Ongeacht de grootte of de sector, alle organisaties lopen het risico te worden getroffen door een cyberaanval. Dit kan leiden tot het lekken van data, diefstal en een slechtere dienstverlening. Externe factoren – buitenstaanders die proberen in te breken in de systemen van een organisatie – worden algemeen beschouwd als de belangrijkste bedreiging. Wat organisaties echter vaak vergeten is dat medewerkers en partners evenveel schade van binnenuit kunnen aanrichten. Of het nu gaat om kwade opzet of nalatigheid, de resultaten kunnen even desastreus zijn.
Insiders hebben altijd voordelen ten opzichte van externe actoren die de veiligheid proberen te omzeilen. Zij genieten vaak vertrouwen en privileges, evenals kennis van het beleid, de processen en de procedures van de organisatie. Ook weten zij wanneer logging, monitoring en auditing worden gebruikt om verdachte gebeurtenissen en gedrag op te sporen. Dit kan het moeilijk maken voor organisaties legitieme en malafide activiteiten te scheiden.
Er zijn vijf belangrijke soorten interne dreigingen waar organisaties op moeten letten:
1 De onzorgvuldige werknemer
De onzorgvuldige medewerker is een van de moeilijkere gevaren om je tegen te verdedigen. Dit komt vooral omdat hun acties het gevolg kunnen zijn van een fout, het onbewust misbruik maken van activa en referenties of het verkeerd omgaan met gegevens. Andere veelvoorkomende scenario’s zijn schaduw-IT. Dit, wanneer medewerkers ongeautoriseerde applicaties of apparaten installeren of invoeren in het netwerk van een bedrijf zonder de kennis van IT of beheer. Ze zijn ook vaak het slachtoffer van phishingaanvallen via e-mail of het doorklikken naar nepwebsites.
Soms gaan onzorgvuldige medewerkers de mist in door persoonlijke informatie via e-mail naar de verkeerde ontvanger te verzenden of persoonlijke informatie onbedoeld vrij te geven of te publiceren.
2 De interne tussenpersoon
Interne tussenpersonen werken meestal namens een externe partij en stelen daar in het geheim informatie voor. Ze worden vaak gerekruteerd, aangemoedigd of omgekocht om gegevens te onttrekken als zij wraakgevoelens tegen de organisatie koesteren en in financiële problemen zitten. Het gedrag van interne betrokkenen kan moeilijk op te sporen zijn wanneer zij hun ware bedoelingen verbergen en hun acties lastig te onderscheiden zijn van legitieme activiteiten. Wanneer ze bijvoorbeeld een USB-stick op een computer aansluiten, kan dit in principe een legitieme actie zijn. Maar ze kunnen op deze manier ook ongeautoriseerde programma’s uitvoeren en de veiligheidscontroles omzeilen.
3 De ontevreden werknemer
Ontevreden werknemers zijn niet alleen boos. Ze zijn potentieel gevaarlijk, zelfs als ze niet hun toevlucht nemen tot fysiek geweld. Sommigen kunnen zich wenden tot cybercriminaliteit, waaronder het stelen van informatie, het vernietigen van eigendommen, systemen of gegevens en het verstoren van de bedrijfsvoering. Zulke incidenten kunnen zich bijvoorbeeld voordoen wanneer details over aanstaande ontslagen uitlekken, waardoor de betrokken werknemers de mogelijkheid krijgen om hun bestaande toegangsrechten te gebruiken om vertrouwelijke bedrijfsbestanden te downloaden. Die bestanden kunnen ze verspreiden of gebruiken als een onderhandelingstroef.
4 De kwaadwillende insider
Vaak moeilijk te detecteren omdat ze hun ware gevoelens verbergen. Dit type medewerker heeft toegang tot bedrijfsmiddelen en systemen, servers, netwerken en organisatiedomeinen. Ze gebruiken deze bestaande privileges om bedrijfsinformatie te stelen voor persoonlijk gewin. Een kwaadwillige insider handelt meestal alleen en kan een huidige of voormalige werknemer, aannemer of zakenpartner zijn. Ze kunnen ook de inlog-gegevens van collega’s stelen om ongeautoriseerde toegang te krijgen tot het netwerk, het systeem of de gegevens van een organisatie.
5 De onzorgvuldige derde partij
De onzorgvuldige derde is een bedreiging met toegang tot interne systemen. Hij brengt door nalatigheid, misbruik of kwade opzet de veiligheid van de organisatie in gevaar. Deze partijen kunnen bijvoorbeeld gegevens onttrekken door het netwerkverkeer van een organisatie om te leiden naar een onbekend, offshore IP-adres. Aanvallen als deze kunnen moeilijk op te sporen zijn. Tenzij organisaties hun systeemgedrag in de gaten houden om te begrijpen hoe dit er “normaal” uit moet zien.
Werknemers zijn de eerste verdedigingslinie voor organisaties om incidenten te bestrijden. Regelmatige bewustwordingstrainingen voor nieuwe en ervaren werknemers en het management zijn van cruciaal belang. Daarin moet centraal staan wat wel en wat niet acceptabel gedrag is. Elke nieuwe werknemer zou zo’n training op de eerste werkdag moeten volgen.
De training moet betrekking hebben op beveiligingsbeleid en -procedures, wat aanvaardbaar gebruikersgedrag is, hoe potentiële beveiligingsrisico’s te herkennen zijn en wat de gevolgen zijn van ongeautoriseerde of kwaadaardige activiteiten. De training moet volledig worden ondersteund door het management en het bijwonen of afronden van deze trainingssessies moet verplicht zijn.
Het is ook verstandig om de toegang tot gevoelige bedrijfsinformatie te controleren en werknemers toegangsrechten te geven op een ‘need-to-know’-basis. Bovendien helpt het om het systeemgedrag op basisniveau in de gaten te houden en te begrijpen wat al dan niet normaal gedrag is. Verder kan een IT-beheerproces dat de toeleveringsketens van hardware controleert bijdragen tot een vermindering van de potentiële risico’s.
David van den Berg, Associated Director bij Verizon Benelux
