Onderschat veiligheidsrisico: de bedreiging van binnenuit
Opgelet, iemand probeert gevoelige bedrijfsgegevens via het IT-netwerk te stelen! Wie bij die zin meteen denkt aan een hacker met een Guy Fawkes-masker in een Russische bunker kan er nog wel eens lelijk naast zitten. De grootste bedreiging komt namelijk van binnenuit, waarschuwt Tim Hoefsloot van Forcepoint. “Datalekken kunnen het gevolg zijn van kwade opzet, maar vaker nog van onwetendheid.”
Tim Hoefsloot, Regional Director Sales, Benelux Forcepoint
Dat IT-bedreigingen van binnenuit een groot risico vormen, blijkt wel uit onderzoek dat Forcepoint onlangs uitvoerde in samenwerking met Team Vier. Daaruit komt naar voren dat in 2016 alleen al 67 procent van de Nederlandse organisaties de dupe werd van een aanval met een interne oorzaak. Doordat een werknemer gevoelige informatie deelde met de buitenwereld bijvoorbeeld, of een laptop met vertrouwelijke gegevens kwijtraakte.
“Natuurlijk is het belangrijk om de IT-infrastructuur en data te beschermen tegen bedreigingen van buitenaf”, zegt Hoefsloot. “Maar bedrijven moeten niet denken dat ze er daarmee zijn. Werknemers, freelancers of andere zakelijke relaties met toegang tot de IT-systemen van een organisatie kunnen een groot risico vormen, zeker wanneer die gebruikers ook IT-admin-rechten hebben. Als ze zelf kwade bedoelingen hebben, of als hun inloggegevens gestolen zijn, kunnen gebruikers met dergelijke rechten behoorlijk wat schade aanrichten.”
Catastrofaal voor alle partijen
Uit het eerder genoemde onderzoek komt ook naar voren dat slechts 61 procent van de organisaties denkt vatbaar te zijn voor IT-bedreigingen van binnenuit, volgens Hoefsloot een teken dat veel ondernemingen de risico’s onderschatten. “Iedere organisatie kan het slachtoffer worden van een IT-bedreiging van binnenuit, IT-managers doen er daarom verstandig aan hun beleid daarop in te richten.”
Een van de grootste bedreigingen van binnenuit de organisatie is het risico op datalekken, stelt Hoefsloot. “Zeker als het gaat om persoonsgegevens hebben bedrijven de wettelijke verplichting daar zorgvuldig mee om te gaan. De daaraan gestelde eisen worden bovendien alleen nog maar strenger als de EU General Data Protection Regulation in 2018 ingaat.” Overigens vindt Hoefsloot dat er daarnaast nog een zeer belangrijke reden is om gegevens goed te beveiligen. “Als Intellectual property, juridische documenten of vertrouwelijke informatie van klanten in verkeerde handen komen, is dat catastrofaal voor alle betrokken partijen.”
Gebruikersrechten beperken
Organisaties moeten daarom beginnen met het opstellen en communiceren van duidelijke richtlijnen, vindt Hoefsloot. “Datalekken komen vaak voort uit onwetendheid. Doordat iemand bijvoorbeeld niet wist dat hij een klantenlijst niet mocht delen, of dat hij thuis verder aan een juridisch document wil werken en het naar zijn onbeveiligde Gmail-account stuurt. Duidelijke richtlijnen over wat wel en niet mag, helpen dat soort lekken te voorkomen.”
Een andere, relatief eenvoudige ingreep is het beperken van gebruikersrechten tot het minimum van wat werknemers nodig hebben om hun werk te kunnen doen. Hoefsloot: “Dat klinkt logisch, toch gebeurt het nog vaak dat werknemers te veel IT-rechten hebben. Dat iemand van marketing bijvoorbeeld bij de gegevens van finance kan, of dat iemand van HR toegang heeft tot het CRM-systeem. Niet altijd nodig.”
Nooit helemaal voorkomen, dus goed monitoren
Want zelfs in een wereld waar werknemers voor 100 procent te vertrouwen zijn, kan hun account gebruikt worden om data te stelen, legt Hoefsloot uit. In het geval dat iemands inloggegevens worden gestolen bijvoorbeeld. “Dat kun je nog deels ondervangen door de toegang tot bedrijfsgevoelige informatie van buiten de fysieke muren van het bedrijfspand af te schermen, en door werknemers vaak hun wachtwoord te laten aanpassen. Maar daarmee voorkom je dan weer niet dat iemand zonder het te weten een e-mail met malware-bijlage opent, van waaruit de datadiefstal begint.”
Hoeveel veiligheidsmaatregelen een organisatie ook neemt, IT-bedreigingen zijn nooit helemaal te voorkomen, is wat Hoefsloot wil zeggen. “Organisaties moeten actief en op geautomatiseerde wijze monitoren op verdacht gedrag. Bepaal door te monitoren een baseline van normaal gedag van een persoon, een afdeling en het bedrijf. Als de IT-afdeling automatisch een waarschuwing ontvangt op het moment dat iemand vertrouwelijke gegevens opvraagt, kan die tijdig ingrijpen en voorkomen dat ze op straat komen te liggen.”
Urgentieniveaus
Daarbij adviseert hij wel bepaalde urgentieniveaus in te bouwen, gebaseerd op de functie van een persoon binnen het bedrijf. “Er kan een legitieme reden voor het opvragen van gevoelige gegevens zijn, omdat iemand ze nou eenmaal nodig heeft voor z’n werk. Als de IT-afdeling elke keer voor een dergelijk voorval wordt gestoord, verwatert na verloop van tijd ook de urgentie om elke keer direct op zo’n melding te reageren. Het is daarom beter om verschillende niveaus van verdachte handelingen in te bouwen, om te voorkomen dat het waarschuwingssysteem teveel false positives geeft.”
Ter illustratie noemt Hoefsloot het voorbeeld van een developer die op kantoor werkt aan een stuk code. “Strikt gezien vraagt hij dan een document met vertrouwelijke informatie op, maar hier is het duidelijk dat hij gewoon z’n werk doet. Dit zou dus een melding met lage urgentie moeten opleveren.”
Informatie naar nieuwe werkgever
Anders wordt het als die developer het stuk code waar hij aan werkte aan het einde van de dag naar z’n Gmail-account uploadt. “Dat levert natuurlijk een risico op, en de organisatie moet dit blokkeren en de medewerker hierop aanspreken”, stelt Hoefsloot.
Een voorbeeld van een scenario dat zou moeten leiden tot een melding van kritieke urgentie heeft Hoefsloot ook. “Als diezelfde developer recentelijk het bestand cv.docx uploadde naar z’n Gmail, en nu enorme hoeveelheden bestanden met broncode naar een usb-stick kopieert, dan is het duidelijk dat er iets niet pluis is. Alles wijst er dan op dat die persoon bedrijfsgevoelige informatie wil meenemen naar een nieuwe werkgever. Dan moet de organisatie meteen ingrijpen en voorkomen dat de vertrouwelijke gegevens het gebouw verlaten.”