Insider-risici og trusler – cybersikkerhedens blinde vinkel?

Både Finland og, mere bredt, de nordiske lande har en lang tradition inden for teknisk cybersikkerhed, særligt når det gælder om at opdage og blokere angribere og malware. Vi er dygtige til at identificere unormal aktivitet i vores systemer og forhindre tekniske trusler, før de materialiserer sig.

Der er dog en væsentlig blind vinkel i vores cybersikkerhedskultur – insider-risici og trusler. Vi tager ikke i tilstrækkelig grad alvorligt, at nogen internt i organisationen kan handle bevidst (og langt oftere ubevidst!) imod organisationens interesser.

Efter at have læst denne tekst vil du forstå, hvad insider-risici og trusler egentlig er. Du vil også få en forståelse for, hvilken rolle teknologi spiller i håndteringen af disse risici – og i at minimere de negative konsekvenser, hvis de materialiserer sig. Du vil også se, hvor grænserne for teknologiske indgreb går, og hvorfor samarbejde mellem mennesker er afgørende.

En insider er en person:
Som aktuelt er eller tidligere har været ansat i organisationen
Som har adgang til organisationens ressourcer, herunder mennesker, processer, information, teknologi eller fysiske faciliteter, eller som besidder viden om disse

Set på denne måde bliver insider-risiko lettere at forstå i sin fulde størrelse. Det handler om den individuelle mulighed for alle insiders til at handle, enten bevidst eller ubevidst, på måder der kan skade organisationen. Muligheden for at forårsage skade er en naturlig konsekvens af den tillid, en organisation giver sine medarbejdere. Personer i de mest centrale og kritiske roller har typisk en større end gennemsnitlig evne til at forårsage skade.

Vi taler om egentlige insidertrusler, når personer – ud over at have dette potentiale – også har intentionen om at handle, eller på grund af omstændigheder sandsynligvis vil ende med at handle, på en måde der medfører en form for skade eller tab for organisationen.

Cybersikkerhed med fokus på insider-risici og trusler kræver en helt ny form for samarbejde mellem mennesker, understøttet af teknologi, hvor det sjældent er tilstrækkeligt kun at forhindre uønskede handlinger gennem tekniske midler.

Vi kan ikke bruge teknologi til at adressere de primære drivkræfter bag bevidste handlinger mod organisationen – grådighed, ego, ideologi, hævn og nogle gange nysgerrighed – eller de personlighedstræk, der disponerer individer for skadelig adfærd, de såkaldte Dark Triad-træk: narcissisme, psykopati og machiavellisme.

Nogle af de forhold, der ofte udløser insider-risikoadfærd, ligger også uden for teknologiens rækkevidde, fordi de udspringer af en persons privatliv, såsom økonomiske problemer, stressende livsbegivenheder, utilfredshed eller isolation fra arbejdsfællesskabet.

Den måske mest almindelige udløser for skadelig adfærd – akut usikkerhed – er dog forudsigelig på arbejdspladsen, for eksempel i forbindelse med afskedigelser.

En positiv cybersikkerhedskultur kan også være med til at forhindre situationer, hvor en medarbejder, der i forvejen er disponeret for skadelige handlinger, identificerer en mulighed, udvikler et motiv og forbereder sig på at handle mod organisationen. Ved at opbygge en synlig og understøttende cybersikkerhedskultur er det også muligt at reducere skade forårsaget af insiders gennem uagtsomhed eller ligegyldighed.

Teknisk cybersikkerhed og andre kontroller spiller dog fortsat en vigtig rolle i håndteringen af insider-risici og i at minimere konsekvenserne, hvis de materialiserer sig. Mange organisationer, der bruger Microsofts cloudtjenester, anvender allerede visse tekniske kontroller relateret til håndtering af insider-risici, selvom de måske ikke er klar over det. Nedenfor præsenterer jeg nogle eksempler.

Vi bruger alle cloudtjenester med en digital identitet, som i Microsofts økosystem er en Entra ID-brugerkonto. Forskellige rettigheder til systemer og data tildeles denne identitet, men på grund af manglende processer bliver disse rettigheder ofte ikke fjernet, når de ikke længere er nødvendige. Resultatet er, at risiko ophobes over tid.

Organisationen kan bruge Entra ID’s Entitlement Management Access Packages til at samle de rettigheder, der kræves for en rolle, og tildele dem for en begrænset periode, hvilket gør det nemt at gennemgå og fjerne dem, når behovet ophører.

Automatisk tildeling af rettigheder ved ansættelse, deaktivering ved fratrædelse og oprydning i rettigheder ved rolleændringer – den såkaldte Joiners/Movers/Leavers-proces – er et centralt værktøj til håndtering af insider-risiko.

Moderne adgangsstyring bliver ofte set som en måde at beskytte mod eksterne trusler på – hvilket den også er. Men mange datatyverier, lækager eller skadelige handlinger udført af insiders er globalt set sket fra andre enheder end den, arbejdsgiveren har stillet til rådighed.

Entra ID’s Conditional Access-kontroller, som kræver en administreret og beskyttet enhed for at få adgang til tjenester, spiller derfor også en vigtig rolle i håndteringen af insider-risiko.

Jo flere rettigheder der samles under én identitet, desto større er den potentielle negative påvirkning på organisationen, hvis personen bag identiteten beslutter sig for at handle – eller ubevidst handler – imod organisationen. I nogle organisationer, for eksempel inden for IT-administration og systemejerroller, har personer fået brede og stærke rettigheder under den samme identitet, de bruger til dagligt arbejde. Det gør det vanskeligt at overvåge brugen af disse rettigheder og håndtere risikoen for misbrug.

Organisationer, der bruger Microsoft-tjenester, kan håndtere denne risiko ved for eksempel at oprette separate og bedre beskyttede identiteter til administrative opgaver og ved at anvende Entra ID’s finmaskede roller, så hver administratorkonto kun får de nødvendige begrænsede rettigheder i stedet for en global administratorrolle.

Aktivering af administrative roller kun i en begrænset periode, logget og eventuelt med krav om godkendelse fra en anden administrator via Privileged Identity Management, er også en effektiv måde at reducere den løbende risiko ved for brede rettigheder.

Insider-risici opstår typisk ikke bevidst, men som følge af fejl eller uforsigtig håndtering af information. Når de tjenester, medarbejdere bruger i deres daglige arbejde, giver vejledning i sikker håndtering af information og hjælper med at undgå de mest alvorlige fejl, har det en positiv effekt på risikostyringen. Samtidig bliver handlinger, der bryder organisationens politikker, mere synlige i tekniske overvågningsværktøjer, fordi færre medarbejdere håndterer information usikkert.

I Microsofts økosystem leveres vejledning i sikker informationshåndtering gennem Purview Data Loss Prevention i tjenester som Exchange Online, Teams, SharePoint Online, OneDrive for Business, Fabric og Power BI. Yderligere DLP-funktioner til awareness findes også for Defender for Endpoint-administrerede Windows 10/11- og macOS-enheder.

Når medarbejdere er klar over, at handlinger i strid med politikker sandsynligvis bliver opdaget, reducerer det markant sandsynligheden for bevidst uønsket adfærd relateret til organisationens data og systemer. Korrekt designede DLP-kontroller og prompts fungerer derfor også som en troværdig afskrækkelse.

En reel insidertrussel viser sig ikke som én enkelt isoleret teknisk hændelse. Den identificeres derimod gennem store mængder logdata ved at sammenkæde relevante informationer til en hændelseskæde – for eksempel at følsomme filer gradvist indsamles fra SharePoint til en arbejdsstation, derefter overføres samlet til en USB-enhed, efterfulgt af en opsigelse.

Et vigtigt element er også at modellere normal adfærd ved hjælp af machine learning, så afvigelser kan opdages.

Uden AI- og machine learning-baserede værktøjer er det urealistisk at identificere disse mønstre i stor skala. Derfor bør organisationer, der arbejder aktivt med insider-risikostyring, anvende værktøjer som Microsoft Insider Risk Management.

Disse værktøjer er afhængige af omfattende logdata på tværs af tjenester. Organisationer bør derfor sikre, at alle relevante hændelser logges, så data kan bruges til risikodetektion.

Selv identificerede hændelseskæder kræver stadig kontekst uden for det tekniske, hvilket gør samarbejde med for eksempel HR afgørende.

I sidste ende er data den mest værdifulde ressource for de fleste organisationer, og risici relateret til data håndteres i Microsofts tjenester ved at:
Identificere følsomme oplysninger ved hjælp af Purview Information Protection Sensitivity Labels
Sikre bevaring og oprydning i data gennem Purview Data Lifecycle Management

Disse og mange andre metoder kan hjælpe organisationer med at håndtere konsekvenserne af insiderangreb eller risikabel adfærd. Jeg vil derfor opfordre dig til at reflektere over, hvad din organisation gør for at håndtere insider-risici.