Insider threats voorkomen? Maak security onderdeel van de bedrijfscultuur
Er zijn verschillende soorten insider threats. Zo kan het voorkomen dat medewerkers per ongeluk een foutje maken. Ticketcounter kreeg bijvoorbeeld in maart van beveiligingsexperts te horen dat data van gebruikers werden aangeboden op het dark web. Daarop ontdekte het bedrijf dat door een menselijke fout een groot datalek is ontstaan, waardoor cybercriminelen gegevens van vermoedelijk honderdduizenden mensen hebben buit gemaakt. Het kan ook voorkomen dat een datalek zich voordoet door nalatigheid doordat er bijvoorbeeld veiligheidsprotocollen worden overtreden. Denk hierbij aan een medewerker die (onbewust) kwaadaardige software installeert op zijn laptop met alle gevolgen van dien. Tot slot zijn er ook nog insiders die moedwillig organisaties schade toebrengen. Vaak handelen deze personen uit persoonlijk gewin of wraak. Zo werden er in januari nog medewerkers van de GGD opgepakt voor het te koop aanbieden van persoonsgegevens. De data kwam uit de systemen die de GGD gebruikt om mensen te testen op COVID-19.
Wat kunnen organisaties doen?
Insider threats kunnen zowel op financieel gebied als voor de reputatie van een bedrijf grote gevolgen hebben. Daarnaast kunnen datalekken leiden tot torenhoge boetes als het misgaat. Bedrijven doen er daarom verstandig aan risico’s van binnenuit de organisatie serieus te nemen en voorzorgsmaatregelen te nemen. Op deze manier kunnen de risico’s en gevolgen van insider threats verkleind worden.
Als het om een kwaadwillende actie gaat, door een eigen medewerker of partner, is dit vaak een ingewikkelde situatie voor beveiligingsteams. De betreffende persoon heeft immers legitieme toegang tot data en systemen van de organisatie en het is lastig om onderscheid te maken tussen de normale activiteiten van een gebruiker en potentieel kwaadaardige activiteiten. Insiders kennen de systemen, procedures en controles en weten waar de vertrouwelijke systemen en data zich binnen de organisatie bevinden. De gevolgen van een aanval door een insider kunnen dan ook groot zijn, zeker als het iemand betreft met veel privileges. Indien er sprake is van een kwaadwillende actie doe dan forensisch onderzoek en schakel een specialistisch bedrijf in. Insider threat incidenten zijn immers heel lastig te onderzoeken met traditionele onderzoeksmethoden omdat er waarschijnlijk geen wijzigingen zijn in bijvoorbeeld bestandskenmerken of het Windows-register.
Nalatigheid of menselijke fouten zijn eenvoudiger te voorkomen. Het belangrijkste is om medewerkers goed te trainen, zodat ze op de hoogte zijn van de risico’s en weten waar ze op moeten letten. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur. Een e-learning training, zoals de G DATA Security Awareness Training, is hier ideaal voor. Op deze manier kunnen medewerkers een training in hun eigen tempo afronden. Om medewerkers, die meer instructies nodig hebben, te ondersteunen kan er bijvoorbeeld iemand worden aangesteld binnen het bedrijf. Hierdoor is er ruimte om vragen te stellen en samen te werken aan een veilige werkomgeving. Daarnaast is het belangrijk om regelmatig een evaluatie uit te voeren, zodat kan worden vastgesteld of de inspanningen effect hebben gehad.
Zorg ook voor een beleidsplan waarin staat hoe medewerkers met data om moeten gaan en hoe ze deze moeten vasthouden of vernietigen als de data niet langer nodig is. Een goed plan, gecomplementeerd met technische middelen, helpt organisaties bovendien te voldoen aan de wettelijke verplichtingen bij het bezitten van gevoelige gegevens. Gezien insider threats ook via partners kunnen komen is het verstandig om speciale security procedures op te stellen voor partners. Zorg ervoor dat je precies weet met welke software en IT partners je samenwerkt en wees er zeker van dat deze voldoen aan jouw cyberveiligheidsvoorschriften. In ieder contract met een leverancier moet zijn opgenomen wat er gebeurt met de data en gevoelige gegevens na beëindiging van het contract. Heb je geen cyberveiligheidsvoorschriften of plan, ontwikkel deze dan zelf of samen met een specialist. Zorg dat je weet wie toegang heeft tot de gevoelige gegevens van een organisatie, zodat de toegang kan worden beperkt voor gebruikers.
Uiteraard moet er naast deze additionele maatregelen ook worden gedacht aan de basismaatregelen zoals: het installeren van endpointsoftware, oplossingen voor het beschermen van mobiele apparaten, back-ups en het downloaden van beveiligingsupdates. Stel extra monitoring in, zodat je weet wat er gebeurt binnen het netwerk en houdt ook rekening met een mogelijke overbelasting of uitval van applicaties.
Soms kan het ook misgaan. Organisaties doen er daarom verstandig aan om een incident response plan te ontwikkelen. In een dergelijk plan staan de stappen die moeten worden gezet als er sprake is van een cyberincident, diefstal of verlies. Zorg er voor dat alle risico’s in kaart zijn gebracht en dat er een lijst is met alle sleutelpersonen (ook die van partners) en verantwoordelijken. Op deze manier is het mogelijk om snel in te grijpen en verdere schade te voorkomen. Breng daarnaast ook de juiste instanties, zoals de Autoriteit Persoonsgegevens of politie, op de hoogte.
Zorg voor een veiligheidscultuur
Hoewel organisaties mogelijk niet in staat zijn om elk risico te beperken, kunnen bovenstaande tips helpen. Met name het realiseren van een veiligheidscultuur binnen de organisatie is cruciaal. Op deze manier wordt security onderdeel van de bedrijfscultuur en kunnen werknemers ongepast gedrag van partners en collega’s herkennen en incidenten voorkomen.