In november 2022 is de Amerikaanse tak van T-Mobile getroffen door een cyberaanval. De persoonlijke gegevens van 37 miljoen klanten zijn gestolen. Volgens een verklaring van de mobiele aanbieder is een cybercrimineel erin geslaagd in de systemen in te breken via een API. Dit was niet de eerste keer en zal waarschijnlijk ook niet de laatste keer zijn.
Hoe kan dit iedere keer weer gebeuren?
De digitale waardeketens van tegenwoordig hebben ongelooflijk veel blinde vlekken en kleine kwetsbaarheden waar aanvallers gebruik van kunnen maken, wat steeds vaker resulteert in steeds zwaardere aanvallen. Uit het 2022 Ponemon Cost of Insider Threats onderzoek komt het volgende naar voren: 67% van de ondervraagde bedrijven heeft meer dan 20 incidenten per jaar. Het duurt 85 dagen om dit te ontdekken en op te lossen. Gemiddeld komen de kosten die dit op jaarbasis met zich meebrengt uit op 11 miljard dollar. En het vervelende is, dat je er pas achter komt als het te laat is.
De gelegenheid maakt de dief. In april 2021 liet de GGD weten dat privégegevens van minimaal 1250 Nederlanders uit de coronasystemen onbevoegd zijn ingezien, gestolen en mogelijk doorverkocht. Een medewerker zei destijds ‘We konden overal bij’. Een knop waarmee elke willekeurige medewerker op grote schaal gegevens uit de systemen kon downloaden, bleek al ruim driekwart jaar aanwezig. Die functie was bedoeld voor het maken van rapportages en het overdragen van gegevens naar andere systemen, maar bleek door medewerkers te zijn misbruikt. Een voorbeeld dichtbij huis van een Insider Threat.
Insider Threats – hoe kom je eraan?
Insider threats of dreigingen vanuit de organisatie zelf worden vaak door medewerkers veroorzaakt – meestal per ongeluk, soms met opzet – en zijn de oorzaak van de meeste datalekken. Het resultaat blijft hetzelfde: minder betrouwbaarheid, lagere beschikbaarheid en inbreuk op de integriteit van bedrijfssystemen en -data; een smet op de goede naam van jouw bedrijf. Insider threats komen in uiteenlopende vormen voor: het kan gaan om diefstal van (inlog)gegevens, maar ook om meer gesofisticeerde aanvallen op niet eerder opgemerkte zwakke plekken in software, zogenaamde zero-day exploits.
Collaborators, Lone Wolfs, pionnen, gekken en mollen!
We onderscheiden onder de kwaadwillende daders de collaborators en de lone wolfs. Collaborators zijn medewerkers met toegang tot systemen met gegevens die voor derde partijen interessant zijn. Hun daden leiden tot het lekken van vertrouwelijke informatie of een onderbreking van de business. De lone wolf opereert volledig zelfstandig en zonder manipulatie of invloed van buitenaf. Zij kunnen uitermate gevaarlijk zijn omdat ze vaak toegang hebben tot speciale systemen, denk hierbij bijvoorbeeld aan database administrators. Als gezegd, er zijn ook mensen die per ongeluk zorgen voor een dreiging van binnenuit.
We noemen ze de Pawns en de Goofs, de pionnen en de gekken. De eerste categorie bestaat uit gebruikers die op slinkse wijze verleid zijn om onbewust iets te doen dat de organisatie kan compromitteren. Bijvoorbeeld door social engineering of spear phishing. Deze onopzettelijke activiteiten kunnen het downloaden van malware of het ontsluiten van vertrouwelijke informatie tot gevolg hebben. Goofs nemen bewust risico’s, maar niet omdat zij schade willen toebrengen. Het zijn meestal onwetende en/of niet competente gebruikers die het nut van het volgen van security richtlijnen niet inzien. Zo’n “goof” kan bijvoorbeeld vertrouwelijke klantinformatie op zijn persoonlijke device opslaan, hoewel hij weet dat het indruist tegen het beleid van het bedrijf. En dan hebben we nog mollen. Externe personen die insider access tot de systemen van de organisatie hebben. Dat kunnen leveranciers, contractors of medewerkers zijn, die geprivilegieerde toegang hebben tot systemen waar zij normaal gesproken niet voor zouden kwalificeren.
Insider Threats – hoe voorkom je het?
Insider threats zijn in de regel moeilijk te ontdekken omdat ze sterk contextueel zijn en bijna nooit volgens traditionele aanvalspatronen verlopen. Traditionele cybersecurity strategieën, beleid, procedures en systemen focussen vaak op dreigingen van buitenaf. De organisatie zelf blijft dan van binnenuit kwetsbaar. En omdat de insider al toegang heeft tot data en systemen is het moeilijk voor security professionals en applicaties om onderscheid te maken tussen normale en schadelijke activiteiten. Bedrijven moeten de dreiging van binnenuit even serieus nemen als die van externe aanvallen.
Er is hoop! Er zijn een aantal belangrijke stappen die je kunt nemen, als je de strijd met deze dreigingen aan wil gaan. Volg je deze stappen, dan kan je een op maat gemaakt Insider Threat programma samenstellen, dat je op een mogelijke aanval voorbereidt en je bescherming continue bijwerkt en valideert. Dataspecialisten en -analisten kunnen snel zien waar het fout gaat, door gedragsanalyse op basis van machine learning, het scoren van risico’s en intuïtieve visualisatie.
Wil je weten hoe dit in zijn werk gaat, kijk dan hier.
Of download de inforgraphic A Guide to Insider Threats and How to Prevent Them
Lees ook:
- Waarom geprivilegieerd toegangsbeheer altijd top-of-mind moet zijn
- Evolutie van cloudbeveiligings- en privacytechnologieën