Met zijn recent gepubliceerde ‘Insider Threat Report’, legt Verizon de vinger op de zere wonde: het gevaar van cyberdreigingen die uit de organisatie zelf afkomstig zijn. Eén op vijf cybersecurityincidenten is volgens het rapport afkomstig van mensen binnen het bedrijf.
Verizon baseert zich voor het onderzoek op gegevens uit zijn ‘Data Breach Investigation’-rapporten van 2018. Daaruit blijkt dat 20 procent van de onderzochte cybersecurityincidenten en 15 procent van de datalekken afkomstig is van mensen binnen de organisatie. Verizon spreekt over een incident wanneer de integriteit, vertrouwelijkheid of beschikbaarheid van data wordt geschonden. In geval van een datalek is met zekerheid bepaald dat informatie bij een niet-geautoriseerde partij is beland.
Bijna de helft van de interne bedreigingen had een financiële motivatie (47,8%). In 23,4 procent van de gevallen ging het puur om de fun. Deze insider-aanvallen maken misbruik van interne data- en systeemtoegangrechten en worden vaak pas na maanden of jaren ontdekt, waardoor de potentiële impact op een bedrijf enorm kan zijn.
Taboe
Toch worden interne dreigingen nog vaak als een taboe behandeld, meent Bryan Sartin, executive director security professional services bij Verizon: “Al veel te lang zijn datalekken en cyberbeveiligingsincidenten veroorzaakt door insiders aan de kant geschoven en niet serieus genomen. Vaak worden ze behandeld als een schande of gewoon een probleem voor HR-afdelingen.”
Volgens Sartin moet dat dringend veranderen. “Om cybercriminaliteit in zijn geheel te bestrijden, moeten we ons ook concentreren op de bedreigingen die binnen de muren van een organisatie liggen”, zegt hij. Die bedreigingen hoeven overigens niet altijd het gevolg te zijn van kwaad opzet. Verizon onderscheidt vijf categorieën:
- De onachtzame medewerker: Werknemers of partners die middelen verkeerd inzetten, gebruiksbeleid overtreden, gegevens verkeerd verwerken, ongeautoriseerde applicaties installeren en niet-toegestane oplossingen gebruiken.
- De interne agent: Insiders die door externe partijen zijn aangeworven, gevraagd of omgekocht om gegevens te stelen.
- De ontevreden werknemer: Werknemers die uit ongenoegen proberen hun organisatie schade toe te brengen, door vernietiging van gegevens of verstoring van bedrijfsactiviteiten.
- De kwaadwillende insider: Dit zijn werknemers of partners met toegang tot bedrijfsmiddelen, die bestaande rechten gebruiken om toegang te krijgen tot informatie voor persoonlijk gewin.
- De nalatige derde partij: Zakenpartners die de beveiliging in gevaar brengen door nalatigheid, misbruik of kwaadwillige toegang tot of gebruik van een asset.
“Het detecteren en mitigeren van insiderbedreigingen vereist een andere aanpak in vergelijking met het jagen op externe bedreigingen”, weet Sartin. Bedrijven moeten in de eerste plaats in kaart brengen wat hun assets zijn en wie er uiteindelijk allemaal toegang tot heeft. Het bestrijden van interne dreigingen vraagt volgens Verizon om een brede aanpak, waarbij zowel IT-security, legal en HR worden betrokken.
Gerelateerd: Goede IT-security begint niet bij technologie, maar bij de mens