Cyberincidenten veroorzaakt door de 'menselijke factor' worden meestal toegeschreven aan incidentele fouten van medewerkers, maar een belangrijker element wordt vaak over het hoofd gezien: opzettelijk kwaadaardig gedrag van medewerkers. Een nieuw onderzoek van Kaspersky bevestigt dit feit: in de afgelopen twee jaar heeft 77% van de onderzochte bedrijven over de hele wereld te maken gehad met cyberincidenten, waarvan een vijfde werd veroorzaakt door opzettelijk kwaadwillig gedrag van medewerkers.
Een geval bij Tesla vorig jaar illustreert de gevaren van
insider threats voor bedrijven. Twee ex-werknemers van Tesla lekten de namen, adressen, telefoonnummers en e-mailadressen van 75.735 huidige en voormalige werknemers naar een Duitse krant. Toezichthouders in Maine werden op 18 augustus
op de hoogte gesteld van het incident via een melding van een datalek, nadat het bedrijf op 10 mei van de inbreuk had gehoord van de Duitse nieuwsuitgever Handelsblatt en een intern onderzoek had ingesteld.
Insider threats
Er zijn twee soorten bedreigingen van binnenuit: onopzettelijke en opzettelijke. Onbedoelde of toevallige bedreigingen zijn fouten van werknemers, zoals trappen in phishing en andere social engineering-methoden, of gevoelige en vertrouwelijke informatie naar de verkeerde persoon sturen.
Opzettelijke bedreigingen worden daarentegen gepleegd door kwaadwillende insiders die doelbewust inbreken in de systemen van hun werkgever. Ze doen dit meestal voor financieel gewin uit de verkoop van gevoelige gegevens of als wraakactie. Kwaadwillende insiders hebben als doel de normale bedrijfsactiviteiten van een organisatie te verstoren of stop te zetten, zwakke plekken in de IT bloot te leggen en vertrouwelijke informatie te verkrijgen.
Insiders met kwade bedoelingen zijn de gevaarlijkste van alle werknemers die cyberincidenten kunnen uitlokken. De dreiging die van hun acties uitgaat, wordt gecompliceerd door verschillende factoren:
- Insiders hebben specifieke kennis van de infrastructuur en processen van een organisatie, inclusief inzicht in de gebruikte informatiebeveiligingstools.
- Ze bevinden zich al binnen het bedrijfsnetwerk en hoeven niet van buitenaf door te dringen via phishing, firewallaanvallen, etc.
- Ze hebben collega's en vrienden binnen de organisatie, dus het is veel gemakkelijker voor ze om social engineering te gebruiken.
- Insiders met kwade bedoelingen zijn zeer gemotiveerd om hun organisatie schade toe te brengen.
Wat zijn de redenen voor kwaadaardige acties van insiders?
Een van de belangrijkste redenen voor werknemers om kwaadaardige acties te ondernemen tegen een werkgever is financieel gewin. Vaak betekent dit het stelen van gevoelige informatie met de bedoeling deze te verkopen aan een derde partij: concurrenten, of zelfs te veilen op het dark web waar cybercriminelen gegevens kopen om bedrijven aan te vallen.
Wanneer werknemers zijn ontslagen, kan kwaadaardig gedrag plaatsvinden uit wraak. Dit kan zelfs gebeuren via verbindingen met huidig personeel, maar het ergste scenario doet zich voor als ze nog steeds op afstand kunnen inloggen op hun werkaccount omdat de organisatie hun mogelijkheid om toegang te krijgen tot de systemen niet heeft verwijderd zodra de werknemer het bedrijf heeft verlaten.Werknemers kunnen ook kwaadwillig handelen als ze ongelukkig zijn met hun baan of 'om wraak te nemen' op een werkgever die hen bijvoorbeeld geen verwachte opslag of promotie heeft gegeven.
Een ander interessant type kwaadwillige actie doet zich voor wanneer een of meer insiders samenwerken met een externe actor om een organisatie te compromitteren. Bij deze incidenten rekruteren cybercriminelen vaak een of meer insiders om verschillende soorten aanvallen uit te voeren. Het kan ook voorkomen dat derden, zoals concurrenten of andere belanghebbenden, samenwerken met medewerkers om gevoelige gegevens van het bedrijf te bemachtigen.
"Kwaadwillende actoren kunnen overal worden ontdekt, in grote ondernemingen of kleine bedrijven. Daarom moeten bedrijven een up-to-date, veerkrachtig en transparant IT-securitysysteem opbouwen, waarin effectieve beveiligingsoplossingen, slimme beveiligingsprotocollen en trainingsprogramma's voor zowel IT- als niet-IT-medewerkers worden gecombineerd om zich tegen deze dreiging te beschermen. Daarnaast is het cruciaal om producten en oplossingen te implementeren die de infrastructuur van de organisatie beschermen.", zegt Alexey Vovk, Head of Information Security bij Kaspersky.