Thuiswerken is voorlopig de norm geworden. Helaas betekent dit in veel gevallen werken in een minder veilig netwerk – zoals het draadloze netwerk thuis – en gebrek aan een solide bedrijfsinfrastructuur. Thuiswerkers zijn daardoor vatbaarder voor ransomware, phishing en allerlei malware. Maar vanuit het perspectief van de organisatie is nog een andere dreiging: de eigen medewerker.
Volgens een recente studie van The Ponemon Institute is het aantal door insiders veroorzaakte cybersecurityincidenten sinds 2018 met 47 procent toegenomen. Dat rapport is van voor de komst van corona. Volgens de security-experts heeft het gedwongen thuiswerken de kwestie alleen maar verergerd. Medewerkers – collega’s dus – als hackers van de eigen organisatie? Hoe zit dat?
Illusive Networks
Een van onze redenen om met securitypartners te werken is dat zij zorgen voor meer overzicht en helpen om blinde vlekken in de beveiliging te voorkomen. Een van die partners is Illusive Networks. Ofer Isreali, de oprichter en CEO van het bedrijf, noemt drie factoren die bijdragen aan de opkomst van dreigingen van binnenuit.
- Emotionele onthechting
Thuiswerkers zien hun collega’s niet meer in het dagelijks leven waardoor een natuurlijke, psychologische onthechting tussen werknemer en bedrijf ontstaat. Wie overweegt het rechte pad te verlaten wordt daardoor niet zo snel door contact met collega’s bijgestuurd.
- Gebrek aan toezicht
Medewerkers die thuis werken hebben niemand die (figuurlijk) over hun schouder meekijkt en zullen zich eerder onbespied wanen als ze iets onaangenaams aan het doen zijn op de bedrijfssystemen.
- Financiële druk
De enorme economische impact van corona zorgt voor onzekerheid, we zien dat veel mensen hun baan verliezen. Werknemers maken zich daarover zorgen en de financiële druk leidt er toe dat sommigen het rechte pad verlaten.
Wanneer je de financiële, emotionele en opportunistische factoren combineert, gebeurt wat Israeli ook in eerdere crises zag gebeuren – denk aan de crisis van 2008: een golf van kwaadwillende insiders.
Basishygiëne
Wat kunnen we hier aan doen? Natuurlijk kan basishygiëne helpen om veel van deze veiligheidsaanvallen te voorkomen. Multifactor authenticatie kan elke toepassing op elk apparaat beschermen, en verifieert de identiteit van een gebruiker in enkele seconden – zonder te vertrouwen op één wachtwoord. Ook een VPN-gebaseerd netwerk is natuurlijk essentieel. Maar de basis is niet genoeg, want zelfs als de securityhygiëne wordt nageleefd, kunnen kwaadwillende insiders nog steeds door de kieren glippen. Als ze creatief worden, moeten wij als beveiligers ook creatief worden.
Hier kunnen baanbrekende oplossingen, zoals Illusive’s ‘deceptive technology’, een rol spelen. Ze zijn in staat om echte data, referenties en connecties na te bootsen. Zodra iemand met deze ‘fake informatie’ iets wil doen wordt er direct alarm geslagen. Dit is cruciaal. Dingen veranderen zo snel dat we niet kunnen vertrouwen op de patronen van gisteren om vast te stellen wat er vandaag verdacht uitziet. Volgens Israeli wordt deterministische detectie van kwaadaardige zaken nog veel belangrijker. Dat is precies waarom misleiding een grote rol speelt. Elk signaal dat je krijgt voor deze fake informatie is verdacht.
Kwalijke business
Desondanks kan het gebeuren dat een insider data en inloggegevens te pakken krijgt. Wat dan? Hier kunnen we samen met onze partners hulp bieden, met software die op zoek gaat naar data en wachtwoorden op plaatsen zoals illegale online gemeenschappen. Er zijn ondergrondse economieën die ‘leven’ van het doorverkopen van data en inloggegevens. Deze markten zoeken naar bepaalde delen van bedrijven die geen robuuste beveiliging hebben om een manier te vinden om binnen te komen, bijvoorbeeld door met botnets te zoeken naar zaken als Remote Desktop Protocol poorten om gegevens op te halen. Deze software geeft inzicht in wanneer de aangetroffen data en credentials zijn gestolen, meestal nog voordat ze worden gebruikt voor kwaadaardige activiteiten, zodat de getroffen bedrijven nog maatregelen kunnen nemen.
De les die we steeds weer leren is dat security nooit moet vertrouwen op één enkele component. Of op één enkele technologie. Maar, zoals ik hier al vaker heb betoogd, die componenten en technologieën moeten dan wel een geïntegreerd geheel vormen. Dit, om echt effectief te kunnen zijn.
Michel Schaalje, Directeur Security Cisco Nederland
