September 2019 har förklarats vara månad för medvetenhet om insiderhot av USA:s nationella centrum för kontraspionage och säkerhet(NSCS) och den nationella arbetsgruppen för insiderhot(NITTF).
Initiativet har inrättats särskilt för att öka medvetenheten om de allvarliga risker som insiderhot utgör, samtidigt som man uppmuntrar de anställda att känna igen och rapportera säkerhetsincidenter så att man kan ingripa tidigt.
Det är lätt att fokusera på de mer akuta hoten mot cybersäkerheten, men faktum är att insiderhot kan vara lika skadliga och kräver samma vaksamhet för att förebygga och upptäcka dem.
Den här typen av attacker är vanligare än du kanske tror och enligt Verizon Insider Threat Report kommer 20 % av alla cybersäkerhetsincidenter och 15 % av alla dataintrång från insiders inom en organisation.
Attackerna kan också vara extremt kostsamma, och den genomsnittliga incidenten kostar organisationer mer än 8 miljoner dollar. Vi har en tendens att tro att dessa attacker är överlagda och ondskefulla, och det är de ofta, men majoriteten av insiderhot är ett resultat av dåliga säkerhetsrutiner hos de anställda.
Vad är ett insiderhot?
Ett insiderhot är en säkerhetsincident som har sitt ursprung i en organisation snarare än från en extern källa. Det kan vara en nuvarande eller tidigare anställd, en entreprenör, en tredjepartsleverantör eller någon annan affärspartner som har tillgång till organisationens data och datasystem.
Alla organisationer är sårbara, men vissa branscher som tillverkningsindustrin, hälso- och sjukvården och finansbranschen tenderar att ha en högre riskprofil än andra. Detta kan bero på de stora mängder värdefull information som de innehar.
Insider Threats: Typer av insiderhot
Insiderattacker kan vara särskilt farliga eftersom insiders, till skillnad från externa aktörer som försöker infiltrera ett nätverk, vanligtvis har legitim tillgång till en organisations datorsystem. De kan få tillgång till känsliga uppgifter utan att väcka misstankar och angreppen kan ofta gå obemärkt förbi i veckor eller till och med månader.
För att organisationer ska kunna stoppa insiderhot måste de känna till de olika typerna av hot och motivationen bakom attacken.
- Illvillig insider - Detta är en anställd som utnyttjar sin privilegierade tillgång för att medvetet stjäla data eller begå andra negativa handlingar mot organisationen. En annan typ av illvillig insider är den missnöjda medarbetaren. De kommer medvetet att försöka hitta sätt att skada organisationen om de anser att de har blivit illa behandlade. Det kan handla om att redigera eller radera stora mängder känsliga uppgifter eller störa kritiska system.
- Kompromitterad insider - Detta kan ofta vara en av de farligaste typerna av insiderhot eftersom anställda kanske inte ens inser att de har blivit komprometterade. Vanligtvis infekteras deras dator med skadlig kod när de klickar på en phishing-länk eller öppnar en skadlig bilaga.
- Försumlig insider - En anställd som inte följer korrekta IT-procedurer kallas en försumlig insider. Oavsett om de lämnar sin dator olåst, lämnar känsliga uppgifter öppet synliga eller släpper in en auktoriserad person i byggnaden, utsätter dessa anställda organisationen för stora risker med dåliga säkerhetsrutiner.
Varningstecken
Det finns ofta ett antal varningssignaler som kan varna organisationer för ett insiderhot. Dessa är bland annat följande:
- Hämta eller få tillgång till stora mängder känsliga uppgifter.
- Användning av externa lagringsenheter, t.ex. USB-minnen.
- Åtkomst till uppgifter som inte är kopplade till arbetsrollen
- Kopiering av filer från känsliga mappar
- Skicka känsliga uppgifter via e-post utanför organisationen
- Personlighets- och beteendeförändringar
- Arbeta på ovanliga tider
Exempel med hög profil
Tyvärr finns det gott om exempel på organisationer som har blivit utsatta för Insider-hot. Dessa uppmärksammade attacker har visat på den ekonomiska skada och skada på anseendet som kan orsakas av insiderhot. Några av de mer uppmärksammade fallen är följande:
Punjab National Bank
I en av de mest kostsamma insiderattackerna använde en anställd vid Punjab National Bank interbankkommunikationssystemet SWIFT för att godkänna utfärdandet av pengar genom Letters of Undertaking och Foreign Letters of Credit. Genom dessa bedrägliga transaktioner kunde den anställde överföra medel på sammanlagt 1,5 miljarder pund.
Morrisons
2017 ställdes Morrisons, en av Storbritanniens ledande snabbköpskedjor, till svars efter att en missnöjd internrevisor publicerat uppgifter om över 100 000 anställda. Detta inkluderade känsliga uppgifter som nationalförsäkringsnummer, födelsedatum och bankkontouppgifter. 5 5 518 anställda stämde Morrisons inför domstol och hävdade att läckan hade utsatt dem för risken för identitetsstöld och potentiella ekonomiska förluster. Morrisons befanns vara ansvarigt och ådrog sig kostnader på upp till 2 miljoner pund.
Mål
Intrånget i Target 2014 inträffade när en anställd i en tredje part klickade på en phishing-länk som hjälpte angriparna att ta sig in i HVAC-leverantörens nätverk och så småningom in i Target-nätverket. Attacken äventyrade namn, adresser, telefonnummer, e-postadresser och kreditkortsuppgifter för över 70 miljoner människor. I det här fallet hade insidern inte några illasinnade avsikter, men attacken orsakade betydande ryktesspridning och kostade företaget 300 miljoner dollar.
Hur kan organisationer försvara sig mot insiderhot?
Utbildning i säkerhetsmedvetenhet - Utbildning är viktig för att utbilda de anställda i säkerhetspolicy och de hot som de kan stöta på i sin dagliga verksamhet. Det kan handla om allt från ett phishingmejl till vikten av fysisk säkerhet på arbetsplatsen. Små brister i omdömet kan orsaka stor skada för en organisation, så personalen måste få regelbunden utbildning för att se till att de vet hur de ska identifiera och reagera på lämpligt sätt på nya hot.
Använd stark autentisering - Om en organisations konton kan äventyras kan insiders röra sig i nätverk och stjäla känsliga uppgifter. Anställda bör undvika att dela med sig av lösenord och det bör finnas starka autentiseringsprocesser för tillgång till känsliga program och system.
Övervaka de anställdas beteende på nätet - Organisationer bör regelbundet övervaka de anställdas beteende för att upptäcka misstänkta aktiviteter. Det kan handla om att logga in vid slumpmässiga tidpunkter, få tillgång till känsliga uppgifter eller försöka kopiera uppgifter från mappar som de inte har behörighet att se. Beteendeanalyser kan spela en viktig roll när det gäller att identifiera användare som agerar utanför normen. Ju tidigare organisationer kan upptäcka detta beteende, desto snabbare kan de lösa eventuella problem.
Inrätta en process för rapportering av incidenter - Organisationer bör ha ett tydligt förfarande för rapportering och loggning av alla säkerhetsincidenter. Rapporteringskapaciteten ska omfatta alla typer av incidenter som kan inträffa och fastställa lämpliga åtgärder. På så sätt kan man upptäcka misstänkt beteende och tillhandahålla all nödvändig information som krävs för myndighetsrapportering.
MetaCompliance specialiserar sig på att skapa den bästa utbildningen för medvetenhet om cybersäkerhet som finns på marknaden. Våra produkter tar direkt itu med de specifika utmaningar som uppstår i samband med cyberhot och företagsstyrning genom att göra det lättare för användarna att engagera sig i cybersäkerhet och efterlevnad. Kontakta oss för mer information om hur vi kan hjälpa till att omvandla utbildningen i cybersäkerhet inom din organisation.