Text: Andrew Rose, resident CISO, Proofpoint
År 480 f.Kr förrådde Efialtes av Trakis den grekiska armén vid Thermopyle genom att visa perserna hur de kunde ta sig förbi det grekiska försvaret och anfalla dem bakifrån. År 1985 arresterades FBI-agenten Richard Miller för spionage efter att ha försett Sovjet med hemligstämplade dokument i utbyte mot guld och pengar. Två historiska exempel på spionage och insiderbrott.
I Sverige har vi exempelvis bröderna Knut och Allan Nyblad samt Stig Bergling som försåg Sovjet med känslig information under andra världskriget respektive kalla kriget.
Det är tydligt att insiderhot inte är förbehållet enbart den digitala eran. Tvärtom har de hängt med sedan urminnes tider. Men det är intressant att vi i stora drag faktiskt tolererat dem.
Oavsett om det handlar om avsiktliga handlingar eller ovarsamma användare som gör misstag eller tar genvägar som i sin tur orsakar ett intrång.
Verkligen illvilliga insiders är sällsynta men försumlig personal kommer alltid att existera – och göra misstag oavsett utbildning och kunskap.
För bara några år sedan, när IT-säkerhetschefen försökte lyfta ämnet till styrelserummet möttes de ofta av frågor om varför de inte litade på sina arbetskamrater.
Så vad har förändrats, och varför är insiderhot nu ett ämne på varje styrelsedagordning? Det finns tre huvudorsaker, som alla är sammanlänkade: Nätkriminella har ändrat taktik, arbetsgivare är mindre intima med sin personal, och de befintliga kontrollerna har blivit allt mer ineffektiva.
Låt oss börja med det första: 2023 års Verizon DBIR visar att 49 procent av alla framgångsrika intrång nu använder stulna uppgifter Om en angripare kan logga in som ”Lars” från kontoret, har de tillgång till alla Lars system, data och privilegier utan att någonsin behöva oroa sig för brandväggskonfigurationer eller andra säkerhetsbarriärer.
När sedan kollegor, leverantörer och familj får e-postmeddelanden från det kapade kontot är risken för ett felplacerat klick eller en felaktig betalning mycket, mycket större. Detta är anledningen till att de flesta skadliga program finns på platser som användare vanligtvis litar på – som OneDrive, SharePoint och Dropbox.
Den andra punkten handlar om ett förändrat arbetsliv. Färre och färre personer går in på kontoret, och många anställda rekryteras numera digitalt och arbetar på distans där de anväder egen hårdvara under sin arbetstid. Dessutom tillåter arbetsgivare dataåtkomst från var som helst, vilket ökar utmaningen att säkerställa att den bara flödar till rätt ställen. Det ökar sannolikheten för dataläckor.
Utöver det finns problemet med personal som tar med sig företagsdata när de lämnar anställningar. Av de IT-säkerhetschefer som upplevde en dataförlust uppgav 82 procent att en anställd som lämnade organisationen spelade en betydande roll.
En vanlig kontroll av insiderhot är en funktion där personal kan rapportera misstänkt beteende, oro eller yttre beteende. Men eftersom anställda på distans sällan tillbringar tid tillsammans har denna kontroll devalverats. Förskjutningen av kritiska affärsdata till molnet, och antagandet av flera kommunikationskanaler i realtid (som WhatsApp), bidrar också till ökade utmaningar.
Dessutom har nätkriminella utvecklat verktyg som EvilProxy för att kringgå multifaktorautentisering (MFA), så även detta pålitliga skydd är inte längre lika effektivt som det en gång var.
MFA är fortfarande viktigt men det måste dock tillämpas på ett mer dynamiskt sätt för att ge en mer robust utmaning för en angripare. Till exempel upprepade förfrågningar om MFA före kritiska transaktioner, eller när användaren arbetar från ny plats eller ny enhet.
Nu är det svårt att definiera varje misstänkt aktivitet som en användare kommer att försöka. Det är dock inte alltför utmanande att tillämpa 80/20-regeln på detta område. Det finns till exempel nyckelaktiviteter som en standardanvändare inte kommer att göra – som att ändra ett filtillägg eller skapa en lösenordsskyddad, sammanfogad ZIP-fil.
Verizon DBIR 2023 anger att 83 procent av alla cyberattacker startade externt och endast 19 procent initierades internt (vissa intrång orsakades av båda). De flesta av dessa attacker hade ett ekonomiskt motiv. Så även om mängden insiderhot inte har ökat har omfattningen av den skada de kan göra skjutit i höjden.
Därför är det av yttersta vikt att man har en långsiktig och välfungerande strategi för att förhindra den här typen av incidenter. En sådan uppnår man bara genom att styrelsen förstår vilka risker som finns och hur de bör förhindras. Nätkriminella hackar sig inte in i den digitala arbetsytan. De loggar in.
Foto: Gerd Altmann
