Hvordan håndterer man truslen, der kommer indefra?

Det er efterhånden veletableret, at hacking af medarbejdere er blandt de cyberkriminelles mest anvendte angrebsmetoder. Credential stealing, phishing, password breaches, er blot nogle af det metoder der anvendes. Men hvad nu, hvis medarbejdere selv opgiver deres adgang til de kriminelle, og måske endda frivilligt?


Insidertrusler virker måske usandsynligt for mange virksomheder, men det sker oftere end man skulle tro. Medarbejdere kommer til, at tale over sig, give informationer væk eller på anden måde frivilligt, eller ufrivilligt, være en del af et cyberangreb på deres arbejdsplads. Insidere er særligt interessante for cyberkriminelle, der med afpresning, penge eller andre former for “tilbud” kan få medarbejdere til, at give adgang til virksomheden.


Hvad er en insidertrussel?

Din virksomhed består af en række medarbejdere og ledere. Men den består også af tidligere medarbejdere, samarbejdspartnere, freelancere, konsulenter m.m., der alle har viden og måske har haft adgang til din virksomhed, både fysisk og digitalt. Enhver person med det relevante niveau af adgang til computersystemer, viden om virksomhedens opbygning, eller måske viden om intellektuelle rettigheder (IP) eller data, kan være en potentiel trussel.

Når man taler om insidertrusler, så er det særligt vigtigt at undersøge, hvad en potentiel motivation og hensigt kan være. Virksomheder, der har stor udskiftning i medarbejdere eller virksomheder med et kendt dårligt arbejdsmiljø kan være særligt udsatte. Dette da motivationen nemt kan ses i at hævne sig på en tidligere arbejdsgiver, der har givet en fyreseddel eller manglende fornyelse af kontrakten. Hvis ikke virksomheden har klare og gode systemer sat op for at fjerne adgang til mapper, sikre at fortrolig data ikke er hentet ned til private devices, m.m., så stiger truslen eksponentielt.

Insidertrusler kan for størstedelen kategoriseres i fire typer:


“Muldyret”

Muldyr kendes også fra hvidvask af penge, hvor en godtroende person hæver penge, eller er mellemmand for de kriminelle. Når man snakker om insidertrusler, er muldyr de medarbejdere, der uvidende bliver manipuleret til at udføre aktiviteter, der skader virksomheden. Det kan være, at de får en USB med dokumenter der skal printes, afslører forretningshemmeligheder eller downloader malware mens de er på arbejde, gennem kommunikation fra en person, de tror de kender online. Muldyr er ofte ofre for spear-phishing eller social engineering.


“Den naive”

Vi har alle mødt en naiv person. Det kan både være godtroende folk, men også arrogante personer, der ikke tror på virksomhedens sikkerhedspolitik og selv mener, at de ikke kan hackes.

De naive har ikke forstået virksomhedens sikkerhedsprotokoller, og forsøger måske aktivt at omgå disse for, at gøre deres arbejdsdag nemmere. Det kan være passwords på post-it sedler, holde døren for fremmede, anvendelse af ukendte USB’er og lignende. Ifølge Gartner rapporten “Go-to-market for advanced insider threat detection”, står denne type af medarbejdere for 90% af insider hændelser.


“Partneren”

Næsten alle virksomheder har samarbejdspartnere, konsulenter eller freelancere tilknyttet i en periode. En række virksomheder lever faktisk af denne type af samarbejde, som gør, at de ikke behøver at betale for en række goder, såsom løn under sygdom. Partneren kan derfor være en, der ikke har stor loyalitet overfor virksomheden, hvis de føler sig dårligt behandlet. Angreb via partnere sker ofte ved, at deres adgang eller viden om virksomheden bruges til, at skabe fortjeneste hos en konkurrent. Eksempelvis ved, at dele information om intellektuelle rettigheder eller kundeoplysninger, der skaber ændringer i virksomhedens økonomiske- eller strategiske forhold.


“Lone wolf”

Lone Wolf er et begreb, der særligt er kommet fra terrortruslen. Det betyder dog ikke, at der kan drages paralleller på andre måde end ved navnet, og den individuelle og ofte uforudsete hensigt. Lone wolfs adskiller sig fra partneren, da der er tale om en medarbejder i organisationen, der er relativ stor tillid til eller har en status, hvor de har meget viden eller adgang til sensitiv data. Det kan være alt fra en økonomidirektør til systemadministrator eller databaseudvikler.

Motivationen for lone wolfs varierer meget, men der ses typisk et incitament af økonomisk karakter. I visse tilfælde er der tale om afpresning, hvor personlige oplysninger kan blive delt, hvis der ikke leveres den efterspurgte data eller adgang.


Hvordan udnytter de cyberkriminelle en insidertrussel?

Hvis cyberkriminelle ønsker sig adgang til en virksomhed, og der ikke er en teknisk sårbarhed der kan udnyttes, så er det opportunt at forsøge at gå efter medarbejdere. I første omgang kan det være ved at tjekke for dårlige passwords, tidligere data breaches eller om de har profiler på hjemmesider, de måske ikke ønsker, at andre skal have kendskab til. De cyberkriminelle går i første omgang efter potentielle muldyr, og de naive medarbejdere. De bruger forskellige teknikker såsom phishing, social engineering, afpresning og malware for, at skabe adgang til medarbejderen. I tilfælde, hvor medarbejderen enten frivilligt eller ufrivilligt begynder at kommunikere med de cyberkriminelle, så kan de komme til at omgås de sikkerhedsprotokoller, som ellers skal beskytte virksomheden.

Helt konkret, så ser cyberkriminelles strategi for insidere ofte sådan her ud:


Find sårbarheden

  • Få en person til at svare på beskeder, enten via sociale medier eller via phishing mails

  • Identificer en useriøs bruger eller samarbejdspartnere (f.eks. personer, der brokker sig over deres arbejde på sociale medier).

  • Finde tidligere data breaches, hvor kodeord stadig anvendes.

Få adgang

  • Kompromitter computer, cloud eller sociale medier

  • Få flere oplysninger om personen og virksomheden

  • Opnå adgang til følsomme data om personen (kodeord, data fra hjemmearbejde, nemID, følsomme billeder, mv.).

Misbrug af sikret data/information

  • Download og hent data, der kan bruges mod medarbejderen

  • Ændre deres password/låse dem ude af deres profiler

  • Afpres brugeren, hvis nødvendigt

I de kommende år vil vi se flere og mere kreative former for insider-angreb. Hjemmearbejde, eksterne jobs og cloud-løsninger øger risikoen for fejl, og medarbejdere, der ikke har forstået vigtigheden af sikkerhedsprotokollerne er nemme mål. Senest har vi set falske jobsamtaler, hvor cyberkriminelle spørger ind til tidligere jobs, erfaringer og projekter, som så får medarbejderen til at opgive vigtig viden om den virksomhed de arbejdede for.


Kan man mitigere insidertrusler?

Alt efter din virksomheds størrelse, og sikkerhedsbudget, er der forskellige måder, at nedsætte risikoen fra insidertrusler. For større virksomheder vil anvendelse af centraliserede data og logningsovervågning, såsom SIEM-platforme, være brugbart, men for mindre virksomheder kan disse løsninger ofte være omkostningsfulde og uoverskuelige.

For alle virksomheder kan en analyse af deres egne sårbarheder på tværs af HR, Drift, IT, Ledelse og udvikling være en øjenåbner for, at identificere mulige typer af insidertrusler. Viden om hvem der har adgang til forskellige systemer og data er ligeledes en vigtig del i, at sikre sig mod insidertrusler, hvor privileged access management (PAM) og zero-trust løsninger kan være ideelle.


Viden om sine potentielle sikkerhedshuller når det kommer til mennesker, og en strategi for, hvordan man vil arbejde med denne viden, kan hjælpe din virksomhed til proaktivt at vælge de rette værktøjer til at håndtere insidertrusler. Om end det er SIEM, PAM eller Zero trust løsninger, det kommer meget an på virksomhedens profil og risikovillighed.