Er is een groeiend probleem in de kern van de cyberbeveiliging van ondernemingen. Het zijn geen schimmige cybercriminelen of door de staat gesteunde hacktivisten. Het is niet de ondoorgrondelijke complexiteit van de moderne IT-omgeving. Het is de hulpbron waar geen enkele organisatie zonder kan: haar mensen.

Think een studieInbreuken veroorzaakt door insiders kosten vandaag de dag gemiddeld $16.2 miljoen – een stijging van 40% ten opzichte van vier jaar geleden. Toch geven dezelfde organisaties jaarlijks slechts 3.2 miljoen dollar uit om het probleem op te lossen. Er moet iets veranderen.

Hoe ernstig is de insiderdreiging?

Insiderrisico kan vele vormen aannemen. Dat DTEX-onderzoek deelt ze in drie categorieën in:

  • Kwaadwillende insiders, zoals ontevreden werknemers die het bedrijf waarvoor ze werken, willen schaden. Voor grotere of strategisch belangrijke bedrijven kan dit zelfs bedrijfsspionnen of staatsactoren omvatten
  • Individuen die te slim af zijn door phishing of andere tactieken, waardoor hackers hun accounts kunnen kapen en meer
  • Nalatige insiders die beveiligingswaarschuwingen negeren en systemen verkeerd kunnen configureren

 

Volgens het rapport is dit het derde risicotype dat organisaties waarschijnlijk het meest kost. Maar over het algemeen zijn insider threats vaak moeilijker te detecteren dan die van buiten de organisatie – vooral als er kwaadaardige bedoelingen bij betrokken zijn. En dat kan extra tijd, moeite en kosten met zich meebrengen om ze te verhelpen. Volgens IBM duurde het vorig jaar gemiddeld 308 dagen om kwaadaardige insider-inbreuken te identificeren en te beheersen. En ze kostten gemiddeld $ 4.9 miljoen – 9.6% meer dan de wereldwijde kosten van alle inbreuken.

Gevallen lijken steeds vaker in het nieuws te verschijnen. In februari is het voortgekomen dat een voormalige gemeenteambtenaar in Groot-Brittannië de e-mailadressen van 79,000 inwoners heeft gestolen met als doel een nieuw bedrijf te promoten. Aan de andere kant van de Atlantische Oceaan, Verizon werd gedwongen betrokken personen op de hoogte te stellen nadat een insider een dossier met informatie over meer dan 63,000 werknemers “op ongepaste wijze had behandeld”. En de overheid heeft dat gedaan heeft een voormalige Google-medewerker aangeklaagd met diefstal van bedrijfsgeheimen.

Zijn bedreigingen van binnenuit waarschijnlijker?

Er zijn een aantal redenen waarom CISO's zich zorgen zouden moeten maken. De eerste is thuiswerken. Sinds de pandemie is het een vast onderdeel geworden van veel organisaties. Sommigen zeggen Groot-Brittannië is nu de thuiswerkhoofdstad van Europa. Maar als u niet op kantoor bent, kan dit ook het risico op opzettelijk wangedrag of nalatigheid met zich meebrengen. Enerzijds kan het mogelijkheden bieden om met gevoelige data aan de slag te gaan. Aan de andere kant zeggen thuiswerkers wel eens dat ze meer zijn waarschijnlijk risico’s nemen of in strijd zijn met het veiligheidsbeleid, dan wanneer ze op kantoor zouden zijn.

De tweede risicofactor is de crisis in de kosten van levensonderhoud. Naarmate de financiële druk op werknemers toeneemt, zijn zij wellicht meer bereid risico’s te nemen voor persoonlijk gewin. Een peiling uit februari van een non-profitorganisatie voor fraudepreventie Cifas onthult dat 54% van de Britse bedrijven zich zorgen maakt over het feit dat hun personeel het doelwit is van cybercriminelen, bijvoorbeeld om gevoelige informatie vrij te geven in ruil voor contant geld. Ruim twee vijfde (42%) noemt specifiek de dreiging van binnenuit.

Soortgelijk onderzoek van Bridewell Consulting vorig jaar blijkt dat meer dan een derde (35%) van de leiders op het gebied van de kritieke nationale infrastructuur (CNI) van mening is dat de economische neergang werknemers dwingt tot gegevensdiefstal en sabotage. Het beweert dat het aantal sabotage-incidenten door werknemers bij CNI-bedrijven jaar-op-jaar met 62% is toegenomen.

Bedreigingsgroepen zoals Lapsus$ hebben dat wel gedaan openlijk toegegeven ze proberen de veiligheidsverdediging te omzeilen met de hulp van insiders bij gerichte organisaties.

Beheersing van de insiderdreiging

Jamie Akhtar, CEO van CyberSmart, vertelt ISMS.online dat organisaties, of ze nu het risico van kwaadwillige of nalatige insiders willen beperken, een vergelijkbare aanpak moeten volgen: een combinatie van praktische stappen en HR-gerichte strategieën.

“Je moet de toegang binnen je organisatie beheersen. Wat we hiermee bedoelen is dat je strikt moet zijn over welke gebruikersaccounts beheerdersrechten hebben en toegang hebben tot gevoelige gegevens”, legt hij uit.

“Pas de vuistregel toe dat niemand toegang mag hebben tot iets wat hij niet nodig heeft om zijn werk te doen. Dit betekent ook dat er een duidelijk proces moet zijn voor het offboarden en het verwijderen van de toegang voor vertrekkend personeel. Te vaak worden inbreuken veroorzaakt door medewerkers die geen toegang zouden moeten hebben tot gevoelige informatie.”

Dit moet gepaard gaan met verbeterde cyberbeveiligingstrainingen om het personeel te helpen veelvoorkomende bedreigingen op te sporen en te vermijden, voegt hij eraan toe.

“Dit alles is echter allemaal voor niets als medewerkers zich ondergewaardeerd genoeg voelen om actie te willen ondernemen of simpelweg ondergesneeuwd worden. Er is immers maar één ontevreden of overwerkte medewerker nodig om een ​​beslissing te nemen die het hele bedrijf in gevaar kan brengen”, betoogt Akhtar.

“Bedrijven moeten praktische veiligheidsmaatregelen treffen, maar ze moeten ook empathie en steun tonen voor werknemers.”

Tracey Carpenter, insider threat manager bij Cifas, beschrijft vijf stappen om insiderrisico's te voorkomen, toepasbaar in cybersecurity- en fraudescenario's. Zorg in de eerste plaats voor een robuust screeningbeleid vóór indiensttreding. Controleer vervolgens eventuele hiaten in de controles en dicht deze.

“Als een werknemer de motivatie heeft om frauduleus gedrag te plegen of zijn oneerlijke gedrag kan rationaliseren, kunnen ze deze gaten in de controles aanpakken en exploiteren”, vertelt ze aan ISMS.online

Organisaties moeten er ook aan denken proactief te zijn, en niet reactief, zegt ze. Dat betekent dat u niet hoeft te vertrouwen op personeel of klanten om gevallen van potentieel oneerlijk gedrag van werknemers te signaleren. Denk er ook aan om controles uit te voeren gedurende de hele levenscyclus van een werknemer, gedurende welke tijd het risicoprofiel van een werknemer kan veranderen. En ten slotte: werk samen door waar mogelijk informatie over dreigingen te delen, zegt ze.

Hoe ISO 27001 kan helpen

Best practice-normen zoals ISO 27001 kunnen ook helpen. ISO 27001 schrijft cyberbeveiligingstrainingsprogramma's voor personeel voor, die het bewustzijn over de noodzaak van een veiligheidscultuur zouden helpen vergroten. Het vereist ook regelmatige evaluaties van beleid en procedures.

“ISO27001 omvat een vereiste voor voortdurende beoordeling om ervoor te zorgen dat de risico's (inclusief bedreigingen van binnenuit) voor een organisatie voortdurend worden gemonitord en dat beperkende controles worden geïmplementeerd en stapsgewijs worden verbeterd”, legt Akhtar van CyberSmart uit.

“Dit helpt bij het omgaan met bedreigingen van binnenuit, omdat het bedrijven helpt bij het opzetten van de processen en praktische stappen om deze tegen te gaan. Bovendien moedigt het organisaties aan om na te denken over de dreigingen van insiders en hoe ze hun beveiligingsmaatregelen voortdurend kunnen verbeteren.”

Cyberbeveiligingsnormen en -schema's houden echter van Cyberbenodigdheden kunnen organisaties alleen zo ver krijgen. Ze moeten ook rekening houden met de onderliggende oorzaken van insiderrisico. Dat kan een fundamentele herwaardering van de bedrijfscultuur vereisen.

“Fraude is een zaak van iedereen”, besluit Carpenter van Cifas. Een organisatie die trainingen op het gebied van fraudepreventie omarmt en zich inzet voor het opbouwen en ontwikkelen van een fraudebestrijdingscultuur is beter toegerust om niet alleen de groeiende dreiging van binnenuit aan te pakken, maar ook haar personeel, klanten en bredere belanghebbenden te beschermen.”