2018-05-23 15:15 | Thore West Eilersen

Det generelle trusselsbillede: Insidertruslen

Hvor de sidste posts har omhandlet eksterne trusler vil denne blogpost i stedet beskrive en trussel, som ofte får mindre opmærksomhed – men som samtidig kan have store konsekvenser, hvis den ikke bliver taget alvorligt: Insidertruslen.

Insidertruslen udgøres af medarbejdere, der forstyrrer, ødelægger eller åbner for adgangen til et system, netværk eller data. Samtidig kan både ledere og medarbejdere udgøre denne trussel både bevidst og ubevidst.

Den bevidste insider

Den bevidste insider er ofte motiveret af utilfredshed med sin egen position i virksomheden, løn, arbejdsforhold og lignende. Vedkommende kan gøre sin utilfredshed gældende ved at gøre skade på sin virksomheds omdømme. Dette kan eksempelvis ske ved at forstyrre kundernes adgang til salgssystemer, eller ved at bruge firmaets officielle konti på sociale medier til at sprede misinformation.

Alternativt kan vedkommende bruge sin adgang til virksomhedens it-systemer til at indsamle information, der efterfølgende kan sælges til konkurrerende virksomheder.

Et af mest omfattende eksempler på insidertruslen er Edward Snowden, som i 2013 lækkede meget store mængder information omkring det arbejde, som amerikanske og andre vestlige efterretningstjenester udfører. Snowden brugte sin position som contractor hos det amerikanske National Security Agency (NSA) til at downloade meget store mængder af dokumenter. Efterfølgende delte han sin viden med en række medier.

Edward Snowden
NSA whistlebloweren Edward Snowden(i).

Det er op til den enkelte, at afgøre, hvad man synes om Snowdens motiver. Tilbage står, at store mængder ekstremt sensitiv information blev stjålet fra en af verdens mest kapable efterretningstjenester. Sådanne institutioner forventes normalt at kunne holde på hemmeligheder – hvis det kan ske der, så kan det ske alle steder.

Et andet eksempel på insidertruslen blev opdaget i april 2017. Her sigtede det amerikanske justitsministerium en ansat hos finanshuset KCG for at have stjålet kildekoden til virksomhedens trading algoritmer. KCG lever som mange andre finanshuse netop af disse algoritmers effektivitet. KCG havde i 2016 et overskud på mere end $1.4 mia., og havde derfor stor interesse i, at de forblev i firmaets varetægt.

Udåden blev opdaget af en anden ansat i firmaet, der ikke kunne forstå, hvorfor han konstant blev logget af sin hjemmearbejdsplads. Efterfølgende kunne den anklagede fortælle, at han ganske rigtigt havde stjålet kildekoden til virksomhedens algoritmer – og at han gjorde det fordi han frygtede for sin egen position forud for et muligt køb af KCG(1,2,3).

Den ubevidste insider

Den ubevidste insider er kendetegnet ved ikke at have motivation for at gøre skade på virksomheden. Den trussel som den ubevidste insider udgør vil i hovedreglen i stedet skyldes mangelfulde procedurer i virksomheden eller uvidenhed blandt medarbejdere og ledere.

Den ubevidste insider kan for eksempel være en medarbejder, der åbner ransomware, der er blevet modtaget på personens private e-mail konto på en arbejdscomputer. Dette kan gøre virksomhedens data ulæselige.

Dårlige procedurer kan endvidere betyde, at medarbejdere, der blot gør deres arbejde, utilsigtet gemmer information på et sted, hvor udenforstående kan få adgang til den. Konsekvenserne kan dog stadig være store.

En undersøgelse fra 2016 udført af Ponemon Institute viste, at 598 ud af i alt 874 hændelser klassificeret som insiderrelaterede skyldtes den ubevidste trussel(4). Endvidere viste undersøgelsen, at gennemsnitsomkostningerne relateret til hver af disse hændelser var $206.933.

Et andet eksempel på en utilsigtet insiderhændelse blev opdaget i 2012, hvor en bærbar computer tilhørende en ansat hos et privat amerikansk forskningsinstitut blev stjålet fra den ansattes bil(5). Computeren indeholdt sensitiv information omkring i alt 13.000 deltagere i en række forskningsprojekter. I 2016 indgik firmaet et forlig med det amerikanske sundhedsministerium, hvor firmaet endte med at betale $3,9 mio. i bøde for utilstrækkelig datasikkerhed(6).

Udsigterne

Insidertruslen kan umiddelbart virke vanskelig at gøre op med - rådgivning om hvordan utilfredse medarbejdere undgås, er desværre ikke en del af vores kompetencesæt.

Fra et teknisk perspektiv er det dog heldigvis de samme problemstillinger, der gælder i forhold til modforanstaltninger overfor insidertrusler, som ved de andre trusler i cyberspace.

Både den bevidste og ubevidste insidertrussel kan eksempelvis i høj grad håndteres ved bedre kontrol med virksomhedens data, særligt når det kommer til data, der forlader virksomheden.

Specifikt for den ubevidste insidertrussel gælder det endvidere, at der også påligger virksomheden et ansvar for, at have systemer og procedurer, der fungerer. Dette inkluderer naturligvis også uddannelse af medarbejderne – på denne måde kan mange pinlige hændelser undgås.

I vores næste post ser vi nærmere på truslen fra hacktivister og endeligt problemstillingerne forbundet med selve internettets natur.

Kilder

(1) Cyberscoop - Insider charged with writing malware to steal Wall Street firm's crown jewel algorithms

(2) BleepingComputer - Wall Street IT Engineer Hacks Employer to See If He Will Be Let Go

(3) Department of Justice, U.S. Attorney's Office, Southern District of New York - Computer Engineer Arrested For Theft Of Proprietary Trading Code From His Employer

(4) DTEX Systems, Ponemon Institute - 2016 Cost of Insider Threats

(5) Feinstein Institute for Medical Research - Stolen Laptop Prompts Feinstein Institute to Contact Research Participants

(6) Data Breach Today - Research Institute Breach Results in $3.9 Million Sanction

Billeder

(i) Wikimedia Commons - Edward Snowden