Daarnaast werken we op allerlei verschillende plekken, van kantoor tot thuis en van café tot luchthaven. Data is overal en gebruikers zijn overal. Dit dwingt organisaties ertoe om hun traditionele beveiligingsaanpak te heroverwegen. Die aanpak gaat nog uit van het beschermen tegen aanvallen van buitenaf, maar dat is niet langer het enige gevaar. Tegen de achtergrond van nieuwe regelgeving zoals de General Data Protection Regulation (GDPR) van de Europese Unie, is het raadzaam (en ook noodzakelijk) om naast gevaar van buitenaf ook aanvallen van binnenuit mee te nemen in het totale beveiligingsbeleid.

Drie typen insiders

Hoe kun je een aanval van binnenuit voorkomen zonder dat medewerkers het gevoel krijgen dat 'Big Brother' de hele dag meekijkt? De eerste stap is om onderscheid te maken tussen drie typen insiders. In de eerste plaats is er de toevallige aanvaller van binnenuit. Deze gebruiker weet niet goed om te gaan met bedrijfsdata omdat er bijvoorbeeld geen duidelijk beleid is uitgezet. Dit type insider kan daardoor data bijvoorbeeld per ongeluk op de verkeerde plaats opslaan. Het tweede type is de geïnfecteerde insider. Deze medewerker heeft op een phishingmail geklikt, waardoor zijn inloggegevens - zonder dat hij het weet - bekend zijn bij cyberaanvallers. Het derde type tot slot is de kwaadaardige insider, die bewust data steelt, bijvoorbeeld vanwege een slechte beoordeling of uit geldelijk gewin.

Achtergrond

Voor deze drie typen is het belangrijk te weten wat hun achtergrond is als ze werken met data. Een medewerker die veel reist, zal vaker bestanden kopiëren op een stick of naar de cloud dan een collega die uitsluitend op één en dezelfde vestiging werkt. Het zou dan ook moeten opvallen als een medewerker die regelmatig slechte beoordelingen krijgt plotseling veel bestanden kopieert naar informatiedragers. Dat geldt ook als medewerkers opeens inloggen vanaf vreemde locaties, zoals een ver land. Onderzoek van Ponemon laat zien dat 68 procent van de inbreuken bij een organisatie toe te schrijven is aan de toevallige insider. De geïnfecteerde gebruiker is goed voor 10 procent en de kwaadaardige voor 22 procent. Vooral dat laatste percentage is verontrustend hoog.

Hoe creëer je een insider threat-programma?

Als je eenmaal de drie typen insiders in beeld hebt, kun je aan de slag met een insider threat-programma. Stap 1 is het identificeren van mogelijke dreigingen van binnenuit. Daarbij is een nauwe samenwerking met de juridische afdeling en HR van belang om een helder beleid te bepalen en dat in te voeren. Volgende stap is het selecteren van de vereiste technologie om het programma te ondersteunen. Met een proof-of-concept is vervolgens te bepalen of de juiste keuzes gemaakt zijn. Daarna kan gestart worden met het vastleggen van regulier gedrag, het identificeren van uitzonderingen en het beoordelen van de risico's. Op basis van die informatie is de focus te leggen op de gebruiker en interne training om de bewustwording te vergroten en een gemeenschappelijk kader te creëren voor wat betreft cyberveiligheid. De laatste stap is de inzet van technologie om de beleidsregels af te dwingen en de risico's te managen.

De belangrijkste technische vereisten voor een insider threat-programma zijn de mogelijkheden om te bepalen welke individuele medewerkers de grootste risico's vormen en om een diepgaand inzicht in potentieel risicovol gedrag van de gebruiker en de context daarvan te geven. Om aan die eisen te voldoen, heb je twee dingen nodig: data loss prevention om dataverplaatsing te detecteren en user behavioral analytics om het gedrag van gebruikers te monitoren. Deze twee technologieën zijn de pijlers van ieder insider threat-programma en ondersteunen organisaties in het beter beschermen van hun data.

Mike Smart is Cyber Security & Insider Threat Evangelist bij Forcepoint