De gevaarlijkste hacker: je collega
Chinese of Russische hackers hebben het inderdaad op je data gemunt, maar ze zijn verre van de enige of zelfs de belangrijkste dreiging voor de cyberveiligheid van je bedrijf. De meeste organisaties zijn het slachtoffer van aanzienlijk banalere technieken zoals social engineering via phishing, of zelfs insider threads. In dat laatste geval komt de dreiging van binnenuit, maar dat betekent niet noodzakelijk dat je bedrijf te kampen heeft met een kwaadwillige mol. Nonchalance of onwetendheid zijn even grote risico’s. Hoe wapen je je organisatie en je werknemers hiertegen?
Een studie van IBM Security uitgevoerd door het Ponemon Institute toont de realiteit van insider threats. De 204 ondervraagde organisaties kregen in 2019 allemaal minstens één keer te maken met een dreiging van binnenin. Sinds 2016 is het aantal gevallen van insider threats verdrievoudigd en de kostprijs verdubbeld.
Malafide smokkelaars en slachtoffers van hackers
De term is erg breed: een insider threat is iedere digitale dreiging die van binnenin je bedrijf komt. Daarbij kan je te kampen krijgen met een misnoegde werknemer die gevoelige data zoals bedrijfsgeheimen en intellectuele eigendom wil buitensmokkelen. Dat hoeft geen geheim agent te zijn. Iemand die bij de concurrentie aan de slag gaat, is realistischer. Of misschien krijgt een ondernemende collega het wel in zijn hoofd om een centje bij te verdienen door cryptomunten te minen via de bedrijfsserver. Zelfs wanneer we de beveiligingsproblemen daarbij buiten beschouwing laten, is de elektriciteitsrekening een probleem op zich.
Veelal is de realiteit saaier. Denk aan een medewerker die zich laat vangen door een externe aanvaller, en foutieve informatie doorstuurt of te goeder trouw factuurgegevens aanpast zodat de volgende betaling aan een leverancier op de rekening van de crimineel terecht komt. Misschien misbruikt een hacker wel de mailbox van je collega door in te loggen via het eenvoudige wachtwoord dat hij of zij al 20 jaar lang overal gebruikt, en intussen vlot circuleert op het dark web. De aanvaller hoeft zelfs geen doorwinterd hacker te zijn: een dief kan een bedrijfslaptop stelen op de trein en zo als insider de nodige schade aanrichten.
De juiste beveiligingstools
Het is helaas al te eenvoudig om realistische scenario’s te bedenken waarbij de veiligheid van je bedrijf van binnenuit bedreigd wordt. Dat is onrustwekkend, aangezien de interne beveiliging van veel ondernemingen daar niet op voorzien is. Vanuit een IT-beveiligingsstandpunt zit security nog te vaak aan de perimeter: rond het bedrijf staat een grote digitale muur, maar wie door de poort raakt, heeft vrijwel vrij spel. Vanuit menselijk oogpunt zijn werknemers om begrijpelijke redenen minder achterdochtig wanneer ze een mail met een vraag van een collega ontvangen.
Ook de oplossing bevindt zich op twee fronten. Langs de technische kant is het belangrijk niet alleen de perimeter van je organisatie te beveiligen, maar ook gevoelige gegevens, endpoints en het netwerk. Zorg ervoor dat werknemers duidelijk gedefinieerde rollen hebben, met enkel de noodzakelijke toegangsrechten. Niet iedereen moet van thuis uit kunnen inloggen op de server met bedrijfsgeheimen en de stagiaire die digitale foto’s komt ordenen behoeft al zeker geen toegang tot de supercomputer in je kelder. Belangrijke bestanden kan je met de juiste software monitoren. Zo gaat er een alarmbel af wanneer iemand data probeert de exfiltreren via een externe harde schijf of een mail naar een persoonlijk adres. Verschillende beveiligingsspecialist maar ook Microsoft zelf hebben hiervoor handige software.
Trainen en testen
Technische oplossingen helpen vooral tegen malafide insiders die er daadwerkelijk slechte bedoelingen op nahouden. Voor andere vormen van insider threats is het belangrijk om het bewustzijn van je werknemers op te krikken. Dat is makkelijker gezegd dan gedaan. Een dreiging kan inderdaad van overal komen, maar een cultuur van diepgeworteld wantrouwen tegenover je medemensen rond de koffiemachine brengt zijn eigen problemen met zich mee. Gelukkig kan je een middenweg bewandelen.
Krijg je een mail van je collega met de vraag om de factuurgegevens van een belangrijke klant aan te passen? Loop dan even naar zijn of haar bureau, of bel heel kort via Teams of Zoom om dat te bevestigen. Vraagt iemand toegang tot bepaalde bestanden of een server? Denk dan even na over het waarom van die vraag, en dubbelcheck even bij een manager en de collega in kwestie. Er is misschien wel een goede reden waarom de persoon geen toegang heeft gekregen van IT.
Een dergelijk bewustzijn creëer je niet via één seminarie. Organiseer trainingen en test mensen op regelmatige basis, zodat dubbelchecken een reflex wordt bij zaken waarmee geld of gevoelige gegevens gemoeid zijn. Iedereen moet beseffen dat informatie niet per definitie betrouwbaar is, gewoon omdat ze afkomstig is van een betrouwbaar mailadres. Hamer er daarbij op dat het niet de bedoeling is om je collega’s te wantrouwen, wel om er samen voor te zorgen dat een geniepige aanvaller niet aan de haal gaat met het budget van de teambuilding en de blauwdrukken voor een revolutionaire nieuwe elektrische step.