Wat nou als de zwakste schakel in uw cybersecurity de medewerkers zijn die u zelf heeft aangenomen? Bent u dan schuldig aan slechte recruitment of is dit een probleem waar veel organisaties mee kampen? Het laatste is waar. Tegenwoordig zien we dat organisaties steeds meer moeten investeren in het ‘aware’ houden van hun medewerkers. Een lang en doorlopend proces maar oh-zo belangrijk. In dit artikel kijken we naar de importantie van awareness maar ook naar vier types van interne dreiging.
In de VS hebben ze veel dingen die wij in ons kikkerlandje niet hebben. Zoals het recht om met wapens rond te lopen, nationale obesitas en het vermogen een presidentiële verkiezing te winnen met de belofte een muurtje op te trekken bij de buren. Maar wat ze ook hebben is een maand die volledig gewijd is aan het vergroten van de awareness omtrent het risico van interne dreigingen. Ze noemen dit, heel catchy, National Insider Threat Awareness Month. Nu is dit artikel niet een oproep om een soortgelijk initiatief te lanceren in Nederland. Maar het feit dat er zoveel aandacht aan wordt gegeven vind ik positief. Dit heeft ook te maken met het feit dat uit diverse onderzoeken blijkt dat cybersecurity-incidenten en datalekken nog steeds in veel gevallen toe te wijzen zijn aan interne medewerkers.
Ondanks dat er in verhouding nog steeds meer externe aanvallen plaatsvinden, zijn de gevolgen van een interne aanval vaak groter. En nog vervelender, zie het maar eens tegen te gaan of überhaupt te ontdekken. Indien een ‘insider’ wordt gecompromitteerd of besluit de boel eens even op stelten te zetten, heeft deze al een flinke voorsprong. Hij of zij kent natuurlijk de omgeving en heeft waarschijnlijk toegang tot meerdere niveaus. Dankzij deze priviliged accounts kunnen ze ongezien door het netwerk heen bewegen. En geen enkele firewall of andere vorm van bescherming is tegen deze interne dreiging opgewassen. Dit bewijst eens te meer dat aandacht voor interne dreigingen noodzakelijk is. Maar laten we eerst eens kijken naar welke types van interne dreiging we onderscheiden.
1. De externe insider – Steeds meer organisaties hebben systemen gelinkt aan het systeem van partners of leveranciers. Medewerkers van die derde partijen hebben dus ook toegang tot het netwerk van de organisatie voor wie zij werken. En omdat je systemen die niet van jou zijn bijzonder lastig kunt beveiligen, zet je eigenlijk de deur al open. Dat dit kan leiden tot datalekken lijkt mij overduidelijk.
2. De misbruikte Insider – We zien dat steeds meer aanvallen (kunt u de Twitter hack nog herinneren?) voortkomen uit inbraken via sociale aanvallen. Dus inloggegevens van medewerkers met priviliged accounts worden gekocht, gestolen of gegeven. De aanvaller heeft nu alles wat hij nodig heeft om flink wat schade aan te richten. Veel gebruikte methodes bij deze vorm van aanvallen zijn phishing, spoofing of reverse social engineering via Social Media.
3. De kwaadwillende Insider – Dit zijn de boze werknemers en willen wraak. En omdat ze priviliged accounts hebben worden ze niet gedetecteerd door allerlei beveiligingsmaatregelen. Motivatie voor deze mensen heeft vaak te maken met frustratie, financieel gewin, politiek activisme of, gewoon, voor de kick.
4. De onbewuste Insider – Deze groep valt onder het gezegde ‘ fouten maakt iedereen’. Want zo is het ook, iedereen kan in een moment van onoplettendheid een grove fout maken met alle gevolgen van dien.
Zoals ook goed zichtbaar is bij de vier types hierboven, is het zeer lastig om interne dreigingen te minimaliseren. Dit heeft alles te maken met het feit dat ze ongestoord te werk kunnen gaan, zouden ze dit willen. Maar dit betekent niet dat er geen stappen gezet kunnen worden. Boze medewerkers zullen altijd wel wat schade kunnen aanrichten, maar ook hier zijn methodes voor te bedenken om het zoveel mogelijk te beperken. Om deze groep tegen te gaan zou het goed zijn om eens kritisch te kijken naar hoe de organisatie om gaat met het verstrekken van accounts. Heeft iedereen tot alles toegang? Dit vormt een onnodig risico.
Kijk daarom per werknemer waartoe hij of zij toegang nodig heeft, en houd het hierbij. Een andere oplossing voor de boze werknemer is het hebben van voldoende back-ups. Mocht deze persoon besluiten om van alles te verwijderen, heb je in ieder geval je back-ups en loop je niet meteen enorme schade op. Een derde oplossing is het opteren voor Endpoint Protection. Deze service in combinatie met de 24/7 monitoring van Rootsec detecteert verdachte bewegingen van medewerkers en kan, indien nodig, meteen limitaties opleggen.
Voor de ‘onwetende medewerker’ zijn er ook de nodige oplossingen te bedenken. Voordat ik hierover uitbreid is het belangrijk om te stellen dat dit een proces is. Een fout die bij veel organisaties gemaakt wordt is het organiseren van 1 security-awareness training en vervolgens denken er dan wel te zijn. Dit is natuurlijk niet hoe het werkt. Voor deze organisaties hebben wij zes stappen opgesteld die helpen om de awareness te verhogen en de organisatie als geheel veiliger te krijgen.
1. Het schrikeffect – Een goede eerste stap in het creëren van awareness is het laten schrikken van de medewerker. Doe dit bijvoorbeeld aan de hand van een phishing-aanval. Op basis van de resultaten kan er vervolgens een awareness-training worden georganiseerd. Zodra medewerkers zien hoe slecht ze hebben gehandeld, voelen ze zich persoonlijk betrokken bij het proces. Een goede eerste stap dus.
2. De trainingen – Het organiseren van awareness-trainingen is essentieel. Doe dit periodiek maar niet te vaak. De wijze waarop dit gebeurt kan ook verschillen en moet worden afgestemd op wat het beste werkt voor de organisatie. Zo kan er bijvoorbeeld gekozen worden tussen E-learning en on-premise trainingen. Deze trainingen dienen overigens niet optioneel te zijn voor het personeel.
3. Het beleid – Waar het bij veel organisaties ook aan scheelt is het gebrek aan een duidelijk IT-beleid. Dit document zou er vanaf dag 1 al moeten zijn geweest, maar de realiteit laat iets anders zien. Zorg er daarom voor dat alles op papier wordt gezet, dit schept ook meer duidelijkheid voor de medewerkers.
4. Wat is de huidige status? – Om te weten waar de organisatie staat dient er een risicoanalyse gedaan te worden. Hoe kan de beveiliging naar het volgende niveau getild worden? Wat is het niveau van bewustwording bij medewerkers? Een complete nulmeting dus. Vanaf daar ga je verder bouwen aan een veiligere werkomgeving.
5. Back-ups! – Zorg er altijd voor dat je kunt putten uit je back-ups. In het geval van een aanval ben je dan niet meteen alles kwijt. En dit scheelt een slok op de borrel.
6. Houd ze scherp – Zoals eerder al werd geschreven denken veel organisaties er wel te zijn na een paar trainingen. Dit is echter verre van het geval. Houd uw medewerkers scherp door onverwachte phishing-simulaties of andere vormen van sociaal engineering. Een tip is om dit van te voren aan te kondingen, Wedden dat uw medewerkers een stuk alerter zullen zijn? (of die phishing-aanval nou komt of niet..)
Voor de laatste maal in dit artikel leg ik nogmaals de nadruk op het proces. Organisaties zien awareness nog steeds als een project, maar dat zal weinig teweeg brengen. Wellicht voor de eerste paar weken na de training, maar daarna zal het snel weer afzwakken. En dan is het weer wachten op de volgende aanval waarin de interne dreiging een negatieve hoofdrol speelt. Wilt u met uw organisatie stappen zetten om deze vorm van dreiging echt tegen te gaan? Neem dan contact op met de IT-security experts van Rootsec en samen met u bepalen we de beste aanpak. Voor aanvullende informatie over de transformatie van project naar proces verwijzen wij u graag naar dit artikel van onze partners van Beschermheren.
Automated page speed optimizations for fast site performance