljarden dollars gestolen uit hulpprogramma’s te midden van COVID-19. Maar nu de pandemie afneemt en regeringen optreden tegen fraudeurs, “beginnen mensen die de oogst binnenhalen in COVID-land hun aandacht nu op andere gebieden te richten”, zei Duby.

Basisprincipes van beleid en procedures

Geen enkel bedrijf is immuun voor dreiging van binnenuit – dus het is essentieel dat ze alles doen wat ze kunnen om zichzelf te beschermen, waarschuwen experts.

De eerste, meest elementaire maar essentiële beschermingslaag is de ontwikkeling van een formeel risicobeheerprogramma voor insiders, zei Furtado. Dit moet duidelijk beleid en regels vaststellen en schetsen rond gegevens, gegevensverwerking en wat werknemers, contractanten en andere insiders kunnen – en belangrijker nog, niet – met gegevens kunnen doen. En, net zo belangrijk, het moet transparant zijn en worden gecommuniceerd naar iedereen in de organisatie.

“Dit is niet iets dat overhaast moet worden”, benadrukte Furtado. “Je hebt niet de luxe om dit verkeerd te doen – de negatieve impact van een slecht uitgevoerd programma voor insider-risico’s kan verwoestend zijn voor de cultuur van een organisatie en zelfs meer risico veroorzaken als mensen vertrekken.”

Andere experts stellen voor om regelmatig dreigings- en risicoanalyses uit te voeren, doorlopende training te geven en modellen te observeren op basis van “zero trust” of “need-to-know”.

Volgens Jony Fischbein, CISO bij Check Point Software Technologies, is het opzetten van strikte, nauwgezette offboarding-oplossingen van cruciaal belang om de risico’s van insiderbedreigingen en datalekken te verminderen. Als onderdeel hiervan moeten logboeken grondig worden gecontroleerd voordat een medewerker vertrekt om ervoor te zorgen dat er geen gegevens zijn overgedragen aan een externe bron. Bovendien moeten bedrijven accounts regelmatig blijven controleren om ervoor te zorgen dat alle eerder verleende toegang is ingetrokken, zei hij.

“Dit is waar veel organisaties de neiging hebben om te vallen, vooral wanneer ze meer gefocust zijn op het nieuwe talent dat binnenkomt in plaats van op het talent dat ze laten gaan”, schreef Fischbein in een blogpost op de website van het World Economic Forum. . “Het is een van de zeldzame gevallen waarin cyberbeveiliging waar terugkijken net zo belangrijk, zo niet belangrijker is dan vooruitkijken.”

Kunstmatige intelligentie en gedragsverandering

Op handtekeningen gebaseerde detectie is geweldig voor reeds bekende bedreigingen. Maar een op gedrag gebaseerde, AI-aangedreven aanpak kan zich aanpassen aan nieuwe bedreigingen door te zoeken naar afwijkingen zoals veranderingen in het gedrag van een server of eindpuntapparaat, zei Duby.

Deze aanpak kan bedrijven in staat stellen “goede cyberbeveiligingshygiëne”-praktijken te ontwikkelen, zoals het evalueren van systeemlogboeken om verkeerde configuraties te identificeren voordat ze kwetsbaarheden worden in productieomgevingen, of het ontdekken van anomalieën zoals werknemers die toegang hebben tot systemen die geen van hun collega’s heeft.

Om al hun systemen en applicaties te begrijpen en wie toegang heeft tot wat en waarom, moeten ze altijd de gegevensstroom, gegevenspatronen en gebruikersgedrag in de gaten houden, zei Duby. En geografisch verspreide organisaties – vooral die met modellen voor werken op afstand – moeten beleidsverschillen tussen verschillende teams, regio’s en specifieke locaties kunnen beheren.

“Dit vereist meer dan technologische veranderingen”, zei ze. “Het vereist een nieuwe veiligheidscultuur.”

Vooral wanneer u vanuit huis op persoonlijke apparaten werkt, is het van cruciaal belang dat werknemers worden opgeleid om een ​​reeks eenvoudige beveiligingsfouten te voorkomen. Bijvoorbeeld een werknemer die een videogesprek voert met een whiteboard met bedrijfseigen informatie, inlogt op het werk vanaf een gedeeld apparaat en vergeet uit te loggen, of “een laptop niet afschermt tegen nieuwsgierige blikken in een café”, zei Duby.

“Het creëren van een veiligheidscultuur betekent het inbouwen van passende trainings- en bewustmakingscampagnes in dagelijkse interacties”, benadrukte Duby.

Een ‘mensgerichte’ benadering

Maar bij het bestrijden van insider-risico’s en insider-bedreigingen, kunnen bedrijven de neiging hebben om het voor de hand liggende over het hoofd te zien: fundamentele menselijke en managementvaardigheden.

Bedrijven moeten een “mensgerichte benadering volgen om werknemers bij te houden, wetende hoe ze zijn, wat ze nodig hebben – want tegenwoordig zijn de dingen moeilijk, toch?” zei Duby. “Je moet de mensen in je organisatie kennen en deze dingen voor elkaar krijgen.”

Zoals ze het uitdrukte, gaat het om goed doen door werknemers, naar hen luisteren, hen begrijpen en helpen, ervoor zorgen dat ze zich verbonden en begrepen voelen. Dit moet ook worden gecombineerd met een cultuur van open en eerlijke communicatie.

Dit is “goed, basisbeheer”, zei ze. “Eerlijk gezegd komt het gewoon neer op de basis van mensenvaardigheden.”

En hoewel het een gegeven zou moeten zijn, “kan het heel moeilijk zijn als je bij een grote onderneming komt.”

Ze onderstreepte het feit dat uitgebreide training en één-op-één opdrachten niet mogen komen in de vorm van “herhaalde doemscenario’s die werknemers uiteindelijk afwijzen.”

In plaats daarvan zouden ze een integraal onderdeel moeten zijn van de inclusie- en welzijnsactiviteiten van een bedrijf. “Omdat door uw werknemers beter te leren kennen, u potentieel risicovol gedrag kunt identificeren en aanpakken voordat er lekken optreden”, aldus Duby.

Maar uiteindelijk zullen, zelfs als organisaties goede veiligheidshygiëne toepassen, insiderrisico en insiderdreiging – en de methoden waarmee ze opzettelijk of onopzettelijk worden uitgevoerd – blijven evolueren en steeds complexer worden. Dit vereist dat bedrijven extra waakzaam zijn.

‘Ik denk dat het verhaal hier niet helemaal is geschreven,’ zei Duby. “Omdat we nu pas de effecten van de pandemie en het Grote Aftreden beginnen te zien.”