Het gevaar van dreigingen afkomstig uit de organisatie zelf neemt toe. Organisaties hebben het bovendien moeilijk om deze bedreigingen te detecteren en aan te pakken.
De aanpak van cybercriminaliteit en risico’s van buitenaf staat bij veel ondernemingen inmiddels hoog op de agenda. Voor de gevaren vanuit de eigen organisatie is er veel minder aandacht.
Bijna 75% van de ondernemingen gelooft dat ze passende maatregelen hebben genomen om het risico van interne dreigingen te verminderen — maar meer dan 50% van de ondernemingen heeft afgelopen 12 maanden te maken gehad met een incident afkomstig uit de organisatie zelf.
Crowd Research Partners, 2018 Insider Threat Report.
Een aanzienlijk aantal CEO’s gelooft niet dat de eigen medewerkers een belangrijke bedreiging vormen. Zelfs degenen die dat wel doen, vinden het een uitdaging om interne dreigingen aan te pakken omdat daarvoor een groot aantal netelige juridische en HR-onderwerpen moet worden aangesneden. Als gevolg hiervan hebben veel organisaties op dit gebied weinig gedaan. Terwijl het aantal en soorten insider threats alsmaar toeneemt.
Wat zijn insider threats?
Insiders verwijzen doorgaans naar mensen (werknemers, voormalige werknemers, consultants, zakenpartners en andere derde partijen) die toegang hebben of hadden tot gegevens, informatiesystemen of faciliteiten van de organisatie. Hun onbewuste, bewuste of zelfs opzettelijke handelingen kunnen een aanzienlijke bedreiging vormen voor de organisatie.
Alle organisaties zijn kwetsbaar voor bedreigingen van medewerkers of derde partijen die geautoriseerde toegang tot faciliteiten, gegevens of processen kunnen gebruiken om de onderneming te schaden — opzettelijk of onopzettelijk.
Over het algemeen zijn er drie veel voorkomende soorten insider threats:
1. Onopzettelijk – waarbij een medewerker niet bewust is dat deze iets onjuist doet of zijn rechten gecompromitteerd zijn en geen motief heeft om kwaad te doen of schade toe te brengen.
2. Nalatig – waarbij een medewerker bewust processen of regels niet volgt of zijn rechten misbruikt maar geen motief heeft om kwaad te doen.
3. Kwaadwillend – waarbij een medewerker of derde partij opzettelijk niet-integer handelt en een motief heeft om kwaad te doen of schade toe te brengen.
De motivatie varieert waarbij er niet altijd sprake hoeft te zijn van kwade opzet. Doorgaans zijn de volgende insiders te herkennen die een bedreiging kunnen vormen:
- Onachtzame medewerkers die onbewust faciliteiten of gegevens onjuist gebruiken, processen of regels niet volgen, een software update niet uitvoeren of per ongeluk in een phishingmail trappen.
- Gecompromitteerde medewerkers die niet weten dat hun toegangs- of gebruikersrechten in handen van onbevoegden zijn gevallen.
- Nalatige medewerkers die bewust faciliteiten of gegevens misbruiken, ongeautoriseerde applicaties installeren (shadow IT), updates niet uitvoeren, processen omzeilen, beleid negeren of regels niet volgen – maar niet het motief hebben om daarmee kwaad te willen doen.
- Ontevreden werknemers die uit ongenoegen proberen hun organisatie schade toe te brengen, gegevens zonder toestemming meenemen of vernietigen, bedrijfsactiviteiten verstoren of fraude plegen.
- Bedrijfsspionnen of saboteurs die door externe partijen zijn gerekruteerd, gevraagd of omgekocht om middelen of gegevens te stelen, te saboteren of schade toe te brengen.
- Kwaadwillende werknemers of derden die opzettelijk bestaande rechten gebruiken om toegang te krijgen tot informatie of faciliteiten voor persoonlijk of financieel gewin.
Insider threats kunnen veel verschillende vormen aannemen, inclusief vernietiging en manipulatie van gegevens en middelen (digitaal en fysiek), fraude, handel met voorkennis, spionage en diefstal van intellectueel eigendom, handelsgeheimen of persoonlijke informatie.
Detectie moeilijk
Het detecteren van interne dreigingen wordt alsmaar moeilijker. Dat heeft verschillende redenen.
Insiders kennen veelal de netwerkomgeving en het (beveiligings)beleid van de organisatie en hebben vaak al toegang tot gevoelige informatie of assets. Ze hebben geldige gebruikersrechten of kunnen heimelijk gebruikmaken van geautoriseerde toegangsrechten tot kritieke systemen en deze doorzoeken zonder dat er rode vlaggen voordoen.
Ook neemt het gebruik van apps die gegevens kunnen lekken toe, verlaten gegevens vaker de bedrijfsomgeving, zijn meer apparaten in het netwerk aanwezig die data kunnen stelen en wordt gevoelige informatie in clouddiensten bewaard.
Het gevolg is dat interne aanvallen maanden of zelfs jaren kunnen doorgaan voordat ze worden ontdekt.
Insider threats managen
Het opsporen, onderzoeken en mitigeren van insider risico’s vereist een andere aanpak in vergelijking met het managen van externe risico’s.
Organisaties moeten in de eerste plaats in kaart brengen wat hun assets of kroonjuwelen zijn en wie er allemaal toegang tot heeft. Het bestrijden van insider threats vraagt om een brede aanpak, waarbij zowel IT, Security, Risk, Compliance, Legal en HR worden betrokken.
Het toepassen van technologie voor het voorkomen van gegevensverlies, beveiligingssoftware of cybersecurityprogramma’s is niet voldoende. Organisaties moeten hun verdediging op de juiste manier opschalen om insider risico’s te identificeren, op te sporen, te onderzoeken en te beperken voordat ze zich voordoen of schade veroorzaken.
Zij moeten op dit gebied in ieder geval:
- Het juiste niveau van betrokkenheid van leiderschap hebben;
- Een op risico gebaseerde prioritering hebben van welke assets en kroonjuwelen gecontroleerd en beschermd moeten worden;
- Geïntegreerde risicobeheersingsprocessen en interne controle maatregelen implementeren met duidelijke en geteste rollen, verantwoordelijkheden en beleid om de juiste stappen mogelijk te maken wanneer ongebruikelijk gedrag wordt vastgesteld.
Gezien de groeiende dreiging van insiders is het cruciaal voor organisaties om een effectief insider threat programma te implementeren. De weg naar succes is om klein te beginnen, met een focus op de gebieden met het hoogste risico, en nu te beginnen, omdat organisaties het zich gewoon niet kunnen veroorloven de dreiging te negeren.
Zo kunnen wij u helpen
Ethicly helpt u graag verder met het identificeren van insider threats en met het voorkomen, opsporen, onderzoeken en oplossen van ongewenst gedrag. Wij bieden gespecialiseerde diensten aan voor het managen van integriteit en compliance en het bevorderen van ethisch, integer en transparant handelen.
Als gecertificeerd onderzoeksbureau heeft u met Ethicly ingeval van wangedrag de zekerheid van betrouwbaar en bekwaam onderzoek. Doordat ons onderzoek genormeerd is kunt u onze bevindingen als objectief feitenrelaas en/of bewijsmateriaal inzetten voor het nemen van vervolgstappen, disciplinaire acties of bij juridische procedures.
Neem vrijblijvend contact met ons op voor meer informatie.