Die koste van insider-bedreigings is besig om te ontplof: hier is hoe om dit te bestuur
INHOUDSOPGAWE:
Daar is 'n groeiende probleem in die kern van onderneming se kuberveiligheidsposisie. Dit is nie skaduagtige kubermisdadigers of staatsondersteunde hacktiviste nie. Dit is nie die onpeilbare kompleksiteit van die moderne IT-omgewing nie. Dit is die hulpbron waarsonder geen organisasie kan klaarkom nie: sy mense.
Volgens 'n studie, oortredings wat deur insiders veroorsaak word, kos vandag gemiddeld $16.2m – 40% hoër as vier jaar gelede. Tog bestee dieselfde organisasies net $3.2 miljoen jaarliks om die probleem op te los. Iets moet verander.
Hoe ernstig is die insider-bedreiging?
Insiderrisiko kan baie vorme aanneem. Daardie DTEX-studie plaas hulle in drie kategorieë:
- Kwaadwillige insiders soos ontevrede werknemers wat die maatskappy waarvoor hulle werk wil benadeel. Vir groter of strategies belangrike firmas kan dit selfs korporatiewe spioene of staatsakteurs insluit
- Individue wat uitoorlê word deur phishing-swendelary of ander taktiek, wat kuberkrakers in staat stel om hul rekeninge te kaap en meer
- Nalatige insiders wat sekuriteitswaarskuwings ignoreer en stelsels dalk verkeerd konfigureer
Dit is die derde tipe risiko wat organisasies waarskynlik die meeste sal kos, volgens die verslag. Maar oor die algemeen is bedreigings van binnekant dikwels moeiliker om raak te sien as dié wat van buite die organisasie gepleeg word – veral as kwaadwillige opset betrokke is. En dit kan ekstra tyd, moeite en koste beteken om dit te herstel. Volgens IBM, het kwaadwillige insider-oortredings verlede jaar gemiddeld 308 dae geneem om te identifiseer en te bevat. En hulle kos gemiddeld $4.9 miljoen – 9.6% hoër as die globale koste van alle oortredings.
Dit lyk asof sake met toenemende frekwensie in die nuus verskyn. In Februarie is dit na vore gekom dat ’n voormalige raadswerker in die VK 79,000 XNUMX inwoners se e-posadresse gesteel het met die doel om ’n nuwe besigheid te bevorder. Aan die ander kant van die Atlantiese Oseaan, Verizon is gedwing om geaffekteerde individue in kennis te stel nadat 'n insider 'n lêer met inligting oor meer as 63,000 XNUMX werknemers "onvanpas hanteer" het. En die regering het 'n voormalige Google-werknemer aangekla met diefstal van handelsgeheime.
Is Insider-bedreigings meer waarskynlik?
Daar is 'n paar redes waarom CISO's bekommerd moet wees. Die eerste is huiswerk. Sedert die pandemie het dit 'n gereelde kenmerk van baie organisasies geword. Sommige sê die VK is nou die werk-van-huis-hoofstad van Europa. Tog kan om weg te wees van die kantoor ook die risiko van opsetlike oortreding of nalatigheid verhoog. Aan die een kant kan dit geleenthede bied om met sensitiewe data af te maak. Aan die ander kant sê huiswerkers soms dat hulle meer is waarskynlik risiko's neem of weerspreek veiligheidsbeleid, as wanneer hulle in die kantoor was.
Die tweede risikofaktor is die lewenskostekrisis. Aangesien finansiële druk op werknemers voortbou, kan hulle meer gewillig wees om risiko's te neem vir persoonlike wins. 'n Februarie-peiling van bedrogvoorkoming sonder winsbejag Cifas onthul dat 54% van Britse ondernemings bekommerd is oor personeel wat deur kubermisdadigers geteiken word: byvoorbeeld om sensitiewe inligting in ruil vir kontant bekend te maak. Meer as twee-vyfdes (42%) noem spesifiek die binnebedreiging.
Soortgelyke navorsing van Bridewell Consulting verlede jaar onthul dat meer as 'n derde (35%) van veiligheidsleiers van kritieke nasionale infrastruktuur (CNI) meen die ekonomiese afswaai dwing werknemers tot datadiefstal en sabotasie. Dit beweer dat die aantal werknemerssabotasie-voorvalle by CNI-firmas jaar-tot-jaar met 62% toegeneem het.
Bedreigingsgroepe soos Lapsus$ het openlik erken hulle probeer om sekuriteitsverdediging te omseil met die hulp van insiders by geteikende organisasies.
Bestuur die Insider-bedreiging
Jamie Akhtar, hoof uitvoerende beampte van CyberSmart, sê aan ISMS.online dat of dit nou kwaadwillige of nalatige binnerisiko's versag, organisasies 'n soortgelyke benadering moet volg - die vermenging van praktiese stappe en HR-gefokusde strategieë.
“Jy moet toegang binne jou organisasie beheer. Wat ons hiermee bedoel, is dat jy streng moet wees oor watter gebruikersrekeninge admin-voorregte en toegang tot sensitiewe data het,” verduidelik hy.
“Pas die reël toe dat niemand toegang moet hê tot enigiets wat hulle nie nodig het om hul werk te doen nie. Dit beteken ook om 'n duidelike proses te hê om van boord af te gaan en toegang te verwyder van personeel wat verlaat. Oortredings spruit te dikwels voort uit personeel wat nie toegang tot sensitiewe inligting behoort te hê wat dit het nie.”
Dit moet saam met verbeterde kuberveiligheidsopleiding kom om personeel te help om algemene bedreigings op te spoor en te vermy, voeg hy by.
“Dit alles is egter verniet as werknemers ondergewaardeer genoeg voel om tot aksie oor te gaan of bloot onder sneeu lê. Dit neem immers net een ontevrede of oorwerkte personeellid om ’n besluit te neem wat die hele onderneming in gevaar kan stel,” voer Akhtar aan.
“Besighede moet wel praktiese voorsorgmaatreëls instel, maar hulle moet ook empatie en ondersteuning vir werknemers toon.”
Tracey Carpenter, bestuurder van binnebedreiging by Cifas, beskryf vyf stappe om binnerisiko's te voorkom, van toepassing op kuberveiligheid en bedrogscenario's. Eerstens, het 'n robuuste voor-indiensneming siftingsbeleid in plek. Hersien en maak dan enige gapings in kontroles toe.
"As 'n werknemer die motivering het om bedrieglike gedrag te pleeg of hul oneerlike gedrag kan rasionaliseer, kan hulle hierdie gapings in beheermaatreëls teiken en uitbuit," sê sy aan ISMS.online
Organisasies moet ook onthou om proaktief te wees, nie reaktief nie, sê sy. Dit beteken om nie op personeel of kliënte staat te maak om gevalle van potensiële oneerlike gedrag deur werknemers te merk nie. Onthou ook om kontroles deur die hele werknemerlewensiklus uit te voer, waartydens 'n werknemer se risikoprofiel kan verander. En laastens, werk saam deur bedreigingsintelligensie te deel waar moontlik, sê sy.
Hoe ISO 27001 kan help
Beste praktykstandaarde soos ISO 27001 kan ook help. ISO 27001 mandaat kuberveiligheid opleidingsprogramme vir personeel, wat sal help om bewustheid te verbeter oor die behoefte aan 'n sekuriteit-eerste kultuur. Dit vereis ook gereelde hersiening van beleid en prosedure.
"ISO27001 sluit 'n vereiste vir deurlopende assessering in om te verseker dat die risiko's (insluitend binnebedreigings) vir 'n organisasie voortdurend gemonitor word en dat versagtende beheermaatreëls geïmplementeer en inkrementeel verbeter word," verduidelik CyberSmart se Akhtar.
“Dit help om binnebedreigings te hanteer, want dit help besighede om die prosesse en praktiese stappe in plek te stel om dit teë te werk. Wat meer is, dit moedig organisasies aan om na te dink oor die bedreigings wat deur insiders inhou en hoe om hul veiligheidsmaatreëls voortdurend te verbeter.”
Kuberveiligheidstandaarde en -skemas soos Cyber Essentials kan net organisasies sover kry. Hulle moet ook die onderliggende oorsake van binnerisiko in ag neem. Dit kan 'n fundamentele herbeoordeling van korporatiewe werkskultuur vereis.
“Bedrog is almal se saak,” sluit Cifas se Carpenter af. ’n Organisasie wat opleiding in die voorkoming van bedrog aangryp en daartoe verbind is om ’n kultuur teen bedrog te bou en te ontwikkel, is beter toegerus om nie net die groeiende binnebedreiging aan te pak nie, maar ook om sy personeel, kliënte en groter belanghebbendes te beskerm.”
