Interne dreigingen zijn een grote uitdaging voor veel organisaties. Hoewel de meeste organisaties de voorkant van hun security op orde hebben, komt het vaak voor dat door een onoplettende of juist opzettelijke fout kwaadwillenden toegang krijgen tot gevoelige informatie. Uit onderzoek van het Ponomon Institute blijkt dat 30 procent van de datalekken ontstaan uit insider threats. Bedrijven besteden dan ook jaarlijks gemiddeld 11,45 miljoen dollar aan de bestrijding van dreigingen van binnenuit.

Er zijn verschillende soorten insider threats. Zo kan het voorkomen dat medewerkers per ongeluk een foutje maken. Ticketcounter kreeg bijvoorbeeld in maart van beveiligingsexperts te horen dat data van gebruikers werden aangeboden op het dark web. Daarop ontdekte het bedrijf dat door een menselijke fout een groot datalek is ontstaan, waardoor cybercriminelen gegevens van vermoedelijk honderdduizenden mensen hebben buit gemaakt. Het kan ook voorkomen dat een datalek zich voordoet door nalatigheid doordat er bijvoorbeeld veiligheidsprotocollen worden overtreden. Denk hierbij aan een medewerker die (onbewust) kwaadaardige software installeert op zijn laptop met alle gevolgen van dien. Tot slot zijn er ook nog insiders die moedwillig organisaties schade toebrengen. Vaak handelen deze personen uit persoonlijk gewin of wraak. Zo werden er in januari nog medewerkers van de GGD opgepakt voor het te koop aanbieden van persoonsgegevens. De data kwam uit de systemen die de GGD gebruikt om mensen te testen op COVID-19.

Wat kunnen organisaties doen?

Insider threats kunnen zowel op financieel gebied als voor de reputatie van een bedrijf grote gevolgen hebben. Daarnaast kunnen datalekken leiden tot torenhoge boetes als het misgaat. Bedrijven doen er daarom verstandig aan risico’s van binnenuit de organisatie serieus te nemen en voorzorgsmaatregelen te nemen. Op deze manier kunnen de risico’s en gevolgen van insider threats verkleind worden.

Als het om een kwaadwillende actie gaat, door een eigen medewerker of partner, is dit vaak een ingewikkelde situatie voor beveiligingsteams. De betreffende persoon heeft immers legitieme toegang tot data en systemen van de organisatie en het is lastig om onderscheid te maken tussen de normale activiteiten van een gebruiker en potentieel kwaadaardige activiteiten. Insiders kennen de systemen, procedures en controles en weten waar de vertrouwelijke systemen en data zich binnen de organisatie bevinden. De gevolgen van een aanval door een insider kunnen dan ook groot zijn, zeker als het iemand betreft met veel privileges. Indien er sprake is van een kwaadwillende actie doe dan forensisch onderzoek en schakel een specialistisch bedrijf in. Insider threat incidenten zijn immers heel lastig te onderzoeken met traditionele onderzoeksmethoden omdat er waarschijnlijk geen wijzigingen zijn in bijvoorbeeld bestandskenmerken of het Windows-register.

Deze versturen we 3-4x per jaar.