Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Zoeken

  1. Netherlands
  2. Inspiratie
  3. Blog
  4. Threat Management
  5. De vijand zit al binnen: zo voorkom je schade door insider threats

De vijand zit al binnen: zo voorkom je schade door insider threats

Threat Management
Een man steelt gegevens van een laptop in een donkere kamer en houdt een usb-stick in zijn hand.

Share

Jort Kollerie
Jort KollerieStrategic Advisor

Een medewerker loopt na een jaar dienst de deur uit. Hij wil graag voor zichzelf een soortgelijk bedrijf beginnen. Maar naast veel ervaring neemt hij ook de klantendatabase, alle verkoopstrategieën en de technische blauwdrukken mee naar huis. Niemand die het ziet of tegenhoudt. Pas een jaar later, als de eerste klanten vertrekken, gaat het alarm af. Insider threats zijn een van de meest onderschatte risico’s in cybersecurity. Toch kun je met een aantal basismaatregelen het risico fors verkleinen.

Als mensen denken aan cyberdreigingen, denken ze aan hackers, ransomwaregroepen en staatsgesponsorde aanvallers die binnen proberen te komen. Dat beeld klopt, maar is onvolledig. In een groot deel van de gevallen ligt de oorsprong van een dreiging bij iemand die al toegang had tot het netwerk. Iemand van binnenuit.

Dat maakt insider threats zo verraderlijk. Er is geen inbraak. Er is geen phishingmail die doorgestuurd moet worden, geen kwetsbaarheid die geëxploiteerd hoeft te worden. De dreiging wandelt elke ochtend gewoon door de voordeur naar binnen, logt op de gebruikelijke manier in en doet wat altijd normaal leek.

Vier vormen, één gemeenschappelijke noemer

Insider threats zijn niet allemaal hetzelfde. Er zijn ruwweg vier typen die we keer op keer terugzien in de praktijk.

1. Diefstal intellectueel eigendom

Dit is het meest voorkomende type. Voorbeeld? Twee ontwikkelaars besluiten een concurrerend bedrijf op te richten. Ze dienen hun ontslag in, krijgen drie maanden opzegtermijn en gebruiken die periode om systematisch broncode, klantenlijsten, documentatie en prijsstrategieën te kopiëren.

Drie maanden na hun vertrek stromen de klanten weg naar het nieuwe bedrijf. Dan pas ontdekt de oorspronkelijke werkgever wat er is gebeurd. Het forensisch onderzoek dat volgt is complex: de laptops met de digitale sporen van de diefstal zijn al doorgegeven aan collega’s. Toch slaagt het onderzoeksteam erin om een waterdicht dossier tegen de oud-medewerkers op te bouwen.

2. Financiële fraude

Deze vorm gaat vaak gepaard met samenspanning. In een van de meest opvallende zaken die Orange Cyberdefense onderzocht, werkten een CFO en een financieel controller bij twee verschillende bedrijven samen. De ene schreef valse facturen, de andere keurde ze goed. Zo stalen ze ruim 6 miljoen euro over een periode van tien jaar.

Het liep mis door onoplettendheid: de controller liet een creditcardafschrift slingeren op het bureau van een collega. Honderdduizenden euro’s aan lingerie, op kosten van het bedrijf. Dat trok meteen de aandacht. Na een intern onderzoek kwamen beide betrokkenen in het vizier. De zaak werd opgehelderd en de fraude die jarenlang onzichtbaar was gebleven, bleek achteraf nauwkeurig in de financiële systemen te reconstrueren.

3. Machtsmisbruik door beheerders

Dit type dreiging is moeilijk te detecteren, maar de schade is vaak enorm. In een concreet geval hield een IT-beheerder zijn collega’s streng aan de beveiligingsregels, terwijl hij voor zichzelf een eigen netwerksegment had ingericht met een ‘alles-toestaan’-firewallregel.

Via deze digitale achterdeur downloadde hij ongehinderd illegale films en softwarepakketten, inclusief besmette key generators. Die infecteerden uiteindelijk het bedrijfsnetwerk met ransomware. Het forensisch onderzoek na de aanval wees het privé-netwerksegment van de beheerder aan als bron van de infectie. Het wrange resultaat: de man die was aangesteld om het bedrijf te beschermen, bleek zelf de oorzaak van de schade.

4. Data-exfiltratie door vertrekkende medewerkers

Deze categorie komt het vaakst voor en is psychologisch complex. In veel gevallen gaat het niet om de klassieke spion, maar om medewerkers die eigen werk zoals presentaties en contactlijsten mee naar huis nemen. Omdat zij deze documenten zelf hebben gemaakt, voelt het als persoonlijk bezit. Hoewel dit juridisch gezien gewoon diefstal van bedrijfseigendom is, ontbreekt vaak de kwade opzet. Toch vormen deze ‘digitale souvenirs’ een groot risico, omdat gevoelige bedrijfsinformatie zo buiten de beveiligde sfeer van de organisatie belandt.

Wat al deze varianten gemeen hebben, is dat ze onzichtbaar bleven. Soms maanden, soms jaren. Niet omdat de organisaties nalatig waren, maar omdat ze simpelweg niet de middelen hadden om het te zien.

Waarom dit probleem groeit

De digitalisering van de werkplek maakt het voor insiders steeds eenvoudiger om grote hoeveelheden data te benaderen en te verplaatsen. Tegelijkertijd groeit de waarde van die data. Klantenbestanden, broncodes, financiële prognoses: ze zijn makkelijk te kopiëren, maar moeilijk terug te halen zodra ze weg zijn.

Bovendien is vertrouwen de default in de meeste organisaties. Mensen die jarenlang goed presteren, krijgen ruime toegangsrechten. Dat is begrijpelijk, maar het creëert ook blinde vlekken. Een vertrouwd gezicht kan jaren onopgemerkt data verzamelen, omdat niemand eraan denkt om zijn gedrag te monitoren.

Daarbij komt dat de ontdekking van een insider threat vaak niet via technologie verloopt, maar via toeval. Denk aan een vergeten bankafschrift, of een klant die overstapt. Een anonieme tip. Dat is geen verdedigingsstrategie, maar domweg geluk en bovendien veel te laat.

Van maanden naar minuten: wat er nu mogelijk is

Het goede nieuws is dat de middelen om insider threats te detecteren de afgelopen jaren sterk zijn verbeterd. Drie ontwikkelingen verdienen bijzondere aandacht.

1. Gedragsbaselines zijn het fundament van moderne detectie. Machine learning leert wat normaal gedrag is voor elke gebruiker: welke systemen ze benaderen, op welke tijden, vanaf welke locaties.  Downloadt iemand plotseling de volledige klantendatabase? Of probeert een medewerker mappen te openen die buiten zijn functieprofiel vallen? Dan verschijnt er een alert.

2. Data Loss Prevention (DLP) richt zich op de talloze kanalen waarlangs data een organisatie kunnen verlaten, zoals persoonlijke e-mail, USB-sticks, cloudopslag, printers, schermfoto's of bestandsoverdracht. DLP-software monitort al deze kanalen, kan exfiltratie blokkeren of een melding sturen naar IT en hr. De verkoopmanager die jarenlang ongestoord klantdata kopieerde, valt hiermee door de mand.

3. Just-in-time access verandert de manier waarop toegangsrechten worden verleend. In plaats van gebruikers permanente toegang te geven tot kritische systemen, krijgen ze tijdelijke wachtwoorden voor specifieke taken. Elke actie wordt vastgelegd. Daarmee wordt het onmogelijk om een eigen koninkrijkje te bouwen in de schaduw van de organisatie, zoals de IT-beheerder deed die zijn eigen netwerksegment creëerde.

De impact van deze technologieën is concreet: waar een incident vroeger maanden na dato aan het licht kwam via klanten, accountants of zelfs de politie, is de nieuwe werkwijze radicaal anders. Minuut nul: een alert verschijnt. Vijf minuten later volgt geautomatiseerde containment. Kwartier later kijkt een mens mee. Binnen een uur is de scope bepaald. Binnen vier uur wordt een beslissing genomen. De ‘actie-window’ van incident naar ingrijpen verkort van maanden naar minuten.

Waar te beginnen: drie stappen voor deze week

De technologie is beschikbaar. Maar ook zonder uitgebreide tooling zijn er concrete stappen die elke organisatie nu kan zetten.

Stap 1: identificeer je vijf meest waardevolle assets

Dat kan een klantendatabase zijn, broncode, financiële prognoses of bedrijfsgeheimen. Documenteer wie er toegang toe heeft, hoe die toegang is beveiligd en of je het zou merken als iemand een kopie maakt. Dit wordt je monitoringsprioriteitenlijst.

Stap 2: kies een hoogrisicoscenario

Definieer een specifieke actie die binnen jouw organisatie nooit zomaar mag gebeuren, zoals het exporteren van de volledige klantenlijst naar Excel. Stel vervolgens een alert in die afgaat zodra dit gebeurt en wijs één persoon aan die de meldingen dagelijks beoordeelt. Door klein te beginnen met één kritiek proces, leer je de patronen herkennen zonder overspoeld te worden door data.

Stap 3: maak een lijst van iedereen met beheerdersrechten

Hebben ze die rechten nog nodig? Wanneer hebben ze die voor het laatst gebruikt? Kan toegang tijdelijk worden gemaakt? Begin met de tien meest bevoegde accounts en bekijk hun activiteitenlog van de afgelopen dertig dagen. De resultaten zijn soms verrassend.

De vraag is niet of, maar wanneer

Bij een bedrijf met 1.200 medewerkers trof Orange Cyberdefense binnen tien minuten na binnenkomst een Excel-bestand aan met de salarishistorie van alle medewerkers over de afgelopen dertig jaar. Beschikbaar voor iedereen op een gedeelde schijf. Twee uur later lag er ook een map met XML-bestanden, de financiële in- en uitvoer van het volledige bedrijf. Leesbaar als platte tekst. Dit was een bedrijf dat vier uur eerder had gezegd veilig te zijn.

De dreiging zit niet altijd in een geavanceerde aanval van buitenaf. Soms zit ze gewoon in een map op de gedeelde schijf, in de handen van iemand die de organisatie verlaat of in het gedrag van iemand die al jaren toegang heeft tot alles. We kunnen dit met moderne middelen zien. De vraag is of je kijkt.

Wil jij eens sparren over hoe je het risico op insider threats verkleint? Neem gerust eens contact met ons op, dan bekijken we je situatie en bespreken we vrijblijvend de mogelijkheden.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11