Insider Threat

Een insider dreiging is een beveiligingsrisico dat afkomstig is vanuit de eigen organisatie. Het gaat meestal om een huidige of voormalige werknemer, contractant of zakenpartner die toegang heeft tot gevoelige informatie of geprivilegieerde accounts binnen het netwerk van uw organisatie en die toegang misbruikt. In het algemeen zijn beveiligingsmaatregelen gericht op bedreigingen van buitenaf waardoor het soms lastig is om een interne bedreiging te identificeren.

Er zijn verschillende typen insider dreigingen. Zo zijn er werknemers die worden gemanipuleerd tot het uitvoeren van kwaadaardige activiteiten en medewerkers die niet handelen met kwaadaardige bedoelingen, maar uit onwetendheid of roekeloosheid acties ondernemen die in strijd zijn met het beveiligingsbeleid. Helaas zijn er ook medewerkers die samenwerken met een derde partij om hun toegang te gebruiken op een manier die opzettelijk schade toebrengt aan de organisatie, bijvoorbeeld door intellectueel eigendom en klantinformatie te stelen. Ten slotte zijn er medewerkers die op eigen initiatief kwaadaardige activiteiten uitvoeren, bijvoorbeeld voor eigen gewin. Hoe meer rechten en privileges (bijv. systeembeheerders) deze medewerkers hebben, hoe hoger het risico.

Een (voormalig) medewerker, ingehuurde contractant, auditor of zakenpartner die toegang heeft tot het pand, data en systemen kan gegevens stelen, manipuleren of vernietigen door gebruik te maken van de toegangsrechten die aan hem of haar zijn toegekend. Informatie kan worden doorgespeeld aan externe partijen en betalingen kunnen worden ingevoerd en geautoriseerd. Soms gebeurt dit door betaalopdrachten toe te voegen aan batches, rekeningnummers van begunstigden te wijzigen of fictieve facturen op te stellen, in te voeren en goed te keuren.

Het detecteren van een aanval door een eigen medewerker, contractant of zakenpartner is geen gemakkelijke taak voor beveiligingsteams. De insider heeft immers legitieme toegang tot data en systemen van de organisatie en onderscheid maken tussen de normale activiteiten van een gebruiker en potentieel kwaadaardige activiteiten is lastig. Insiders kennen de systemen, procedures en controles en weten waar de vertrouwelijke systemen en data zich binnen de organisatie bevinden. De gevolgen van een aanval door een insider kunnen dan ook groot zijn, zeker als het insider betreft met veel privileges. Interne fraudes worden in het algemeen ook later opgemerkt.

Het is belangrijk om te kijken naar het potentiële risico op fraude binnen het bedrijf. Hoewel het risico op fraude nooit geheel kan worden uitgesloten, kunnen goed ontworpen en geïmplementeerde maatregelen de kans op fraude minimaliseren en fraude eerder detecteren.

Onderstaande tips kunnen in meer of mindere mate op uw bedrijf van toepassing zijn.

Limiteer toegang tot bestanden en data

• Geef medewerkers alleen toegang tot bestanden en data die nodig zijn voor hun werk. In Access Online en Internet Bankieren Zakelijk is het daarnaast mogelijk om rekeninginformatie per gebruiker te beperken of volledig te blokkeren.
• Zorg dat medewerkers belangrijke documenten alleen kunnen lezen en niet kunnen aanpassen.
• Bewaar auditlogs van systemen, zodat altijd gecontroleerd kan worden wie welk bestand heeft ingezien en aangepast.

Beveilig uw betalingsverkeer

• Leg rekeningnummers van leveranciers vast in het adresboek en borg dat twee medewerkers zijn betrokken bij aanpassingen. In Access Online is het daarnaast mogelijk om in te stellen dat een medewerker alleen naar (een groep van) leveranciers uit het adresboek bedragen kan overmaken.
• Leg procedureel vast wie betaalopdrachten mag invoeren en wie mag autoriseren. Zorg ervoor dat een gebruiker die mag autoriseren niet een betalingsopdracht kan aanmaken en andersom. Sta uitzonderingen op procedures niet toe.
• 4 ogen principe; zorg ervoor dat er altijd meerdere personen bij betaalopdrachten betrokken zijn. Maak gebruik van functiescheiding, limieten en autorisatiemogelijkheden in ABN AMRO Internet Bankieren Zakelijk en Access Online.
• In Access Online en Internet Bankieren Zakelijk kan er gebruik gemaakt worden van hashing om te controleren of er niet geknoeid is met uw batches. Een hash is een digitale vingerafdruk van uw betaal- of incassobestand.
• Zorg ervoor dat in Access Online en Internet Bankieren Zakelijk de toegangspas op naam van de gebruiker is geregistreerd binnen de gebruikersadministratie, zodat te achterhalen valt wie een actie heeft uitgevoerd.
• In Internet Bankieren Zakelijk kunt u overboekingen naar het buitenland uitzetten als u uitsluitend of overwegend in Nederland actief bent. U kunt dit aanzetten als u een bedrag wilt overboeken naar het buitenland.

Log gebruikersactiviteit

• Leg de activiteiten van uw medewerkers, contracten en zakenpartners vast in logs. Start met gegevens over toegang, authenticatie en accountwijziging.
• Modelleer gebruikersgedrag en identificeer specifieke risicovolle gebeurtenissen.
• Stel alerts in voor afwijkend gedrag. Gedragsafwijkingen helpen om vast te stellen of een gebruiker een kwaadwillende insider is geworden of dat inloggegevens worden misbruikt door een externe aanvaller.
• Zet eventueel een Security Incident & Event Management (SIEM) systeem op.

Cyber respons plan

• Maak een plan zodat u weet welke stappen u moet nemen mocht u worden aangevallen. Stel een lijstje van contactpersonen op die u nodig heeft als u wordt getroffen door een insider dreiging. Zorg dat u weet waar u de belangrijkste contactgegevens kunt vinden en wie u op zo’n moment moet bellen.

Hoe beter u bent voorbereid, hoe meer schade u weet te voorkomen. Maatregelen die hun vruchten kunnen afwerpen bij het beperken van de impact zijn:

• Zet uw cyber respons plan in werking;
• Schakel direct uw security experts in;
• Informeer uw klanten en medewerkers waar nodig;
• Breng lessen uit uw cybersecurity incident training in de praktijk.