Wat zijn 'insider threats'?
Insider threats is een verzamelnaam voor de cyberrisico's of bedreigingen die vanuit de eigen organisatie komen. Via interne aanvallers dus. Denk bijvoorbeeld aan rancuneuze voormalige of huidige werknemers. Of kwaadwillende zakenpartners of contacten die beschikken over interne of gevoelige bedrijfsgegevens. Wanneer er slechte intenties zijn, kunnen deze 'insiders' veel schade aanrichten met bijvoorbeeld diefstal, fraude, spionage, het lekken van intellectuele eigendommen, bedrijfskritische of vertrouwelijke gegevens.
Wat zijn de risico’s?
Insider threats kunnen extra gevaarlijk zijn omdat aanvallers mogelijk kennis of toegang hebben tot interne systemen, procedures en kwetsbaarheden. Bij een interne aanvaller denk je al gauw aan een ontevreden of kwaadwillende (ex)werknemer maar dat hoeft zeker niet altijd zo te zijn. Ook onwetende en onzorgvuldige werknemers kunnen bewust of onbewust een bedreiging vormen. Denk hierbij aan het kwijtraken van een bedrijfstelefoon, laptop of laten rondslingeren van wachtwoorden wat kan resulteren in bijvoorbeeld een grootschalig datalek.
Daarnaast kunnen medewerkers schade aanrichten door besmette (privé) hardware naar de werkplek mee te nemen en daarmee virussen en malware te verspreiden op het netwerk. Ook kunnen onzorgvuldige medewerkers gebruik maken van onveilige of privacyschendende diensten om bestanden uit te wisselen waardoor mogelijk bedrijfsdata per ongeluk bij de verkeerde persoon terecht komt of onderschept kan worden.
Waar kun je als ondernemer op letten?
Het herkennen van bedreiging van binnen uit de eigen organisatie is lastig en eigenlijk een onderwerp waar je als ondernemer liever niet aan wilt denken. Toch is het belangrijk om alert te zijn om bedrijfsschade te voorkomen. Onderstaande - niet uitputtende - opsomming geeft je symptomen die als verdacht digitaal gedrag zou kunnen worden getypeerd wanneer je het vermoeden hebt dat iemand een risico voor de organisatie is:
- Gedrag
- Proberen om bestaande security maatregelen te omzeilen;
- Veel buiten kantooruren of in de avonduren actief en aanwezig op kantoor als er weinig andere werknemers in het pand zijn;
- Schenden van bedrijfsbeleid of regels;
- Ontevreden gedrag, negatieve uitingen richting de bedrijfsleiding of dreigen met ontslag.
- Digitaal
- Uitzetten of omzeilen van interne monitoring- of securityproducten;
- Opvragen van gevoelige gegevens die niet noodzakelijk zijn voor de werkzaamheden;
- Grote hoeveelheden gevoelige data verzamelen en opslaan die niet noodzakelijk zijn voor de werkzaamheden;
- Regelmatig gebruik maken van eigen opslag zoals harde schijven of USB sticks;
- Delen van gevoelige bedrijfsgegevens met externen.
Hoe kun je als ondernemer insider threats zo goed mogelijk voorkomen?
Hoewel een bedreiging van binnenuit erg lastig is te voorkomen, zijn er enkele stappen die je als ondernemer kunt zetten om ervoor te zorgen dat de mogelijk schade beperkt blijft. Ook hier geldt dat een goede voorbereiding en waakzaamheid essentieel is:
- Maak een risicoanalyse, houd deze actueel en bespreek de risico’s periodiek;
- Bepaal wie toegang tot welke data en services heeft en geef medewerkers alleen toegang en rechten tot de systemen die passen bij de werkzaamheden en de periode waarvoor toegang nodig is;
- Zorg voor dat je een in- en uitdienstproces hebt en dat dit nageleefd wordt zodat ex-medewerkers geen toegang meer hebben tot systemen en data;
- Stel een rechtenmatrix op en hou deze actueel;
- Monitor activiteit met loginformatie; waar komt data vandaan, wie wil toegang tot welke gegevens en wat wordt er gewijzigd?
- Train en verhoog bewustzijn van onzorgvuldige en onwetende medewerkers.
Wat kun je doen als je toch slachtoffer bent geworden?
Zoals eerder aangegeven is het volledig voorkomen van bedreigingen van binnenuit vrijwel onmogelijk. Hieronder een opsomming van enkele punten die je als ondernemer kan helpen wanneer je toch onverhoopt slachtoffer bent geworden van een ontevreden of onbewuste (ex)werknemer:
- Doe aangifte of melding van het incident;
- Maak binnen 72 uur een melding van een datalek (als hier sprake van is);
- Inventariseer om welke gebruikers en bestanden het gaat;
- Blokkeer accounts van de vermoedelijke dader(s);
- Trek alle fysieke en digitale toegangsrechten in;
- Controleer of er belangrijke sleutels, pasjes of documenten missen;
- Zoek en verwijder schadelijke code;
- Stel monitoring- en securitymaatregelen weer in;
- Herstel vernietigde bestanden door middel van een back-up;
- Notificeer werknemers en getroffen teams;
- Breng je klantenbestand op de hoogte;
- Laat mogelijk een forensisch onderzoek uitvoeren door een externe partij.
Omgaan met insider threats
Een insider is een onzichtbare vijand die geautoriseerde toegang kan misbruiken om schade te veroorzaken. Hoe kunt u met deze onzichtbare vijand omgaan? Het Nationaal Cyber Security Centrum (NCSC) het aan de voorzitters en vicevoorzitters van een aantal ISAC’s en deelt de opgehaalde inzichten en good practices in een publicatie.
Heb je alle zaken op orde? Test dan snel je cyberweerbaarheid
Heb je de basis op orde en voldoende maatregelen getroffen om je onderneming te beschermen tegen kwaadwillenden?
Je toetst het met de Basisscan Cyberweerbaarheid. Deze scan kun je in 5 tot 10 minuten uitvoeren en geeft je inzicht in de cyberweerbaarheid van je onderneming aan de hand van de 5 basisprincipes van veilig digitaal ondernemen.