4 säkerhetsmisstag som gör anställda (och företag) sårbara för insiderhot

En blogg från Proofpoint

Med distans- och hybridarbetsmodeller som visar tecken på att bli permanenta ökar behovet av ett starkt program för hantering av insiderhot (Insider Threat Management -ITM). Ändå fortsätter många organisationer att fokusera på att försvara sig mot externa hot snarare än hot som kommer inifrån - ett val som potentiellt kan skada deras resultat. Enligt forskning från Ponemon Institute* är den genomsnittliga kostnaden för insiderhot 11,45 miljoner dollar, en ökning med 31 procent på två år.

De sårbarheter som uppstår i samband med enskilda anställda och organisationer kan skapa den perfekta stormen, men det är inte bara jämmer och elände. Det är möjligt att minimera dessa sårbarheter genom att undvika vanliga misstag som är förknippade med risker för insiderhot.

Här är de fyra största säkerhetsmissarna som ofta gör anställda (och företag) mer sårbara för insiderhot, och vad du kan göra för att minska risken för insiderhot i din organisation:

Alla insiderhot är inte resultatet av illasinnade aktiviteter från anställda, utan ibland gör de anställda ärliga misstag. Enligt Ponemon står slarviga insiderhot för 62 % av dataintrången. Detta kan komma från handlingar som är så till synes oskyldiga som att ladda ner känsliga dokument till ett USB-minne eller att skicka krypterade dokument via e-post för att avsluta arbetet hemma.

Med ökningen av distansarbete och hybridlösningar har den här typen av beteende blivit ännu vanligare. Eftersom företag i allt högre grad förlitar sig på samarbetsverktyg saknar många av dem etablerade direktiv för anställda som arbetar i utspridda team. Problemet gäller även externa leverantörer som använder samma verktyg för den dagliga kommunikationen. Utan vägledning om vad som utgör ett säkert och korrekt beteende kanske de anställda inte ens inser när de utsätter företaget för risker.

Förebyggande av slarviga insiderhot

Utbildning i cybersäkerhet blir ofta en tanke i efterhand i många organisationer och delas sällan med någon form av regelbundenhet. För att minska riskerna med insiderhot kan du överväga att anpassa cybersäkerhetsutbildningen för dina anställda så att den är relevant för de risker du ser. Om du kan bygga in anpassade varningar i din befintliga teknik så att användarna meddelas vid den tidpunkt då ett slarvigt riskbeteende inträffar, kan du på ett effektivare sätt fastställa orsaken till varningen och vidta omedelbara åtgärder för att förhindra att problemet inträffar igen.

När det gäller andra risker som upprepas inom affärsenheterna kan ökad (eller mer frekvent) utbildning i cybersäkerhet och efterlevnad om bästa praxis för e-post och molnbaserat samarbete eller allmänna påminnelser om säkerheten hjälpa till att förhindra slarviga insiderhot.

Förändringarna i vårt sätt att arbeta i dag gör det säkert svårare att upptäcka varningstecken på potentiellt skadlig verksamhet. En gång i tiden ansågs det mycket misstänkt om en anställd fick tillgång till data på udda tider eller från en annan plats, men nu är det norm.

Dessutom har det blivit lättare för många företag att förbise olika externa stressfaktorer som kan bidra till ett illasinnat beteende från insiders sida, eftersom många anställda arbetar överallt.
Dessa stressfaktorer inkluderar:

Pengar i nödsituationer: En anställd kan övertalas att agera illvilligt när han eller hon har ekonomiska problem.

Hämnd: En missnöjd anställd kan läcka uppgifter för att hämnas på företaget. Detta kan hända till följd av en arbetskonflikt eller en permittering, uppsägning eller avsked.

Privilegium: En anställd kan tycka att han eller hon förtjänar att äga och kontrollera uppgifterna, särskilt om han eller hon spelade en viktig roll i att skaffa eller skapa uppgifterna.

Motsatta värderingar: En anställd med religiösa eller politiska åsikter som strider mot företagets värderingar kan känna sig berättigad att läcka uppgifter. 

Rekrytering av tredje part: Kriminella organisationer eller utländska spionagekontor kan rekrytera insiders i syfte att missbruka systemet, begå bedrägerier eller göra ekonomiska vinster.

Upptäckt av illasinnade insiders

Med en utspridd arbetsstyrka kan det vara svårare för cybersäkerhetsteam att få information om missnöjda anställda eller individuella personliga omständigheter som kan få en anställd att agera illvilligt. Om man försummar den mänskliga komponenten av dataförluster blir teamet defensivt i stället för proaktivt.

För att minska de potentiella riskerna bör du se till att det finns ett bättre samarbete och en konsekvent kommunikation mellan gruppledare (inklusive personal, juridik, sekretess och efterlevnad) och cybersäkerhetspersonal, särskilt om en anställd uttrycker ett starkt missnöje eller missaktning för företagets policyer. Ju mer utbildade dina affärsenhetsledare är om de tecken som vanligtvis föregår datastöld och insiderhot, desto mer kan de hjälpa till att informera ditt säkerhetsteam.

Säkerhetsgruppen bör också regelbundet korrelera användaraktivitet och datainteraktion. Tillsammans med insikter om möjliga utlösande faktorer kan denna korrelation av aktivitet och interaktion hjälpa teamet att arbeta proaktivt för att avslöja missbruk av privilegier och potentiella risker för dataförluster.

Som tidigare nämnts är den genomsnittliga kostnaden för insiderhot svindlande 11,45 miljoner dollar. Men denna siffra kan öka drastiskt när en organisation saknar en effektiv process för att hantera insiderhot i tid. Det genomsnittliga antalet dagar för att hantera en incident är 77, men enligt Ponemon tog 35 % av företagen mer än 90 dagar, vilket motsvarar en genomsnittlig kostnad på 13,71 miljoner dollar.

Utan en effektiviserad process kan ditt team tillbringa timmar med att försöka avgöra om ett potentiellt hot kräver uppföljning. Det var fallet för Certified Collateral Corporation (CCC), vars säkerhetsteam tog sex till sju timmar på sig för att bedöma potentiella hot.

Förbättra din genomsnittliga svarstid

När insiderhot inträffar är det viktigt att påskynda den genomsnittliga svarstiden (MTTR). CCC, från exemplet ovan, minskade tiden för inledande utredningar från sex till sju timmar till mellan 10 och 15 minuter med hjälp av Proofpoints ITM-lösning (Insider Threat Management). 

De mest effektiva ITM-programmen omfattar engagemang över avdelningsgränserna, vilket innebär att alla inte har den erfarenhet som krävs för att förstå IT-teamets jargong eller analyser. Genom att använda en plattform som kan lyfta fram relevanta bevis i lättförståeliga rapporter blir det lättare att dela bevis för beslutsfattande.

Det finns fler sätt för organisationer att drabbas av dataförluster än någonsin tidigare, särskilt med tanke på den växande globala ekonomin som kräver att fler utomstående personer på företaget får tillgång till känsligare företagsinformation.

Program för att förhindra dataförluster (DLP) som företag en gång i tiden införde för att hålla sig i enlighet med reglerna skapar vanligtvis för mycket friktion för anställda med digital bakgrund. Detta leder i slutändan till att anställda identifierar lösningar som oavsiktligt kan öka hotytan, vilket helt motverkar det avsedda målet med att implementera en DLP-lösning.

Få ditt team att gå ifrån en traditionell strategi för DLP. Det är trots allt inte data som rör sig av sig självt, utan människor som rör data. Ett modernt tillvägagångssätt för DLP för klienter kräver att man implementerar en personcentrerad lösning som förändrar organisationernas sätt att upptäcka, förebygga och reagera på incidenter med insiderhot baserat på en kombination av hur riskfylld användaren är och hur känsliga uppgifterna är.

Genom att få insyn i realtid i sammanhanget kring dataförflyttningar kan säkerhetsteam effektivare identifiera riskfyllda dataförflyttningar. Det möjliggör effektivare förebyggande och lösningsinsatser för att stoppa dataförlustincidenter innan de kan orsaka betydande ekonomisk skada eller skada på varumärket för en organisation.

Genom att bättre förstå var dina anställda och dina interna processer är sårbara kan du vidta åtgärder för att förhindra dataförluster och insiderhot. Om du ger dig själv större insyn i tidiga indikatorer som kan utlösa en incident med insiderhot kan du åtgärda sårbarheter och minska riskerna i samband med insiderhot mer effektivt.