Ontmasker interne datadieven

De mens is nog altijd een van de zwakste schakels in de cybersecurityketen. We klikken op frauduleuze linkjes en openen zonder nadenken kwaadaardige bijlagen in een e-mail. Maar naast phishing valt nog een menselijk falen op in het 2021 Verizon Data Breach Investigations Report (DBIR). We hebben het over ‘Privilege Misuse’ waarbij medewerkers zich bewust of onbewust meer toegangsrechten verschaffen waardoor datalekken of andere security-incidenten ontstaan.

In de top-5 van oorzaken van datalekken vinden we het verkeerd gebruiken van privileges terug. Het gaat om ongeveer 5 procent van 5275 onderzochte datalekken. Weliswaar op ruime achterstand van social engineering (zoals phishing) met 36 procent en aanvallen op webapplicaties met ongeveer 28 procent, maar toch goed voor meer dan 250 gevallen. Het is dan ook interessant om de achtergrond van dit soort security-incidenten te bekijken. Het is niet verbazend dat het in 99 procent van de gevallen gaat om interne actoren. Want we hebben het over privileges van eindgebruikers – van ‘gewone’ medewerkers met beperkte systeemrechten tot administrators en managers die uitgebreidere toegangsrechten hebben. Het gaat er in dit geval om dat medewerkers zich toegang verschaffen tot data, applicaties of systemen waar zij gezien hun rol in de organisatie geen recht toe hebben. In veel gevallen is dit mogelijk door een fout in de gebruikersadministratie of de active directory. Maar vaak genoeg gaan medewerkers actief op zoek naar de mazen in het systeem om dichter in de buurt van waardevolle data te komen.

Illegaal startkapitaal aan data

Wat zit hier dan achter, vraag je je af? Het 2021 DBIR legt het haarfijn uit. In 64 procent van de gevallen gaat het gewoon om financieel gewin: data ontvreemden en verkopen aan de hoogste bieder. Bij 17 procent van de vastgestelde datalekken speelt de fun-factor een grote rol. Medewerkers willen wel eens zien hoever zij kunnen komen in het systeem, zonder kwade bedoelingen. 14 procent van de medewerkers die betrapt zijn op het misbruiken van verkeerde privileges deed dit uit wrok: overgeslagen bij een promotie of onenigheid met de manager? Dan kan het stelen van data best een opluchting zijn, waarbij in het midden blijft wat er vervolgens met de gestolen waren gebeurt. Ten slotte zien we in een kleine 10 procent van de gevallen dat bedrijfsspionage een rol speelt. Medewerkers hebben de intentie om naar de concurrentie over te stappen of een eigen onderneming te beginnen en eigenen zich illegaal een startkapitaal aan data toe.

Bescherm bedrijfsgeheimen

Als we dan kijken naar het type data dat populair is, dan zien we dat het vooral persoonlijke informatie is die wordt buitgemaakt. Van collega’s, van managers, van aandeelhouders bijvoorbeeld. Op afstand volgen medische en financiële gegevens. Data met betrekking tot de bedrijfsgeheimen, zoals patenten of nieuwe businessplannen, liggen blijkbaar wat minder binnen het bereik van de kwaadwillende medewerker. Het komt er op neer dat persoonlijke gegevens in systemen opgeslagen liggen die meer gangbaar zijn in een organisatie; daar kunnen medewerkers dus sneller bij. De impact van het stelen van financiële of interne data is uiteraard wel groter.

Controlemechanismen

Tenslotte blijkt het uit het 2021 DBIR dat het verdraaid lastig is medewerkers die misbruik maken van verkeerd toegewezen toegangsrechten te ontmaskeren. Dat komt voor een groot deel omdat organisaties zich vooral richten op aanvallen van buiten af, op externe actoren. Nooit gedacht dat die aardige dame van Finance al jaren notities van de boardroom doorspeelde naar de concurrentie. Zeker organisaties met gevoelige data, zoals in de zorg, doen er goed aan om controlemechanismen in te bouwen die het misbruik van privileges aan het licht brengen. Gebeurt dat niet, dan kunnen interne datadieven hun gang blijven gaan.

Lees ook:
  • Blijven wapenen tegen security incidenten en datalekken
  • Whitepaper 2021 Verizon Data Breach Investigations Report

Gerelateerde berichten...