In enkele van onze vorige blogs gingen we al dieper in op het waarom van compliancy  en de eerste stappen richting een data security strategie. In deze blog richten we onze pijlen op het gevaar binnen je eigen kantoormuren. Van alle cyberaanvallen ter wereld, is zo’n 90% terug te leiden tot een bewuste of onbewuste fout van een medewerker. Wesley Venstermans, Squad Lead Audit & Compliancy bij SecWise, gaat hieronder dieper in op de gevaren van insider risk voor je organisatie. 

De afgelopen twee jaar steeg het aantal insider incidenten met 44%, en dat heeft alles te maken met de digitalisering van onze werkvloer. Onder een insider incident valt elk cybersecurity incident dat bewust of onbewust veroorzaakt werd door een medewerker van je eigen organisatie. Maar om insider risk beter te situeren, is het goed eerst te kijken naar de soorten cybercriminaliteit. Die bestaat uit ruwweg vier grote categorieën: 

• Nation States: dit zijn landen die andere landen gaan hacken om zo informatie te verkrijgen die hen extra macht kan bezorgen op het wereldtoneel. We denken daarbij al snel aan Rusland of Noord-Korea, maar het kunnen ook landen uit de EU zijn die elkaar of andere wereldleiders in de gaten houden. Verschillende voorbeelden hiervan verschenen de voorbije jaren in de pers. 
• Criminele ondernemingen: Vandaag de dag vind je op het dark web organisaties die van hacken een verdienmodel hebben gemaakt. Van custombuilt virussen tot ransomware-as-a-service. Iedereen kan deze bedrijven inschakelen, vaak in ruil voor crypto. Deze organisaties kan je vergelijken met reguliere dienstenbedrijven en hebben naast een (dark-)webshop vaak zelfs een eigen helpdesk met SLA’s en ‘niet-goed-geld-terug-garanties’. 

• Hacktivisten: Deze groep handelt vanuit een eigen ideologie. Ze willen hun doelwitten vernederen of schade toebrengen aan hun reputatie. Vaak zijn hun acties dan ook politiek geïnspireerd. Een bekend voorval zijn pro-Oekraïense activisten die een nieuwsuitzending in Rusland kapen om Russische oorlogsmisdaden te tonen. 
• Insiders: De bedreiging komt bij deze groep vanuit je eigen organisatie en kan teruggeleid worden tot een bewuste of onbewuste actie van één van je medewerkers.  We onderscheiden 3 types insiders. De unintentional insiders zijn werknemers die door nalatigheid of onoplettendheid fouten maken en zo bijvoorbeeld gevoelige data lekken. Ze klikken bijvoorbeeld op een link in een phishing e-mail of een admin maakt een configuratiefout. Malicious insiders zijn dan weer medewerkers die doelbewust schade willen toebrengen aan je organisatie. In de meeste gevallen koesteren ze een bepaalde wrok tegen de organisatie waarvoor ze werken, of ze zien een kans om er zelf financieel beter van te worden. Inside agents zijn op hun beurt een bepaald soort malicious insider die gaat samenwerken met iemand uit de andere categorieën van hierboven. Via een samenwerking met hacktivisten zouden ze zo bijvoorbeeld opzettelijke reputatieschade kunnen aanrichten. 

Insider risk management 

Maar waar komt die enorme stijging in insider incidenten vandaan en wat kan je als bedrijf eraan doen? De stijging van incidenten kunnen we grotendeels toeschrijven aan de opkomst van hybride werken. Waar je data vroeger enkel binnen je kantoormuren beschermd moest worden, is de perimeter nu veel groter. Medewerkers werken van thuis uit, op de trein of vanuit een koffiehuisje. Dat zorgt er ook voor dat er minder sociale controle is vanuit de rest van de collega’s op iemand zijn gedrag.  

Veel van de problemen kunnen nochtans relatief makkelijk voorkomen worden als we gebruikers beter opleiden door hen bewust te maken van mogelijke cybergevaren, en ook van hun eigen verantwoordelijkheden ten opzichte van de organisatie en de eventuele consequenties mochten ze daarin tekortschieten. Daarnaast kan je via insider risk management ook een groot deel van de problemen vroegtijdig opsporen en vermijden. Daarvoor maken we bij Secwise gebruik van technologie die samenwerkt met het ‘Information protection’-verhaal enerzijds, en ‘data loss prevention’ anderzijds, namelijk Microsoft Purview Insider Risk Management 

Binnen Information protection gaan we data classificeren en data of documenten labelen, volgens de sensitiviteit van die data. In de volgende fase zetten we verder in op data loss prevention. Voor alle acties die verband houden met je data (delen van data via e-mail, in Teams meetings, via cloud applicaties enz…) worden triggers ingesteld. Bij ongewoon gebruik van de data gaan die triggers automatisch alerts genereren in het Purview Compliance Center en ook bepaalde acties automatisch blokkeren. In een finale stap komt ook het Insider Risk Management aan bod waarbij niet alleen bepaalde, statische policies gaan getriggerd worden, maar waarbij we bijvoorbeeld ook menselijk gedrag meenemen als factor om zo te komen tot een adaptieve in plaats van statische aanpak. 

Microsoft Purview Insider Risk Management correleert daarvoor verschillende signalen om potentiële kwaadwillende of onopzettelijke insiderrisico’s te identificeren, zoals diefstal van intellectuele eigendom, gegevenslekken en schendingen van security policies. Gebouwd volgens het principe van privacy by design, worden gebruikers standaard gepseudonimiseerd en zijn er rolgebaseerde toegangscontroles en auditlogs om de privacy op gebruikersniveau te helpen waarborgen.  

Adaptive policies passen automatisch de risicoscore van werknemers aan op basis van hun gedrag en hoe iemand omgaat met gevoelige data. Iemand die vroeger nooit in je CRM-bestanden of aan financiële data kwam en dat nu wel plots dagelijks doet, vertoont bijvoorbeeld abnormaal gedrag. 

Zelf triggers instellen 

Maar je kan ook triggers instellen voor bepaalde gebeurtenissen. Zodra iemand zijn ontslag geeft, kan je vanuit het gekoppeld HR-systeem een signaal laten vertrekken die de gebruiker een hogere risicoscore geeft. Mocht die werknemer plots veel data beginnen downloaden of via e-mail proberen versturen, zal je insider risk management hem of haar automatisch stoppen en de op voorhand bepaalde verantwoordelijken verwittigen. Dat kan IT zijn of het Security office, tot bijvoorbeeld de HR-dienst of zelfs de legal afdeling. 

Zoals eerder al aangehaald, zijn persoonsgegevens binnen insider risk management gepseudonimiseerd. Enkel bij strafbare feiten of het vermoeden ervan, kan bijvoorbeeld iemand van je legal afdeling toegang krijgen tot de volledige datalogs, om zo een juridische zaak in te leiden. In alle gevallen zit de legal afdeling hier steeds in de ‘drivers seat’, het zal nooit de IT afdeling of Security Office zijn die beslist om de pseudonimisering op te heffen of een zaak in te leiden. 

Het proces van Compliancy, Information Protection, Data Loss Prevention en nu ook Insider Risk Management lijkt misschien eerder weggelegd voor grotere bedrijven. Maar in feite kan elke organisatie die met gevoelige data werkt, zoals ook overheden, banken, advocatenkantoren en ziekenhuizen veel voordelen halen uit deze technologie. 

Begin je graag aan jouw data security journey? Neem dan snel contact op met jouw sales verantwoordelijke binnen Secwise, of vul hier het contactformulier in.