Voorkom datalekken met gedragsanalyse
Het beeld dat ‘insiders’ een acute dreiging vormen voor de beveiliging van data en systemen wordt onder andere bevestigd door de Autoriteit Persoonsgegevens (AP). Zo meldde de privacywaakhond in een nieuwsbericht over ‘1 jaar meldplicht datalekken’ dat er veel datalekken zijn ‘waarbij gegevens per ongeluk terechtkomen bij iemand anders dan de bedoeling is’. Bijvoorbeeld door het verlies van een gegevensdrager, een e-mail aan de verkeerde ontvanger of een klant die in een klantportaal de gegevens van iemand anders ziet.
Menselijk gedrag als uitgangspunt
Volgens Verhaar (rechts op de foto) en Delfgaauw zijn uiteenlopende typen insiders bewust of onbewust verantwoordelijk voor de beveiligingsincidenten zoals de AP die schetst. Zo heb je de ‘malicious insider’ die moedwillig data lekt en fraudeert. De ‘compromised insider’ is besmet met malware en staat ongemerkt in contact met een cybercrimineel, klaar om gevoelige data naar buiten te sluizen.
“Daarnaast heb je nog de ‘accidental insider’ die bijvoorbeeld net iets te gehaast te werk gaat en per ongeluk interne informatie naar een extern contact stuurt”, aldus productmanager Delfgaauw. Die accidental insider kan ook uit nalatigheid het vastgestelde securitybeleid negeren door bijvoorbeeld gemakshalve even een (gevoelig) documentje op een USB-stick te plaatsen of te uploaden naar een clouddienst als Dropbox.
“Meer dan de helft van de datalekken wordt veroorzaakt door accidental insiders die per ongeluk data naar de verkeerde persoon e-mailen of op een USB-stick zetten om ’s avonds nog even thuis te kunnen werken”, weet Verhaar. “We zijn allemaal mensen en mensen maken nu eenmaal fouten.” Security-awarenessprogramma’s dragen absoluut bij aan het risicobewustzijn van gebruikers, maar we zullen door menselijke trekjes zoals slordigheid, onwetendheid of nalatigheid altijd fouten blijven maken. Dit moeten we natuurlijk erkennen, maar we hoeven het niet te accepteren.”
Verschillende beveiligingsoplossingen
“Er bestaan verschillende beveiligingsoplossingen die de impact van gebruikersfouten beperken”, zeggen Verhaar en Delfgaauw. Veel van die oplossingen zijn momenteel al in gebruik bij organisaties. Delfgaauw: “Met de huidige oplossingen voor netwerkbeveiliging zijn organisaties eigenlijk al aan het ‘sleepnetten’. Aan de randen van hun netwerken houden zij bijvoorbeeld in de gaten of er geen malware naar binnen glipt en of gebruikers geen risicovolle websites bezoeken.” Dit signaleren en tevens blokkeren van malware en risicovolle websites gebeurt meestal volledig geautomatiseerd.
“Met Next Generation Firewalls en Web Security-oplossingen is het al enige tijd mogelijk om internetactiviteiten te koppelen aan specifieke gebruikers, waardoor er sneller en doeltreffender kan worden ingegrepen wanneer een medewerker structureel risicovol gedrag vertoont”, vervolgt Delfgaauw. “En met oplossingen voor Data Loss Prevention kunnen we controleren of en voorkomen dat er gevoelige documenten worden uitgewisseld met ongeautoriseerde partijen, en alternatieve distributie van die documenten via bijvoorbeeld een USB-stick onderscheppen.”
Intensiever monitoren
“Toch is dit niet genoeg en de effectiviteit hiervan neemt af, vooral als het gaat om het voorkomen van de impact van risicovol gedrag”, zo zeggen Verhaar en Delfgaauw. Door de toenemende complexiteit van ICT en het gebruik daarvan wordt het steeds moeilijker om te bepalen welk gedrag je nou precies wilt tegengaan. “Het is als het zoeken naar een speld in een hooiberg zonder dat je weet hoe de speld eruitziet. We zullen al het netwerkverkeer moeten meten met speciale sensoren om te bepalen wat de normale patronen zijn, zodat detectie van afwijkingen mogelijk wordt en we vervolgens risicovol verkeer kunnen onderscheppen”, aldus Verhaar. “En niet alleen het netwerkverkeer, maar ook alle activiteiten op een gebruikersapparaat.”
Volgens de productmanagers van Motiv is een volgende stap dan ook dat werkplekken worden uitgerust met sensoren die continu meten wat er gebeurt. “De gekste systeemprocessen kunnen hiermee in de gaten worden gehouden, van muisklikken tot het aansluiten van USB-sticks”, legt Delfgaauw uit. “Alles wat er verandert op een werkplek, ieder bitje dat door een input/output gaat, zou je in principe kunnen meten en tellen.”
Om het risicovolle gedrag uit deze meetwaarden te kunnen halen, moet bekend zijn wat het normale gedrag is van een medewerker binnen een organisatie of afdeling. “Je hebt een baseline nodig”, aldus Verhaar. “Vervolgens kijk je of een medewerker afwijkt van het gangbare patroon. Als dat het geval is, kan het zijn dat een medewerker op dat moment werkt aan een afwijkend project of dat geconstateerd afwijkend gedrag risicovol is. Dan kun je een gebruiker daarop attenderen, van advies voorzien of wijzen op de geldende beleidsregels, voordat het te laat is. Maar het kan ook zijn dat de betreffende medewerker binnenkort uit dienst treedt en nog even snel de klantenadministratie wil kopiëren, en dat er dus sprake is van opzettelijk ‘malicious’ gedrag.”
Forcepoint Insider Threat
“We moeten op een andere manier naar gebruikersactiviteiten gaan kijken dan we tot nu toe hebben gedaan”, concludeert Verhaar. Grote bedrijven zijn deze weg al eerder ingeslagen. Zo refereert Delfgaauw aan een cyberaanval uit 2011 op het defensiebedrijf Lockheed Martinwaarbij gebruik werd gemaakt van informatie die daarvoor bij het beveiligingsbedrijf RSA Security was gestolen. “Deze aanval werd pas verijdeld toen de securityafdeling van Lockheed Martin zag dat een ogenschijnlijk legitieme en geauthenticeerde gebruiker op een afwijkende manier documenten en gegevens probeerde te verzamelen.”
Een dergelijke aanpak komt met producten als Insider Threat van de Amerikaanse beveiligingsfirma Forcepoint nu voor een bredere markt beschikbaar, al merken Verhaar en Delfgaauw daarbij op dat het voorlopig ‘de voorhoede’ is die met zo’n beveiligingsoplossing aan de slag gaat. Verhaar: “Doordat de technologie nu beschikbaar is, zien we wel dat de vraag toeneemt. Daarnaast vereist privacywetgeving zoals de Algemene Verordening Gegevensbescherming dat je nadenkt over manieren om het risico van interne dreigingen te beperken.”
Over de schouder meekijken
Bedrijven die met bijvoorbeeld Insider Threat aan de slag gaan, moeten de gebruikersgemeenschap overtuigen van het nut en de noodzaak van de oplossing. Dat kan een uitdaging zijn. “Het gaat niet meer om het opsporen van malware, maar om het opsporen van risicovol gedrag waar je vervolgens maatregelen tegen treft. Daarbij kijk je niet alleen naar bijvoorbeeld het surfgedrag van een gebruiker, maar naar alle gedragingen. Dat vinden mensen eng”, weet Verhaar.
“Druk een dergelijke oplossing er in ieder geval niet doorheen, maar blijf vertellen waar je mee bezig bent en waarom”, zo luidt het advies van Verhaar. Volgens de productmanager is het verstandig om te benadrukken dat bijvoorbeeld Insider Threat gebruikersfouten helpt terug te dringen. “Zoals gezegd: we zijn mensen en mensen maken fouten. Insider Threat maakt risicovol gedrag zichtbaar en beschermt op die manier ook je werk, je collega’s en je bedrijf als geheel.”
“Zie het als een extra hulpmiddel, of als een persoonlijke digitale bodyguard die het werk voor jou, je collega’s en je bedrijf in veilige banen leidt”, besluit Delfgaauw. “Ik zou het verschrikkelijk vinden als ik door onbewust risicovol gedrag mijn organisatie in gevaar zou brengen. En ik zou het verwelkomen als een beveiligingsoplossing kan voorkomen dat dit gebeurt of uit de hand loopt, en daarnaast mijn organisatie ook nog eens in staat stelt om het risicobewustzijn van mij en mijn collega’s te monitoren en verbeteren.”