Interna hot – en översikt
Denna veckas blogg belyser interna hot inom organisationer. Anledningen till ämnet är att det nyligen lyftes i samband med en scenariobaserad riskanalys. Frågeställningen handlade om huruvida detta hot, utöver att det identifierats som relevant, verkligen realiserats överhuvudtaget? Existerar det fall då detta verkligen inneburit en avsevärd påverkan på en organisation och i så fall på vilket sätt? Veckans blogg belyser därför hur hoten kan se ut, bakomliggande incitament, aktuella exempel då hoten har realiserats, vilka kostnader som ett realiserande av hoten kan innebära, samt vilka åtgärder man bör vidta för att vara tillräckligt förberedd när situationen väl inträffar.
De senaste åren har en stadig ökning av denna typ av hot skett vilket gör att en grundläggande förståelse kring detta är angeläget och nödvändigt. Interna hot kan ses som ett samlingsnamn för utförda handlingar (oavsiktliga eller avsiktliga) av en intern aktör som kan leda till säkerhetsincidenter för verksamheten. Utförandet sker av någon som är anställd eller på annat sätt har anknytning till organisationen som drabbas. Interna hot innebär generellt allvarliga säkerhetsrisker, eftersom konsekvenserna ifrån incidenter exempelvis kan handla om dataexponering av företagshemlig information eller manipulation av tillgångar med avsevärd påverkan på organisationers anseende, brister i regulatorisk efterlevnad, eller påverkad marknadsposition. Ett typfall är då en extern aktör samarbetar med någon internt som har behörigheter, för att erhålla åtkomst till organisationers tillgångar.
Gruppering av interna hot
Följande kategorisering av interna hot efter syfte eller motiv ger en översiktlig bild:
- En vårdslös anställd hanterar information felaktigt, bryter mot policyer för slutanvändare och t.ex. installerar mjukvara ifrån ej betrodda instanser.
- Någon inifrån organisationen använder behörigheter, manipulerar tillgångar eller stjäl information för egen vinning eller på uppdrag av någon utanför organisationen.
- En uppsagd anställd vill förorsaka skada på organisationen och nyttjar sina behörigheter under den tid då deaktivering av konton inte ännu skett.
- En obetänksam tredje part kompromissar med säkerheten, genom felaktig användning eller otillräcklig behörighetshantering, till tillgångar.
Oavsiktliga handlingar som leder till säkerhetsincidenter beror ofta på försumlighet eller okunskap. Men eftersom den som arbetar inifrån en organisation har behörigheter, såväl som kunskap om processer och rutiner är det oftast inte enkelt att särskilja legitim åtkomst till information eller system från den med uppsåt att orsaka skada för organisationen.
Bakomliggande incitament
En utomstående aktör kan rekrytera personer som arbetar i organisationen på en rad olika sätt. Vanliga mönster är dock följande:
- Stöld av autentiseringsuppgifter, skadlig kod via websidor eller falska websidor.
- Erbjudande på forum om belöning för viss typ av information.
- Åtgärder maskeras så att anställda inte är medvetna om att de gör något illegalt och inleds ofta med en enkel, harmlös uppgift. Ett offer erbjuds kanske ett arbete för att ge information under förespeglingen att den inte är känslig trots att det handlar om transaktionsinformation, tillgångar på bankkonton eller telefonnummer och andra kontaktuppgifter till det tilltänkta offret.
- Utpressning. Läckta mail och autentiseringsuppgifter identifieras, nyttjas och komprometterande data (t.ex. känsliga personuppgifter, lagöverträdelser) används för cyberspionage eller utpressning.
Dessa hot realiseras idag oftast genom phishing framförallt då det handlar om oavsiktliga handlingar.
Vilka exempel finns på interna hot som faktiskt realiserats till allvarliga konsekvenser?
- General Electric. En stöld av immateriell egendom skedde genom att två anställda laddade ner 8 000 filer som handlade om kalibrering av turbiner i kraftverk samt prismodeller till grund för nya kontrakt. Filer skickades till privata adresser eller molnet och de lyckades få förhöjda (ej i linje med roll) behörigheter av systemadministratör. Materialet användes för att starta konkurrerande affärsrörelse. Efter flera års forensisk utredning kunde FBI slutligen visa att företaget hade byggt sin verksamhet på det stulna materialet och de anställda dömdes till fängelse och 1.4 miljoner dollar i skadestånd.
- Oldsmar vattenreningsanläggning i Florida. Försök till kraftig överdosering av lut (NaOH) i vattenrening. En operatör på anläggningen lyckades detektera och avstyra attacken. Därigenom påverkades aldrig reningsprocessen vilket annars hade kunnat leda till en storskalig förgiftning. Utredningen påvisade att datorer delade samma lösen för fjärråtkomst och var internetanslutna utan brandvägg. Angriparen hade kunnat bereda sig tillgång till SCADA system via verktyget TeamViewer. Även om motivet eller aktören ännu inte klarlagts visar det vilka möjliga katastrofala konsekvenser cyberattacker på kritisk infrastruktur kan resultera i.
- Marriott. Läckage av 5.2 miljoner kunduppgifter inklusive kontoinformation via nyttjande av två anställdas autentiseringsuppgifter till hotellkedjans tredjepartsapplikation. Monitoreringsaktivitet upptäckte inte detta under två månaders tid då dataexfiltreringen skedde.
- Cisco. Tidigare anställd ingenjör använde behörigheter för att plantera skadlig kod. Aktiviteten ledde till att fler än 400 virtuella maskiner som användes för WebEx Teams applikationer förstördes. Angreppet resulterade i 16 000 oåtkomliga konton under två veckors tid och innebar kostnader på ca 1.4 miljoner dollar för att granska infrastruktur och för att reparera skadan. Resurserna var åtkomliga utan multifaktors-autentisering.
Hur stora kostnader kan generellt uppkomma vid dessa typer av incidenter och vad består de av?
Oavsett om interna hot realiserats utifrån försumlighet hos en anställd, en kriminell insider eller en extern aktör, är det som kostar mest situationer som innebär stöld av autentiseringsuppgifter. Undersökningar visar att dessa incidenter har ökat signifikant senaste 5 åren, till ca 3 om året (för organisationer med fler än 500 anställda), till en kostnad av ca totalt 10 miljoner SEK årligen. Processrelaterade kostnader kan t.ex. innehålla: i) övervakning iför att kunna detektera insiderdrivna incidenter eller angrepp, inklusive teknikstöd för detta, ii) utredning för att klargöra källan, scope och omfattningen av en eller flera incidenter iii) incidentrespons och eskalering för att få ledningens förståelse om allvarlighetsgrad för aktuella incidenter iv) begränsande aktiviteter för att stoppa eller begränsa incidenter, t.ex. genom att stänga ner sårbara applikationer. Dessutom återställande aktiviteter för att reparera system och kritiska affärsprocesser, inklusive påverkade informationstillgångar samt IT infrastruktur. Av de listade ovan ligger begränsningar samt återställande aktiviteter som de största kostnadsposterna.
Vilken förberedelse krävs för att skydda sig mot interna hot?
Utifrån de typer av interna hot som beskrivits ovan och vad de kan leda till är det relevant att utvärdera på vilket lämpligt sätt strategier för säkerhetsarbetet ska ta hänsyn till detta. Historiskt sett har interna hot drabbat olika sektorer olika hårt. Av det kan slutsatsen dras att det är lämpligt att utgå ifrån sin hotbild för att avgöra vilka prioriteringar som är nödvändiga. Verksamheter bör dock se över vilka åtgärder som är mest effektiva utifrån sitt nuläge och som ett minimum överväga följande:
- Tekniska åtgärder som är utformade för att bemöta externa hot, bör inkludera DLP för att upptäcka och förhindra dataexfiltrering, teknikstöd för realtidsövervakning av IT-miljö, samt även regelbundna scanningar och penetrationstester i tillräcklig omfattning.
- Begränsning av behörigheter, dels för att begränsa de med utökade behörigheter men även de med åtkomst till den känsligaste informationen. Hur behovsprövad är åtkomsten för de anställda till de resurser som är kopplat till de mest kritiska affärsprocesserna.
- Strukturerad utvärdering av leverantörer av tjänster kritiska för verksamheten. Det bör finnas ett helhetsgrepp avseende granskning av potentiella leverantörer som inkluderar hur styrningen av informationssäkerhet beskrivs och fungerar, mätbarhet i krav samt bevis på löpande riskhantering samt uppföljning på ett systematiskt vis.
- Incidenthanteringsplan med utsedda roller, tydligt mandat samt genomtänkta vägval i händelser av olika uppkomna scenarios. I situationer som kan uppkomma i händelse av realiserade interna hot är tiden ens fiende. Förberedda underlag som beskriver hur prioritering avseende hantering av verksamhetspåverkan, aspekter som konfidentialitet, tillgänglighet eller riktighet hos påverkade informationsmängder, eller hur bevis ska säkras ger organisationen ett nödvändigt stöd då incidenten är ett faktum.
- Utbildning för att öka medvetenhet hos i synnerhet personer i ledningsfunktioner, avseende verksamhetens löpande arbete och mål med cybersäkerhet, interna krav samt vägledande instruktioner. Detta bör inkludera och betona åtgärder som verksamheten har på plats för att detektera och agera på interna hot. Slutanvändarens försumlighet eller okunskap är inget som bör tas lätt på, även om det knappast är något nytt.
- Löpande insatser i form av simuleringstester och uppföljande utbildning för att utvärdera risken att skadlig kod får fäste i verksamheten, samt för att ge personal (utöver magkänslan, som inte ska underskattas) nödvändiga verktyg för att kunna avgöra hur de på olika vis kan se igenom t.ex phishing-försök.
Referenser
https://www.fbi.gov/news/stories/two-guilty-in-theft-of-trade-secrets-from-ge-072920
http://www.mass.gov/service-details/cybersecurity-advisory.for-publi-water-suppliers
https://www.bankinfosecurity.com/ex-cisco-engineer-pleads-guilty-in-insider-threat-case-a-14917
cost-of-insider-threats-global-report-2020_v9_35025535USEN
ETL2020-Insider_Threat_eBook_EN