Independent. Dynamic. Involved.
nlen

Insider Risk en Outsider Risk: kenmerken en acties

Door Thom Otten en Ewout Vermeulen    In het huidige tijdperk van ‘anytime, anywhere en any device’ is niet langer sprake van een traditionele perimeter. Dat is een digitale slotgracht waarmee je de interne organisatie afschermt van de boze buitenwereld. Dat heeft ook consequenties voor het securitybeleid met betrekking tot insider risk en outsider risk. Voorheen was er een duidelijker onderscheid. Toen kon een organisatie gerichtere maatregelen nemen tegen dreigingen van binnenuit en van buitenaf. Nu de coronacrisis ervoor heeft gezorgd dat thuiswerken een enorme vlucht heeft genomen, is dat onderscheid er niet meer of in ieder geval veel minder. Gevolg is een spaghetti van dreigingen én mogelijke oplossingen.

Bekend of niet?

Lag de focus voorheen op de insider en outsider threats, gaat het nu veel meer om de vraag of we degene die de veiligheid bedreigt, wel of niet kennen. De Nationaal Coördinator Terrorismebestrijding en Veiligheid definieert Insider Threat in zijn Cybersecuritybeeld Nederland (CSBN) 2020 als ‘een interne actor die met toegang tot systemen of netwerken van binnenuit een dreiging vormt, met als motief wraak, geldelijk gewin of ideologie. Een insider kan ook worden ingehuurd of opgedragen van buitenaf.’ Het Amerikaanse Department of Homeland Security heeft een vergelijkbare definitie maar noemt expliciet authorized access. Ook wijst zij op het feit dat een slordige of nalatige medewerker ook een concrete bedreiging kan zijn. En ook in definities van instanties als NIST en CERT gaat het om geautoriseerde (oud)-medewerkers die om tal van redenen een directe bedreiging vormen voor data en applicaties.

Als het gaat om de gevaren van een kwaadwillende insider, liggen de voorbeelden voor het oprapen. Die gaan van fraude en diefstal van intellectuele eigendommen tot aan het stelen van data, het handelen met voorkennis en spionage. En bij dat laatste gaat het zeker niet zoals in films om koffers met miljoenen dollars. Onlangs bleek een hoge NAVO-medewerker uit Estland te spioneren voor Rusland. Dat had hem het bescheiden bedrag van 17.000 euro opgeleverd.

Ook Nederland heeft duidelijk met deze spionageproblematiek te maken. Zo stelt de Nationaal Coördinator Terrorismebestrijding in zijn Cybersecuritybeeld dat de digitale dreiging een permanent karakter heeft. En volgens deze zelfde NCTV, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) is er ook sprake van economische spionageactiviteiten, die met name zijn gericht op Nederlandse topsectoren en kennisinstellingen.

Drijfveren

Wat drijft de insider? Verizon licht het toe in zijn jaarlijkse Data Breach Investigations Report. Hebzucht staat – niet heel verrassend – bovenaan met 64 procent. Organisaties worden afgeperst voor geld. 15 procent doet het uitsluitend voor de kick. En in 14 procent van de gevallen gaat het om een ontevreden werknemer.

Insider-indicatoren

Hoe is een insider te herkennen? Om te beginnen moet het openen of downloaden van grote hoeveelheden gegevens een rode vlag zijn. Dat geldt ook voor het toegang krijgen of veelvuldig vragen tot gevoelige gegevens die niet zijn gekoppeld aan de functie van de betreffende medewerkers of die buiten hun gedragsprofiel vallen. Verder moet het opvallen als een medewerker ongeautoriseerde opslagapparaten, zoals een USB-drive, gebruikt of bestanden kopieert uit gevoelige mappen.

Maatregelen

Wat kun je doen tegen insider risk? Dat begint bij het realtime monitoren van gebruikersgedrag om abnormaal gebruikersgedrag te voorspellen en te detecteren dat verband houdt met mogelijke sabotage, gegevensdiefstal of misbruik. In de tweede plaats is het belangrijk om misbruik van privileged access tijdig te detecteren en te stoppen door privileged access management (PAM) goed in te regelen.  In de derde plaats is sentimentanalyse een goede manier om te bepalen of een medewerker een bedreiging is geworden in de context van cybersecurity. Heeft iemand te maken met een slechte beoordeling op het werk? Is er veel stress? Zijn er financiële problemen?

Awareness

Uiteindelijk gaat het bij insider risk – en outsider risk – om security awareness. En om een holistische aanpak van de security binnen de organisatie. Dat betekent een grondige analyse van de actuele situatie. En op basis daarvan een roadmap om de vereiste maturity te bereiken. Op die manier zijn insider én outsider risk goed te adresseren.

Deze blog spitst zich toe op de insider risks. In een andere bijdrage gaan we nader in op de outsider risks.

Ewout Vermeulen en Thom Otten zijn security consultant bij Traxion. Dit is een aanbieder van Identity Centric Security Services in Nederland en België met ruim 130 hooggekwalificeerde professionals. Traxion is onderdeel van Swiss IT Security Group.

Confidental Infomation