Bij cybersecurity gaat het steeds meer om de mens

Kritische data is overal: in de cloud, op vaste en mobiele devices en opslagmedia. Dat maakt het voor de security-professional steeds moeilijker om te bepalen wie wat waar bewaart en in hoeverre data privé of zakelijk is.

De bescherming van al die data is al lang niet meer een kwestie van technologie alleen: ook de mens zelf is een belangrijke factor.

Hoe we omgaan met data is de laatste jaren sterk veranderd. De onderzoekers van Ponemon stelden vast dat de gemiddelde organisatie zo’n 23.000 mobiele devices in gebruik heeft. En een studie van Tech Pro Research wees uit dat 75 procent van de bedrijven nu al een actieve Bring Your Own Device-strategie (BYOD) voert of die heel binnenkort implementeert. Deze trend, waarbij data mobiel wordt, zorgt ervoor dat de risico’s op inbreuken of verlies groter worden. En dat is met alleen technologische securitymaatregelen niet meer terug te dringen.

Dat wordt ook onderstreept door de cijfers. Zo blijkt uit gegevens van het SANS Institute dat een derde van de onderzochte organisaties te maken heeft of heeft gehad met een data-inbreuk die te wijten was aan een eigen medewerker. Het potentiële verlies van zo’n incident kan oplopen tot vijf miljoen dollar. Het Verizon 2017 Data Breach Investigations Report liet zien dat zelfs 43 procent van alle incidenten te wijten is aan menselijk gedrag. Het ging om aanvallen met bijvoorbeeld een kwaadaardige link in of een bijlage bij een e-mail waarbij de ontvanger wordt uitgelokt erop te klikken, waarna kwaadaardige software geïnstalleerd wordt.

Om dit type bedreigingen het hoofd te bieden is meer nodig dan technologie alleen. Forcepoint voerde onlangs een wereldwijd onderzoek uit onder 1.250 cybersecurityprofessionals. Wij vroegen hen naar hun mening over de actuele situatie met betrekking tot cybersecurity en welke veranderingen volgens hen nodig zijn. Het resultaat is het rapport The Human Point: An Intersection of Behaviors, Intent & Data uit 2017, dat laat zien dat de meeste experts niet veel vertrouwen hebben in nog meer cybersecuritytools. Integendeel, een overgrote meerderheid van de respondenten is ervan overtuigd dat begrip van gebruikersgedrag bij het omgaan met data nu cruciaal is. Met andere woorden: om de onderliggende oorzaken van security-incidenten - zoals datadiefstal en verlies of diefstal van intellectueel eigendom - te bepalen en dit type incidenten te voorkomen, moeten securityprofessionals kijken naar de intentie van de gebruiker bij zijn acties.

Risicocategorieën

‘Insiders’ - eigen medewerkers die een bedreiging vormen - zijn in te delen in drie categorieën. De eerste groep maakt onbewust en onbedoeld een fout en stuurt bijvoorbeeld gevoelige informatie naar een verkeerd adres, waardoor het in verkeerde handen valt. De tweede groep is het slachtoffer van phishing of een hack. Hun accountgegevens zijn in handen van kwaadwillende personen gevallen of hun pc of laptop is besmet, wat enorme risico’s met zich meebrengt. De derde groep is de kleinste groep. Deze groep is bewust bezig met het stelen of beschadigen van gegevens, bijvoorbeeld vanwege een gemiste promotie, een andere negatieve ervaring met de organisatie of privéproblemen. De groep van kwaadwillende insiders bestaat uit medewerkers met kennis van en toegang tot vitale onderdelen van het netwerk. Zij hebben om uiteenlopende redenen de intentie om schade aan de organisatie toe te brengen via datadiefstal of -beschadiging. De Insider Threat European Survey liet zien dat 29 procent van alle Europese werknemers opzettelijk niet-geautoriseerde informatie naar derden heeft gestuurd. Het is duidelijk dat deze groep weliswaar de kleinste groep is, maar in beginsel de meeste schade aanricht.

Het onbewust en onbedoeld lekken van data kan te maken hebben met een gebrek aan training en bewustwording, slechte interne processen of gewoon achteloosheid. De Insider Threat European Survey van Forcepoint laat zien dat 41 procent van de medewerkers in Engeland geen training krijgt in dataprotectie.

Nieuw beleid

Een modern beveiligingsbeleid begint met het goed in beeld brengen van deze drie groepen medewerkers. Als dat eenmaal is gebeurd, is te starten met een degelijk insider threat-programma. Stap één is het identificeren van mogelijke dreigingen van binnenuit. Daarbij is een nauwe samenwerking met de juridische afdeling en HR van belang om een helder beleid te bepalen en dat in te voeren. De volgende stap is het selecteren van de vereiste technologie om het programma te ondersteunen. Met een proof-of-concept is vervolgens te bepalen of de juiste keuzes gemaakt zijn. Daarna kan gestart worden met het vastleggen van regulier gedrag, het identificeren van uitzonderingen en het beoordelen van de risico’s. Op basis van die informatie kan men de focus leggen op de gebruiker, en interne training om de bewustwording te vergroten en een gemeenschappelijk kader te creëren voor wat betreft cyberveiligheid. De laatste stap is de inzet van technologie om de beleidsregels af te dwingen en de risico’s te managen.

De belangrijkste technische vereisten voor een insider threat-programma zijn de mogelijkheden om te bepalen welke individuele medewerkers de grootste risico’s vormen en om een diepgaand inzicht in potentieel risicovol gedrag van de gebruiker en de context daarvan te geven. Om aan die eisen te voldoen, heb je twee dingen nodig: data loss prevention om dataverplaatsing te detecteren en user behavioral analytics om het gedrag van gebruikers te monitoren. Deze twee technologieën zijn de pijlers van ieder insider threat-programma en ondersteunen organisaties in het beter beschermen van hun data.

Forcepoint is deelnemer aan Infosecurity.nl op 1 en 2 november 2017 in de Jaarbeurs in Utrecht. Kom langs op onze stand (C115) en leer van onze specialisten hoe wij human-centric security implementeren om uw kritische data te beschermen. Het gaat daarbij uiteindelijk om hoe uw mensen werken. Elke activiteit die afwijkt van de normale gang van zaken zorgt bij Forcepoint voor een rode vlag. Wij laten u graag zien hoe dat exact werkt.