September 2019 er blevet erklæret National Insider Threat Awareness Month af det amerikanske National Counterintelligence and Security Center(NSCS) og National Insider Threat Task Force(NITTF).
Initiativet er specifikt oprettet for at øge bevidstheden om de alvorlige risici, som insidertrusler udgør, og samtidig tilskynde medarbejderne til at genkende og rapportere sikkerhedshændelser, så der kan gribes ind på et tidligt tidspunkt.
Det er let at fokusere på de mere presserende trusler mod cybersikkerhed, men virkeligheden er, at insidertrusler kan være lige så skadelige og kræver den samme årvågenhed for at hjælpe med at forebygge og opdage dem.
Disse typer angreb er mere almindelige, end du måske tror, og ifølge Verizon Insider Threat Report stammer 20 % af cybersikkerhedshændelserne og 15 % af databruddene fra insidere i en organisation.
Angrebene kan også være ekstremt dyre, idet den gennemsnitlige hændelse koster organisationer mere end 8 millioner dollars. Vi har en tendens til at tro, at disse angreb er overlagte og uhyggelige, og det er de ofte også, men størstedelen af insidertrusler skyldes dårlig sikkerhedspraksis hos medarbejderne.
Hvad er en insidertrussel?

En insidertrussel er en sikkerhedshændelse, der stammer fra en organisation selv og ikke fra en ekstern kilde. Det kan være en nuværende eller tidligere medarbejder, en kontrahent, en tredjepartsleverandør eller en anden forretningsforbindelse, som har adgang til organisationens data og computersystemer.
Alle organisationer er sårbare, men visse brancher som f.eks. fremstillingsindustrien, sundhedssektoren og finanssektoren har en tendens til at have en højere risikoprofil end andre. Det kan skyldes de store mængder værdifulde oplysninger, som de opbevarer.
Insider Threats: Typer af insidertrusler

Insiderangreb kan være særligt farlige, fordi insidere i modsætning til eksterne aktører, der forsøger at infiltrere et netværk, typisk har legitim adgang til en organisations computersystemer. De kan få adgang til følsomme data uden at vække mistanke, og angrebene kan ofte gå ubemærket hen i uger eller endda måneder.
For at organisationer kan stoppe insidertrusler, skal de kende til de forskellige typer trusler og motivationen bag angrebet.
- Ondskabsfuld insider - Dette er en medarbejder, der udnytter sin privilegerede adgang til bevidst at stjæle data eller begå andre negative handlinger mod organisationen. En anden type ondsindet insider er den utilfredse medarbejder. De vil bevidst forsøge at finde måder at skade organisationen på, hvis de føler, at de er blevet dårligt behandlet. Det kan være at redigere eller slette store mængder følsomme data eller forstyrre kritiske systemer.
- Kompromitteret insider - Dette kan ofte være en af de farligste typer af insidertrusler, da medarbejderne måske ikke engang er klar over, at de er blevet kompromitteret. Typisk vil deres computer blive inficeret med malware som følge af, at de klikker på et phishing-link eller åbner en ondsindet vedhæftet fil.
- Uagtsom insider - En medarbejder, der ikke følger de rette it-procedurer, er kendt som en uagtsom insider. Uanset om de lader deres computer stå ulåst, lader følsomme data ligge frit fremme eller lukker en autoriseret person ind i bygningen, udsætter disse medarbejdere deres organisation for en stor risiko med dårlige sikkerhedspraksis.
Advarselstegn

Der er ofte en række advarselstegn, der kan advare organisationer om en insidertrussel. Disse omfatter:
- Download af eller adgang til store mængder følsomme data
- Brug af eksterne lagringsenheder som f.eks. USB-sticks
- Adgang til data, der ikke er knyttet til jobrollen
- Kopiering af filer fra følsomme mapper
- Emailing af følsomme data uden for organisationen
- Personligheds- og adfærdsændringer
- Arbejde på usædvanlige arbejdstider
Eksempler med høj profil

Desværre er der ingen mangel på eksempler på organisationer, der har været udsat for Insider-trusler. Disse højt profilerede angreb har understreget den økonomiske skade og den skade på omdømme, der kan blive påført som følge af insidertrusler. Nogle af de mere bemærkelsesværdige tilfælde omfatter bl.a:
Punjab National Bank
I et af de dyreste insiderangreb brugte en ansat i Punjab National Bank SWIFT-interbankkommunikationssystemet til at godkende udstedelse af penge gennem Letters of Undertaking og Foreign Letters of Credit. Gennem disse svigagtige transaktioner kunne medarbejderen overføre midler for i alt 1,5 mia. pund.
Morrisons
I 2017 blev Morrisons, en af Storbritanniens førende supermarkedskæder, stillet til ansvar, efter at en utilfreds intern revisor offentliggjorde oplysninger om over 100.000 medarbejdere. Dette omfattede følsomme data som f.eks. nationale forsikringsnumre, fødselsdatoer og bankkontooplysninger. 5 5 518 medarbejdere indbragte Morrisons for retten med påstand om, at lækagen havde udsat dem for risikoen for identitetstyveri og potentielle økonomiske tab. Morrisons blev fundet ansvarlig og pådrog sig omkostninger på op til 2 mio. pund.
Mål
Target-bruddet i 2014 skete, da en tredjepartsmedarbejder klikkede på et phishing-link, som hjalp angriberne med at komme ind på HVAC-leverandørens netværk og i sidste ende ind på Target's netværk. Angrebet kompromitterede navne, adresser, telefonnumre, e-mailadresser og kreditkortdata for over 70 millioner mennesker. I dette særlige tilfælde havde insideren ikke ondsindede hensigter, men angrebet forårsagede betydelig skade på virksomhedens omdømme og kostede virksomheden 300 millioner dollars.
Hvordan kan organisationer forsvare sig mod insidertrusler?
Uddannelse i sikkerhedsbevidsthed - Uddannelse er afgørende for at uddanne medarbejderne i sikkerhedspolitikker og de trusler, som de sandsynligvis vil støde på i deres daglige arbejde. Det kan være alt fra en phishing-e-mail til vigtigheden af fysisk sikkerhed på arbejdspladsen. Små fejltagelser kan potentielt forårsage stor skade på en organisation, så medarbejderne skal modtage regelmæssig uddannelse for at sikre, at de ved, hvordan de kan identificere og reagere hensigtsmæssigt på trusler i udvikling.
Brug stærk autentificering - Hvis en organisations konti kan blive kompromitteret, kan insidere bevæge sig sideløbende rundt i netværk og stjæle følsomme data. Medarbejderne bør undgå at dele adgangskoder, og der bør være stærke autentificeringsprocesser for adgang til følsomme programmer og systemer.
Overvåg medarbejdernes onlineadfærd - Organisationer bør regelmæssigt overvåge medarbejdernes adfærd for at opdage mistænkelig aktivitet. Det kan være at logge ind på tilfældige tidspunkter, få adgang til følsomme data eller forsøge at kopiere data fra mapper, som de ikke er autoriseret til at se. Adfærdsanalyser kan spille en vigtig rolle i forbindelse med at identificere brugere, der handler ud over normen. Jo tidligere organisationer kan opfange denne adfærd, jo hurtigere kan de løse eventuelle problemer.
Etablering af en proces til rapportering af hændelser - Organisationer bør have en klar procedure for rapportering og logning af alle sikkerhedshændelser. Rapporteringsmuligheden skal omfatte alle de forskellige hændelser, der kan opstå, og indeholde passende reaktioner. Dette vil hjælpe med at afsløre enhver mistænkelig adfærd og give alle de nødvendige oplysninger, der kræves til indberetning til myndighederne.
MetaCompliance har specialiseret sig i at skabe den bedste uddannelse i cybersikkerhed, der findes på markedet. Vores produkter tager direkte fat på de specifikke udfordringer, der opstår som følge af cybertrusler og corporate governance, ved at gøre det lettere for brugerne at engagere sig i cybersikkerhed og overholdelse af reglerne. Kontakt os for yderligere oplysninger om, hvordan vi kan hjælpe med at transformere Cyber Security-træning i din organisation.