Recentelijk heeft het Ponemon Institute een onderzoek onder organisaties uitgevoerd naar het risico op insider threats. Belangrijkste bevinding: het kost een organisatie gemiddeld miljoenen euro’s wanneer ze te maken hebben met een cybersecurity incident dankzij insider threats. Daarom is het belangrijk om goed te begrijpen wat insider threats zijn, hoe zij geïdentificeerd kunnen worden binnen organisaties en welke best practices gevolgd kunnen worden om dit risico te beperken.
De belangrijkste bevindingen van het onderzoek zijn hieronder samengevat:
- €15.3 miljoen gemiddelde jaarlijkse kosten van het insider threat risico per organisatie (40% gestegen sinds 2019);
- Gemiddeld duurt het 86 dagen om een cybersecurity incident dankzij een insider te beheersen;
- Slechts 8,2% van de jaarlijkse securitybudgetten wordt besteed aan insider risk management;
- Van deze 8,2% is 91,2% bestemd voor activiteiten na incidenten.
Deze bedreigingen, beter bekend als ‘insider threats’, hebben de capaciteit om van binnenuit grote schade aan te richten. Ze kunnen variëren van onbedoelde acties van goedbedoelende medewerkers tot doelbewuste en kwaadwillige handelingen van interne en externe actoren. Het is van daarom belangrijk dat organisaties begrijpen dat insider threats niet slechts een theoretisch concept zijn, maar een alledaagse realiteit vormen voor organisaties van elke omvang en sector. De vertrouwelijke gegevens, bedrijfskritische informatie en reputaties die op het spel staan, vragen om een doortastende en doorlopende aanpak.
De verschillende types insider threats
Insider threats vormen een veelzijdige categorie van beveiligingsrisico’s die dus afkomstig zijn van personen binnen een organisatie of die nauw verbonden zijn met deze organisatie. Deze bedreigingen kunnen zich uiten in verschillende vormen, waaronder:
- Kwaadwillige insiders
Kwaadwillige insiders zijn personen die met opzet schade willen toebrengen aan een organisatie. Dit kunnen voormalige werknemers zijn met een wrok, huidige medewerkers die betrokken zijn bij frauduleuze activiteiten, of zelfs externe partijen die ongeoorloofde toegang hebben verkregen tot de systemen van de organisatie. Hun motieven variëren, van financieel gewin tot wraak, en hun acties kunnen aanzienlijke gevolgen hebben voor de veiligheid en de reputatie van de organisatie. - Onopzettelijke insiders
De onopzettelijke insiders bestaan uit personen die in de basis geen kwaad in de zin hebben, maar toch onbedoeld een beveiligingsrisico vormen. Dit kan het gevolg zijn van onvoldoende training, onbewuste fouten of nalatigheid. Denk bijvoorbeeld aan het per ongeluk delen van gevoelige informatie via e-mail of klikken op een phishingmail waarna kwaadwillenden toegang hebben tot het interne netwerk. Het grootste deel van de cybersecurity incidenten dankzij insiders komt door de onopzettelijke insiders.
De insiders die een bedreiging vormen kunnen verschillende motivaties hebben voor hun acties. Het begrijpen van deze drijfveren is essentieel om effectieve strategieën te ontwikkelen om de gevolgen dankzij insiders te voorkomen en te beheren. Ook hier is een onderscheid in te maken tussen de kwaadwillige insiders en de onopzettelijke insiders.
- Motivaties van kwaadwillige insiders
- Financieel gewin – Eén van de meest voorkomende motivaties voor kwaadwillige insiders is financieel gewin. Dit kunnen medewerkers zijn die gevoelige bedrijfsinformatie stelen om deze te verkopen aan concurrenten of op het dark web, of personen die fraude plegen om directe financiële voordelen te behalen;
- Wraak en wrok – Soms kunnen medewerkers of voormalige medewerkers handelen uit gevoelens van wraak of wrok jegens de organisatie. Dit kan het resultaat zijn van ontevredenheid over ontslag, conflicten op de werkplek of andere persoonlijke redenen;
- Ideologische motivaties – In sommige gevallen kunnen insiders gemotiveerd zijn door ideologische overtuigingen. Dit kunnen bijvoorbeeld activisten zijn die informatie willen lekken om een politieke agenda te bevorderen, of personen die handelen uit overtuigingen met betrekking tot privacy of ethiek. Zeker in de huidige maatschappij zijn dit type kwaadwillenden, soms ook wel hacktivisten genoemd (een combinatie van hackers en activisten), een steeds groter wordend risico waar organisaties rekening mee moeten houden.
- Motivaties van onopzettelijke insiders
- Gebrek aan bewustzijn en traiing – Een groot deel van de cybersecurity incidenten als gevolg van onopzettelijke insiders komt doordat hij onvoldoende op de hoogte zijn van de (gedrags)regels binnen de organisatie en/of over onvoldoende cybersecurity kennis beschikken. Zo kunnen zij onvoldoende weten hoe zij om moeten gaan met vertrouwelijke informatie of herkennen zij phishingmails niet. Het geven van awareness trainingen is vaak een eerste stap om dit probleem te verkleinen, zo schreef CW Greenport eerder.
- Menselijke fouten – Fouten kunnen optreden als gevolg van menselijke vergissingen, zoals het per ongeluk delen van gevoelige informatie via e-mail met een externe partij of het verlies van een USB-stick met gevoelige gegevens in de trein.
- Overweldigd of gestrest zijn – In tijden van stress of een hoge werkdruk kunnen medewerkers sneller fouten maken, zoals het versturen van een e-mail naar de verkeerde ontvanger. Ook dit is een grote factor die leidt tot vele cybersecurity incidenten.
Hoe kunnen insider threats verkleind worden?
Effectieve preventie en het mitigeren (het beperken van het risico) van insider threats zijn belangrijke taken om uit te voeren om hiermee de veiligheid van een organisatie te waarborgen. CW Greenport heeft enkele best practices opgesteld die direct bijdragen aan het verkleinen van het risico. Hierbij is het belangrijk dat het implementeren van enkele of alle onderstaande best practices het risico op insider threats niet volledig elimineert, maar zorgt de combinatie van verschillende beheersmaatregelen er wel voor dat het risico aanzienlijk verkleind wordt.
- Strikte toegangsbeheerregels
Het implementeren van strikte toegangsbeheerregels zorgt ervoor dat medewerkers alleen toegang hebben tot de informatie en systemen die essentieel zijn voor hun functie. Dit beperkt het risico op fouten en misbruik. Dit artikel van CW Greenport geeft meer informatie over het belang van digitale toegangscontroles. - Least privilege principe
Vaak in één adem uitgesproken samen met toegansbeheerregels, is het zogehete principe omtrent least privilege. Het toepassen van dit principe betekent dat medewerkers alleen de minimale toegangsrechten krijgen die nodig zijn om hun taken uit te voeren. Hiervoor moet goed bedacht worden per functieprofiel welke rechten en rollen zij nodig hebben binnen de verschillende applicaties en netwerkomgevingen, om hiermee het risico op (bewust of onbewuste) fouten te verkleinen. - Beleid voor gegevensclassificatie
Een duidelijk beleid voor de classificatie van gegevens helpt bij het identificeren en beschermen van de meest gevoelige informatie binnen de organisatie. Zoals CW Greenport eerder schreef, stelt het organisaties in staat om prioriteit te geven aan de bescherming van de meest waardevolle gegevens en tegelijkertijd de efficiëntie van de beveiligingsmaatregelen te verhogen. Door informatie te categoriseren op basis van gevoeligheid, kunnen bedrijven gerichte maatregelen nemen om ongeoorloofde toegang te voorkomen en de impact van datalekken te minimaliseren. - Opleiding over insider threats
Het voorlichten van medewerkers over de risico’s van insider threats en het herkennen van verdacht gedrag is een essentieel onderdeel van de preventiestrategie. Door periodieke trainingen te geven aan medewerkers én externe partijen die in aanraking komen met de data van uw organisatie, zien organisaties het aantal incidenten structureel verlaagd worden. - Simulaties van insider threat scenario’s
Het uitvoeren van simulaties van insider threat scenario’s stelt medewerkers en het beveiligingsteam in staat om te oefenen met reageren op potentiële dreigingen. Dit valt vaak samen met het oefenen van disaster recovery plans, oftewel het herstellen van een cybersecurity incident. Door tijdens deze oefensessies ook aandacht te geven aan het identificeren, voorkomen en verhelpen van incidenten dankzij insider threats, is er vaak sprake van een betere algemene alertheid op de werkvloer. - Gebruik van Data Loss Prevention (DLP) Tools
DLP-tools bieden de mogelijkheid om het delen van gevoelige informatie te beperken en te monitoren, waardoor het risico op dataverlies wordt verminderd. Waar dit enkele jaren geleden nog hele dure tools zijn, die makkelijk duizenden euro’s per maand kostten, zijn DLP-tools tegenwoordig aanwezig is steeds meer belangrijke tools die organisaties gebruiken. Zo is het aanwezig binnen het Microsoft E5 Compliance programma en kost dit slechts iets meer dan 10 euro per gebruiker per maand.