Innsidere - Hva er det og hvordan jobber de?
I det stille går trusselaktører løs på ansatte – der de som innsidere kan utgjøre en stor fare for alle typer virksomheter. Slik kan du oppdage og unngå innsidevirksomhet.
Hva gjør du når trusselaktørene går rett på de ansatte?
– De siste årene har digital sikkerhet for alvor kommet på agendaen til stadig flere virksomheter. I takt med at antallet angrep også øker, sier Thorbjørn Busch, senior sikkerhetsanalytiker i Telenor.
Han peker på ferske tall fra Nasjonal Sikkerhetsmyndighet (NSM). De har registrert en tredobling i antall alvorlige hendelser og cyberoperasjoner mot norske virksomheter fra 2019 til 2021. I samme periode har det også vært en kraftig økning i digital utpressing og sabotasje. Såkalte løsepengevirus eller ransomware.
– Det stilles store krav til digitalisering. Med ny teknologi oppstår gjerne også nye tekniske sårbarheter som må sikres. Men i skyggen av dette «sikringskappløpet» er det lett å glemme at trusselaktørene. Like gjerne kan omgå tekniske sikkerhetstiltak ved å gå direkte på de ansatte, sier Busch.
Bruker innsidere for å skaffe seg tilgang
Det å velge enkleste vei inn er ofte tidsbesparende og et strategisk trekk. Å komme seg inn i bedriftens IT-systemer kan være ressurskrevende og kostbart. Ved å betale en ansatt noen tusenlapper for samme type tilganger eller informasjon, velger trusselaktørene korteste vei til mål.
Ansatte kjenner virksomhetens rutiner, prosesser og sårbarheter. De benytte kunnskapen for å skade virksomheten til fordel for egen vinning, annen virksomhet eller statlig aktør.
Dette kan være nåværende ansatte som er misfornøyde eller tidligere ansatte som bærer nag. Det skjebnesvangre er at begge disse har en eller annen form for tilgang til sårbare deler av nettverket ditt.
Og årsaken til at de er en trussel, er fordi man som oftest fokuserer på trusseldeteksjon mot det som er «der ute». I stedet for det som er rett foran oss.
Innsidetrusler eksisterer i ulike former. Hvis du vet hvilken du kan møte, vet du også mer om hva du må gjøre. Samt hvordan du kan forhindre det.
● En innsider er en nåværende eller tidligere ansatt, konsulent eller kontraktør som har eller har hatt autorisert tilgang til virksomhetens systemer, prosedyrer, objekter og informasjon, og som misbruker denne kunnskapen og tilgangen for å utføre handlinger som påfører virksomheten skade eller tap.
● En innsider kan være:
- Personer med direkte tilgang
- Personer som kan skaffe seg tilgang
- Personer som kan påvirke
- Personer med fremtidig potensial
- Personer som kan utnyttes på annen måte, for eksempel gjennom manipulasjon
Kilde: Temarapport Innsidere (NSM, 2020)
● Muldvarpen: Også kjent som Bedrageren. Dette er en som teknisk sett befinner seg utenfor virksomheten din, men som klarer å skaffe seg tilgang til en konfidensiell del av nettverket ditt.
Ubevisste og bevisste innsidere
Det er vanlig å sortere «innsidere» i to kategorier: De ubevisste og de bevisste.
– En ubevisst innsider er noen som uten intensjon, altså uten å ville det, påfører virksomheten skade eller tap. Det kan for eksempel være at noen er litt for løsmunnet om sensitiv informasjon, rett og slett fordi han eller hun ikke har god nok bevissthet rundt sikkerheten, sier Busch.
– Dette kan skyldes manglende dømmekraft hos den enkelte ansatte, men vel så ofte er det et tegn på mangelfull sikkerhetsstyring og ledelse i virksomheten.
Ubevisst innsideaktivitet kan også være resultat av at en ansatt blir forledet, manipulert eller på annen måte utnyttet av en trusselaktør.
– Her jobber gjerne trusselaktøren målrettet mot den ansatte, som dermed blir angrepsflaten inn mot virksomheten. Han eller hun kan da ende opp med å dele informasjon eller tilganger, uten å være klar over at dette i realiteten går til en trusselaktør, sier Busch.
En bevisst innsider er på sin side klar over han eller hun begår en handling som er i strid med virksomhetens interesser.
– Det er mange ulike årsaker som kan føre til at noen velger å begå en slik handling. Det kan være snakk om statlig eller industriell spionasje, ideologiske overbevisninger eller et personlig ønske om økonomisk gevinst. Samtidig er det ikke alltid at disse innsiderne fullt ut forstår konsekvensene av det de gjør – der selv en liten og tilsynelatende uskyldig handling kan føre til store tap, sier Busch.
Innsideren:
● Kjenner organisasjonen
● Kjenner sikkerhetstiltakene
● Har legal tilgang til systemer/sensitiv informasjon
● Kan manipulere systemer og personer internt
● Kan verifisere informasjon
● Kan operere i det skjulte
● Kan brukes om lang tid/mange år
● Kan utnytte kjente sårbarheter
Hva kan innsideren gjøre?
● Stjele, lekke, offentliggjøre informasjon
● Sabotere (tilgjengelighet, integritet mv.)
● Stjele eller underslå verdier
● Påvirke eller manipulere personer eller systemer
● Hjelpe og tilrettelegge for andre (informasjon, avlytting, bistand til hacking osv.)
Kilde: Temarapport Innsidere (NSM, 2020)
En «uskyldig» handling kan balle på seg
Som så mye annet i livet, kan det ene føre til det andre. Har en ansatt i et øyeblikks vanvare gjort noe dumt, og for eksempel ubevisst lekket informasjon til noen som ikke skulle hatt dette, kan dette senere brukes mot dem.
– Brått har trusselaktørene noe de kan bruke som pressmiddel mot den ansatte. De spiller da på frykt, og truer med å «blåse navnet» til den ansatte om han eller hun ikke gjør som trusselaktørene ber om. Det som da starter som noe lite, kan bli et skikkelig mareritt, sier Busch.
– De som driver med dette er som regel svært kyniske, og vet nøyaktig hva de er ute etter. I tillegg har de ofte god tid, slik at de kan starte i det små og over tid jobbe målrettet med en ansatt – som av frykt for å bli avslørt går med på stadig mer, sier Busch.
Dette er da personer som ender opp med å bli bevisste innsidere, forteller han – selv om de startet opp i det ubevisste, uten opprinnelig motivasjon for å begå innsidevirksomhet.
Hvordan kan du vite om noen på innsiden utgjør en trussel?
Dessverre er det ingen mellomting når det kommer til innsidetrusler. Avslørende oppførsel finnes i begge ender av skalaen da personen enten er ekstremt umotivert eller mistenkelig overmotivert. Vær spesielt oppmerksom på:
● Aktivitet på uvanlige tidspunkter. Hvis aktiviteten ikke er velbegrunnet eller vanlig, så er den mistenkelig.
● Uvanlige datatrafikk. Spesielt overføringer av store mengder data fra nettverket.
● Endret brukeradferd. For eksempel åpning eller henting av ressurser som vanligvis ikke brukes.
Hvordan redusere innsidetrusselen?
– Nøkkelen til å forstå innsidevirksomhet ligger i en erkjennelse av at ansatte også er mennesker, med alle de styrkene og svakhetene det innebærer, sier Busch, og utbroderer:
– Trusselaktørene utnytter høyst menneskelige egenskaper og følelser som grådighet, ensomhet, hevnlyst, nysgjerrighet, overbevisninger, naivitet og ikke minst frykt.
Disse driverne kan i enkelte tilfeller være så sterke at den ansatte selv tar initiativ til innsidevirksomheten, eller trusselaktørene kan finne de «rette knappene å trykke på» for innlede kontakt med en ansatt de har pekt seg ut.
– Skal man klare å håndtere innsiderisiko i virksomheten, krever dette derfor at dere tar disse menneskelige egenskapene på alvor. Teknologiske tiltak er ikke nok, som leder må du også ha tid og evne til å ivareta dine ansatte og følge dem godt opp, sier Busch.
– Dette kan for eksempel være noe å ha i bakhodet når det gjennomføres medarbeidersamtaler, men det er også viktig å følge med på i det daglige – og sikte mot en åpenhetskultur, sier Busch.
Har en ansatt kommet med spesielle ytringer på sosiale medier eller i andre fora? Mistenkes det at noen sliter med rus eller spilleavhengighet? Kan det være snakk om økonomiske problemer, for eksempel etter et samlivsbrudd?
– Dette er potensielle sårbarheter som noen kan finne på å utnytte, og situasjoner der det man både som kollega og arbeidsgiver kan og bør vise den det gjelder litt ekstra omtanke, sier Busch.
Ha klare rutiner og retningslinjer
I Telenor må alle nye ansatte som skal få gitte tilganger også gjennom en egen bakgrunnsundersøkelse.
– I enkelte selskaper er dette spesielt viktig, særlig om man jobber i virksomheter av nasjonal interesse – eller som i Telenor sitt tilfelle, at man håndterer kritisk infrastruktur og store mengder sensitiv persondata, sier Busch.
Slike «autorisasjonssamtaler» ved ansettelse kan bidra til å kaste lys over bindinger eller andre momenter man bør være obs på.
– Et annet viktig grep er å øke den generelle bevisstheten rundt sikkerhet og innsiderisiko både hos ledelse og de ansatte. Dette kan gjøre det lettere for andre å oppdage om noe ikke er helt som det skal. Men enda viktigere er det at den ansatte da lettere kan kjenne igjen tegnene på at noen har urent mel i posen, sier Busch.
Denne generelle kompetansehevingen bør også innebære at man vet hva man bør gjøre og hvem man bør si fra til om det oppstår en situasjon som gjør de ansatte usikre.
– Samtidig bør takhøyden være høy for at noen kan gjøre en feil – det er tross alt menneskelig å feile. Tør man å si fra om de små tingene, kan disse stoppes før de vokser seg så store at det oppleves for sent, sier Busch, og legger til:
– Har du fornøyde ansatte som har en bevissthet rundt innsidetrusler og samtidig vet hva de skal gjøre om noen forsøker seg på dem, er du allerede langt på vei.
● Skap et helhetlig system for å styrke personellsikkerheten. Dette innebærer å vurdere den menneskelige faktoren i alle deler av sikkerhetsarbeidet og innarbeide mulige konsekvenser av innsidetrusler i virksomhetens risikovurdering.
● Ivareta personellsikkerheten før, under og etter ansettelse. Dette innebærer å sikre at risikoreduserende tiltak iverksettes i alle ledd av ansettelsesforholdet, herunder bruk av bakgrunnssjekk.
● Sørg for at virksomheten har tilstrekkelig sikkerhetskompetanse og -ressurser. Dette er nødvendig for å kunne beskytte virksomhetens verdier mot innsiderekruttering, men også for at virksomheten skal settes i stand til å følge opp sårbarheter som oppstår hos ansatte.
● Legg til rette for god sikkerhetskultur. Dette innebærer å gjøre personellsikkerhet til en naturlig del av virksomheten, øke forståelse av sikkerhetsregler og rutiner samt tilrettelegge for oppfølging av ansatte for å avdekke misnøye eller andre forhold.
● Håndter hendelser, evaluer tiltak og lær av erfaringene. Ved sikkerhetsbrudd bør virksomheten identifisere hvilken rolle personen på innsiden har hatt, og virksomheten bør arbeide systematisk for å lære av erfaringer og bruke lærdommen til å forebygge, avdekke og motvirke innsidevirksomhet.