In het vakgebied van informatievoorziening wordt de mens vaak gezien als ‘zwakste schakel’. Het verhogen van het veiligheidsbewustzijn en het treffen van preventieve maatregelen helpt, maar is lang niet altijd genoeg. Werknemers kunnen een belangrijke rol vervullen bij een veilige informatievoorziening. In dit artikel vertellen we meer over het ondersteunen en beschermen van medewerkers en hun accounts.
Het menselijk handelen speelt een cruciale rol in de veiligheidsketen. Door de ontwikkeling van de technologie verwerken we meer en meer data die we ten behoeve van verwerking en opslag aan derden (bijv. Cloud-providers) toevertrouwen. Toch zijn veel securitymaatregelen nog altijd gericht op bewaking van de grenzen van het kantoornetwerk. De nadruk zou meer moeten liggen op bescherming van de data en de gebruikers die hiermee werken, ongeacht waar deze zich bevinden.
De uitdaging van een veilige informatievoorziening ligt in het vinden van balans. Enerzijds heb je als bedrijf inzicht nodig in de noodzakelijke gebruikersactiviteiten van medewerkers – om zo de veiligheidsrisico’s te onderkennen. Tegelijkertijd is het belangrijk om onnodige inbreuk op de privacy van gebruikers (medewerkers) te voorkomen.
Gebruikerssystemen (‘endpoints’) vormen een gewild target voor cybercriminelen. Endpoints geven doorgaans toegang tot de verschillende databronnen van een organisatie en de gebruiker heeft een sleutelpositie voor wat betreft de toegang tot deze bronnen. Een gebruiker, of liever gezegd: diegenes account, is immers geauthentiseerd en geautoriseerd en beschikt over een vertrouwensrelatie tot data en andere systemen binnen en buiten het netwerk. Het is dit vertrouwen dat cybercriminelen misbruiken. Dit kan simpelweg door zich voor te doen als een persoon of instantie waarmee het beoogde slachtoffer vertrouwd is. Door het slachtoffer te verleiden een linkje aan te klikken in een aan hem gericht e-mailbericht, kunnen de deuren tot de organisatie ongemerkt op een kier worden gezet.
Cybercriminaliteit is de laatste jaren verder geprofessionaliseerd en de grondigheid waarmee aanvallen worden voorbereid hebben dan ook serieuze vormen aangenomen. Het is bijvoorbeeld niet meer ongebruikelijk dat in eerste instantie ketenpartners worden aangevallen, alvorens het uiteindelijke doelwit op de korrel te nemen.
Ten gevolge van de pandemie is het werken op afstand de afgelopen jaren sterk toegenomen. Hierbij ontstond een verwevenheid van zakelijke en niet-zakelijke resources. Zo is het privégebruik van zakelijke devices toegenomen en wordt in de meeste gevallen gebruik gemaakt van een internetverbinding die niet beheerd en beveiligd wordt door de werkgever. Ook is er minder zicht op het (risicovol) handelen van gebruikers, waardoor incidenten minder snel worden opgemerkt. In dit kader onderscheiden we grofweg twee typen insiders:
Medewerkers van wie het account wordt misbruikt door derden, zijn hiervan zelden op de hoogte. Multi-factor authenticatie (MFA) is nog altijd niet de standaard. Wanneer dit wel het geval is, bestaat er vaak een vertrouwensrelatie met het systeem van de gebruiker, waardoor MFA niet per definitie opnieuw wordt afgedwongen. Gebruikmakend van een buitgemaakt account en de voorzieningen die binnen de omgeving gangbaar zijn (bijv. Remote Desktop, Secure Shell, Powershell, etc.) kunnen criminelen lang onopgemerkt opereren.
In de meeste gevallen zal een indringer specifieke data heimelijk trachten naar buiten te brengen. Data wordt gebundeld, gearchiveerd en veelal via versleutelde kanalen buiten het bedrijfsnetwerk getransporteerd. Zodra een dergelijke exfiltratie wordt opgemerkt, is deze – mits de juiste loggegevens beschikbaar zijn – herleidbaar naar de gebruiker van het account. In het geval van bovenstaand voorbeeld is de rechtmatige gebruiker van dit account te goeder trouw. Uit cijfers blijkt dat datalekken of andere vormen van onveilige informatievoorziening in de meeste gevallen veroorzaakt worden door goedwillende medewerkers die een fout maken of handelen uit nalatigheid.
Onderzoek wijst uit dat in 85% van de gevallen waarbij sprake was van een datalek, menselijke interactie een rol speelde (Verizon 2021 DBIR). Om vast te stellen of en op welke wijze een medewerker een rol heeft gespeeld bij een incident, is vaak een uitgebreid en tijdrovend digitaal forensisch onderzoek nodig. Een niet-limitatieve opsomming van gedragingen die hierbij onderzocht kunnen worden zijn: bezochte websites, inhoudelijke e-mailberichten, chatgesprekken, bestandsanalyse, et cetera. Correlatie van de verschillende logbronnen is noodzakelijk voor het verkrijgen van context. Hiervoor geldt echter niet dat meer data altijd persé tot betere resultaten leidt.
Het analyseren van onnodig veel data kan leiden tot ruis. Dat maakt een onderzoek kostbaar. Het streven moet zijn om zo min mogelijk data te verzamelen en te analyseren voor een maximaal resultaat. En uiteraard in lijn met de voorschriften van de geldende privacywetgeving (bijv. GDPR, AVG). Efficiënt (digitaal) onderzoek kan inzicht geven de aard en omvang van een incident. Daarbij is het belangrijk om de werkwijze rondom het vergaren en verwerken van de onderzoeksdata transparant vast te leggen.
Zorg dat binnen uw bedrijf de juiste loggegevens preventief verzameld worden. Recherchebureau Heijm kan u adviseren welke gegevens bijdragen aan uw forensic readiness. En als er zich een incident voordoet, staat Recherchebureau Heijm u bij met raad en daad. Onze digitaal forensisch onderzoekers en (security)specialisten bieden u inzicht in aard en omvang van uw informatievoorziening. Uiteraard met oog voor de privacy van uw werknemers en organisatie.
Heeft u vragen? Wij staan voor u klaar.
Specialst Arbeidsrechtelijk & Fraude onderzoek
Saturnusstraat 46-62
2132HB Hoofddorp (uitsluitend op afspraak)
M: 06-39473932
T: 020-8100929
POB vergunning: 1232
CBP: 1445601
KvK: 37120984
BTW: NL.814945697