Insiderhot är lömska och notoriskt svåra att upptäcka och förebygga. Ett av skälen till detta är att det rör sig om kollegor, inte "hackare i luvtröja". Men insiderhot är inte alltid illasinnade; oavsiktliga insiders är lika mycket ett hot mot datasäkerheten som illasinnade anställda som är ute efter att orsaka skada.
Riskrådgivarna Kroll producerar regelbundna rapporter om säkerhetsläget: i Krolls rapport Q3 2022 Threat Landscape toppade insiderhot på högsta nivå; rapporten visade att nästan 35 % av alla incidenter med obehörig åtkomst hade insiderhot som huvudorsak.
Insiderhot är kontrollerbara men kräver ett spektrum av hanteringsstrategier. Här är några exempel på insiderhot och fem strategier som du kan använda för att minska dessa hot.
Som nämnts är insiderhot inte alltid ett hot som beror på illvilliga säkerhetsattacker; olyckor och försumlighet spelar en viktig roll vid säkerhetsincidenter. Dessutom varierar personerna bakom insiderhot också och inkluderar anställda, leverantörer, konsulter och frilansare.
Här är några exempel på den typ av insiderhot som skadar företag:
Exempel på hot från insiders
Missnöjda anställda
Det kan hända att människor som lämnar en organisation gör det av glädje. Anställda som har något att säga till om kan orsaka skada genom att avslöja uppgifter eller stjäla konfidentiell information. En färsk rapport från Unit 42 Research visade att 75 % av de säkerhetsincidenter som de hanterade kunde spåras till missnöjda anställda. Det är dock inte alla rapporter som håller med. Många studier visar att oavsiktliga eller försumliga insiders är lika farliga.
Oaktsamhet och olyckor
Att vara medveten om säkerheten är något som måste inlemmas som en naturlig reaktion. Alternativet är att insiders glömmer bort att dubbelkolla viktiga rutiner; en försumlig anställd kan t.ex. skicka känsliga uppgifter till fel person via e-post eller lämna känsliga dokument på en skrivare. Okrypterade arbetsenheter är ett annat område där data kan vara i fara. Om en anställd reser regelbundet ökar risken för att lämna en telefon eller bärbar dator på ett tåg eller på en flygplats. Om den enheten hamnar i fel händer är alla data och företagets appåtkomst i fara.
Skadliga insiders
Missnöjda anställda är en form av en anställd som drar nytta av att lämna ett företag för att begå en skadlig handling. Vissa anställda är dock medvetet illvilliga och söker möjligheter att stjäla uppgifter och sälja företagshemligheter. Att rekrytera insiders för att utföra skadlig verksamhet är inget nytt; industrispionage är lika gammalt som industrin.
Cyberkriminella rekryterar dock numera anställda digitalt. Cyberkriminella försöker ofta kontakta en specifik anställd, t.ex. de som har privilegierad tillgång till nätverket, eller använder verktyg som sociala medier eller onlineforum (inklusive dark web) för att komma i kontakt med insiders; den potentiella rekryteraren erbjuds stora summor pengar för att hjälpa dem att installera utpressningstrojaner eller stjäla data.
Lösningen för insider
Vissa människor tycker att säkerhetsrutiner är besvärliga för dem själva. Om så är fallet kommer de troligen att strunta i säkerhetsprinciperna och hitta lösningar som gör det möjligt för dem att fortsätta att utöva dåliga säkerhetsbeteenden. Resultatet är detsamma, exponerade uppgifter eller missbrukade åtkomstuppgifter, som ofta delas med kollegor för att underlätta. En undersökning från 2022 visade att 62 % av de anställda delade lösenord via sms eller e-post.
Insiders inom försörjningskedjan
Leverantörskedjor, leverantörer, konsulter och andra kan vara avstängda från lönelistan. De utgör dock fortfarande ett insiderhot eftersom de ofta har tillgång till företagsappar och känslig information: spear phishing-attacker riktar sig ofta till personal i försörjningskedjan av just denna anledning. Dessutom har många ökända cyberattacker kunnat spåras till en leverantör. Ett exempel är leveranskedjeattacken mot General Electric (GE). 2020 fick cyberbrottslingar obehörig tillgång till ett e-postkonto hos ett partnerföretag till GE, och kontot visade känslig information om GE-anställda.
Fem strategier för att minska insiderhot
Oavsett varifrån ett insiderhot kommer finns det sätt att förebygga insiderhot:
Skapa en kultur där säkerheten är viktig
En säkerhetskultur är en kultur där säkerheten blir en djupt rotad del av arbetslivet. Om man uppnår en säkerhetskultur minimerar man riskerna med oavsiktliga eller oaktsamma insiders. En säkerhetskultur ändrar dåliga säkerhetsbeteenden och ger de anställda kunskap om hur de ska hantera säkerhetsrisker, i stället för att enbart förlita sig på ditt säkerhetsteam. Effektivt säkerhetsmedvetande handlar om att sätta människor i centrum för att upprätthålla en säker miljö. En effektiv säkerhetskultur kommer snarare än att fördela skulden att ge de anställda befogenheter och möjligheter och kan till och med hjälpa dem att identifiera och hantera illasinnade anställda.
Bygg upp ett förtroende hos dina anställda och icke-anställda
Det är en utmaning att ändra säkerhetsbeteendet hos människor som inte kan bry sig om säkerhet eftersom de anser att det stör deras arbete. För att minska riskerna med säkerhetsomläggningar bör en organisation arbeta för att bygga upp en pålitlig arbetsrelation med anställda, leverantörer och andra. Utbildningen i säkerhetsmedvetenhet bör till exempel utformas så att den skapar relationer som stämmer överens med deltagaren genom att använda innehåll som fokuserar på specifika roller och risker. Att tillhandahålla väl utformade säkerhetsverktyg som bygger på en utmärkt användarupplevelse och är enkla att använda kommer också att bidra till att hindra anställda och andra från att leta efter lösningar.
Utföra regelbunden utbildning i säkerhetsmedvetenhet.
Människor har en tendens att glömma träningen om den inte sker regelbundet. I en USENIX-studie om hur regelbunden utbildning påverkar effektiviteten av säkerhetsmedvetandets utbildning konstaterades det att den första utbildningen för de anställda varade i ungefär fyra månader, men att de anställda efter sex månader inte kunde upptäcka phishingmejl. Utbildning i informationssäkerhet kan ofta hjälpa till att upptäcka insiderhot innan de orsakar verklig skada.
Ha en stabil process för att lämna anställda
Det är svårt att hantera skadliga anställda, även de som lämnar organisationen. Ett av de mest effektiva sätten att inkludera dessa anställda i dina strategier för att minska insiderhot är att ha robusta processer som säkerställer att anställda som slutar får tillgång till sina konton omedelbart borttagna.
Verktyg för att minska skadlig personal
Skadliga anställda döljer aktivt sina spår, vilket kan vara svårt att upptäcka. Använd verktyg och processer som implementerar en "nollförtroende"-strategi för säkerhet; dessa processer använder principen om minsta möjliga privilegier för att kontrollera åtkomsten till känsliga data och företagsnätverket. Säkerhetsverktyg som DLP-lösningar (Data Loss Prevention) kan hjälpa till att minska illvilliga och oavsiktliga hot från insiders.
Tänk på din bredare leveranskedja
Kom ihåg dina leverantörer, entreprenörer och andra tredje parter när du genomför utbildning i säkerhetsmedvetenhet och använder säkerhetsverktyg med nollförtroende. Se till att din bredare användarbas förstår sin roll när det gäller säkerhet och integritet; använd rollbaserad säkerhetsutbildning och phishing-simuleringar som lär leverantörer och konsulter hur man upptäcker spear phishing och social ingenjörskonst riktad mot deras anställda.
Att minska insiderhot är en utmaning eftersom hoten har många olika former, från oavsiktliga till illasinnade, och för att upptäcka och förhindra detta spektrum av attacker krävs en kombination av mänskliga och tekniska åtgärder. Dessa lösningar inkluderar mänskligt inriktad utbildning i säkerhetsmedvetenhet, rollbaserade phishing-simuleringar, robusta säkerhetsprocesser och säkerhetslösningar som nollförtroende. Men när den används som en 360-graders strategi för insiderhotet är denna kombination av människocentrerade åtgärder och teknik ett kraftfullt sätt att begränsa dessa lömska hot.