Je end points zijn goed beveiligd, bedrijfsdata worden netjes en frequent geback-upt. Firewalls en ids/ips-systemen voorkomen ongewenste datastromen binnen je netwerk en dankzij een proxyserver met antivirussoftware maakt malware geen kans. Kortom, je hebt de it-beveiliging van je bedrijf goed op orde. Toch?
Helaas. Hoe goed bedoeld ook, traditionele cybersecurity alleen is niet meer voldoende om cybercrime buiten de deur te houden en kritische bedrijfsdata te beschermen. Want terwijl de budgetten voor it-beveiliging stijgen, loopt het aantal datalekken en beveiligingsincidenten in het bedrijfsleven niet terug. Sterker nog: in 2016 was er sprake van een recordaantal van 1093 datalekken onder Amerikaanse bedrijven en overheidsinstanties, zo blijkt uit onderzoek van Gartner. De discrepantie tussen beveiliging en bedreiging is overduidelijk. Maar waar zit nu het grootste gat?
Menselijke benadering
Er is één factor die het grootste risico vormt voor de it-beveiliging van bedrijven. Een factor waar bedrijven tegelijkertijd niet zonder kunnen. Inderdaad: de werknemer. Menselijk handelen kan zelfs de meest ingenieuze beveiligingssystemen ontwrichten – opzettelijk of per ongeluk. De schade varieert van diefstal van informatie, financiële middelen of identiteit tot en met het vervalsen of verwijderen van data.
In plaats van veel geld en tijd te steken in de beveiliging van systemen en infrastructuren, is het voor de it-afdeling daarom belangrijker dan ooit om inzicht te verkrijgen in het handelen van werknemers. Hoe ze omgaan met kritische bedrijfsinformatie bijvoorbeeld, of het kennisniveau van it en beveiliging. Maar ook factoren als tevredenheid, vermoeidheid, alertheid en oog voor detail spelen een cruciale rol.
Typen werknemers
Een van de manieren om risicovol handelen van werknemers – of insiders – in kaart te brengen, is door hen systematisch in te delen in verschillende typen.
Accidental insiders.
De werknemer die onbedoeld risico veroorzaakt, bijvoorbeeld door gebrek aan training, awareness of fatsoenlijke processen en systemen. Twee veelvoorkomende subtypen zijn de inadvertent actor en de convenience seeker. De eerste is het slachtoffer van slecht gecommuniceerde beleidspunten en kent de regels niet, of is zich simpelweg niet bewust van de cybersecurityrisico’s. De tweede is ervan overtuigd dat bepaalde regels niet voor hem of haar gelden, of denkt dat alle horrorverhalen rondom cybercrime wel meevallen.
Compromised insiders.
De werknemer van wie gegevens zijn gestolen door hackers met kwade bedoelingen. Een veelvoorkomend subtype is het malware victim, getarget en geïnfecteerd met phishingmails of ransomware. Een tweede subtype is de impersonated user van wie gebruikersnaam en wachtwoord zijn gestolen en die zo de deur openzet voor hackers.
Malicious insiders.
De werknemer met kennis van, en toegang tot bedrijfsinformatie, en met kwade bedoelingen door interne of externe invloeden. De rogue employee koestert een bepaalde wrok tegen zijn werkgever en gebruikt zijn of haar positie voor kwaadaardige handelingen als het kopiëren, verwijderen of vervalsen van data, of om zaken te kopen zonder toestemming. De criminal actor employee gebruikt zijn of haar interne status om netwerktoegang te krijgen en gevoelige informatie te ontvreemden in opdracht van criminele partijen.
Proactieve bescherming
Alleen door te kijken naar menselijk handelen, (on)gewenst gedrag systematisch in kaart te brengen en deze informatie mee te nemen in de it-beveiliging, zijn bedrijven in staat hun kritische bedrijfsdata te beschermen. Een succesvol cybersecuritybeleid richt zich daarom niet alleen op traditionele technologie, maar ook op bedrijfscultuur en intelligente software die individueel gedrag inventariseert om afwijkende zaken tijdig te signaleren. Zo is het mogelijk om gebruikers, kritische bedrijfsdata en – het belangrijkst – de momenten waarop deze twee factoren elkaar kruisen, proactief te beschermen.
Tim Hoefsloot, regionaal verkoopdirecteur bij Forcepoint Benelux
