Insiderhot håller på att bli en av de största cybersäkerhetsutmaningarna som dagens CISO står inför. En nyligen Securonix studie hävdar att 76 % av organisationerna har upplevt ökad medarbetarhotaktivitet under de senaste fem åren. Ändå, trots detta, känner mindre än 30 % att de har verktygen för att hantera dem, och bara en femtedel (21 %) driver ett program för insiderhot.
Men även om vissa hot blir mer sofistikerade, kan branschpraxis som backas upp av efterlevnad av globala standarder bidra långt till att minska riskerna.
Ett brett spektrum av felaktigt beteende
Securonix-rapporten undersökte också några av huvudorsakerna bakom insiderhot, inklusive bristande personalutbildning och medvetenhet (37 %), framväxten av ny teknik (34 %), otillräckligt cybersäkerhetsskydd (29 %), komplicerade IT-miljöer (27 %) och missnöjd personal (25 %).
Dessa incidenter blir både mer varierande och frekventa, enligt Alun Cadogan, konsult på IT-tjänsteföretaget Prism Infosec. Han säger till ISMS.online att de representerar ett "brett spektrum av felaktigt beteende" som inkluderar allt från IP-stöld till avsiktliga sabotagehandlingar.
"Den nuvarande ekonomiska nedgången har sett en ökning av antalet insiders som rekryteras av organiserade kriminella gäng via sociala medieplattformar", förklarar han. "Det finns också hård konkurrens på marknaden, vilket leder till att företag tar till att rekrytera insiders i konkurrerande företag. Detta härrör från framsteg inom teknisk innovation och med tävlingen om sådan kunskap [stiger] bland globala konkurrenter.”
För företag som faller offer för insiderhot kan skadan vara betydande. Cadogan säger att de kan resultera i ekonomisk förlust, störd verksamhet, skada på ryktet och minskad konkurrenskraft.
Nationalstatshotet
Förutom att öka i volym har insiderhoten också blivit mer komplexa de senaste åren. Insiders samarbetar nu med utländska motståndare för att öka effektiviteten i deras kampanjer.
I sitt 2024 års insiderriskrapport, som är baserad på över 1300 70 globala kundundersökningar, avslöjar DTEX en ökning med XNUMX % av kunder som vill mildra hotet om utländsk störning. Den hävdar att frågan till övervägande del påverkar kritisk infrastruktur och organisationer inom den offentliga sektorn.
Prism Infosecs Cadogan förklarar att insiders kan vända sig till utländska regeringar för finansiering, avancerade tekniska verktyg, intelligens och strategiska motiv för att hjälpa till att förbättra resultatet av deras attacker. Sådana resurser gör insiderhoten mer komplicerade och destruktiva, tillägger han.
Han varnar för att utländska motståndare inte bara arbetar med insiders för att få tillgång till känslig företagsinformation; de kan också syfta till att manipulera ett företags verksamhet eller sabotera dess produkter och tjänster baserat på "bredare geostrategiska mål".
"Detta ställer enorma krav på säkerhetsprocedurer, som kräver mycket mer än bara interna säkerhetskontroller", tillägger Cadogan. "Det kräver internationellt samarbete och informationsutbyte för att minska risken till acceptabla nivåer."
Andra insiderhot
Stöld av immateriella rättigheter och data är ett annat vanligt insiderhot och står för 43 % av DTEX:s kundundersökningar. Enligt rapporten är de industrier som drabbas hårdast teknik (41 %), läkemedel (20 %) och kritisk infrastruktur (14 %).
Säljaren hävdar att 15 % av de anställda lämnar organisationer med känslig IP, medan många fler personer (76 %) tar bort icke-känsliga proprietära data. Men det senare kan vara lika skadligt för företag när det hamnar i händerna på nätkriminella, varnar DTEX.
Jake Moore, global cybersäkerhetsrådgivare på ESET, förklarar att cyberbrottslingar kan försöka komma åt känslig företagsinformation genom att kontakta anställda på webbplatser som LinkedIn. De kan be om enkla saker som USB-minnen som innehåller känslig information eller inloggningsuppgifter i utbyte mot belöningar.
Även om många insiderhot är avsiktliga, kan de också vara oavsiktliga. Faktum är att en fjärdedel (24 %) av DTEX:s utredningar involverade obehörigt och oavsiktligt avslöjande, medan det skedde en ökning med 62 % av användningen av förbjudna applikationer som otillåtna webbläsare och webbläsartillägg.
"Oavsiktliga hot kan inkludera anställda som oavsiktligt tar in skadlig programvara eller möjliggör dataläckage, vilket ofta kan mildras med årliga och ad-hoc utbildningsprogram för all personal", säger Moore till ISMS.online.
Att använda generativa AI-verktyg på arbetsplatsen kan också resultera i oavsiktligt avslöjande av känslig företagsinformation, särskilt om den matas in i en AI-chattbot som ChatGPT. Den stora majoriteten av DTEX-kunder (92 %) är oroade över detta problem, och 41 % av dem hänvisar till anställda som använder denna teknik i sina jobb.
"Generativ AI kan av misstag avslöja känslig information som den kan ha lärt sig under utbildningsprocessen, vilket potentiellt avslöjar personlig eller konfidentiell information", förklarar Moore.
"Insiderhot påskyndar denna risk om individer med åtkomst manipulerar AI:s utdata eller träningsdata, vilket kan leda till avsiktligt eller oavsiktligt dataläckage."
Innehåller hotet
Eftersom insiderhot blir vanligare i alla branscher är det viktigt att vidta åtgärder för att identifiera och mildra dem. Det är där globalt erkända informationssäkerhetsstandarder som ISO 27001 och 42001 kan hjälpa.
Prism Infosecs Cadogan menar att de tillhandahåller ett "metodiskt ramverk" som gör det möjligt för företag att minska risken för insiderhot. Han säger att ISO 27001 sticker ut eftersom det ger en integrerad strategi för att hantera människor, processer och teknik,
till exempel utbildning för anställdas säkerhetsmedvetenhet.
"I den senaste versionen som släpptes 2022 finns det ett nytt tillägg: kontroll 5.7. Det här är en organisatorisk kontroll som fokuserar på hotintelligens, inklusive identifiering av hotkällor, varav insiderhot räknas”, säger han.
Samtidigt kan ISO 42001 hjälpa företag att se till att deras anställda använder AI-verktyg på ett ansvarsfullt och etiskt sätt, säger han.
"Den syftar till att motverka riskerna förknippade med AI, som att säkerställa att AI inte är korrumperad genom sin träningsdata - eller dataförgiftning - och att den ger rättvisa och opartiska resultat", hävdar Cadogan. "Båda kan hända om systemet äventyras av en oseriös insider."
Sean Wright, chef för applikationssäkerhet på Featurespace, påpekar att att få rätt grunder för cybersäkerhet också kommer att göra det möjligt för företag att minska insiderhot och deras påverkan. I synnerhet rekommenderar han att man följer principen om minsta privilegium, som säkerställer att anställda bara har tillgång till den information de behöver för att utföra sina jobb.
Wright säger att övervakning av tecken på misstänkta aktiviteter kommer att hjälpa företag att identifiera insiderhot också. Han säger till ISMS.online: "I slutet av dagen bör säkerheten vara ett skiktat tillvägagångssätt där om en kontroll misslyckas, bör en annan vara på plats för att begränsa effekten av det felet."
