Innsidere – Hva er det og hvordan jobber de?

Del innlegget

Hva gjør du når trusselaktørene går rett på de ansatte?

– De siste årene har digital sikkerhet for alvor kommet på agendaen til stadig flere virksomheter, i takt med at antallet angrep også øker, sier Thorbjørn Busch, senior sikkerhetsanalytiker i Telenor.

Han peker på ferske tall fra Nasjonal Sikkerhetsmyndighet (NSM), som har registrert en tredobling i antall alvorlige hendelser og cyberoperasjoner mot norske virksomheter fra 2019 til 2021. I samme periode har det også vært en kraftig økning i digital utpressing og sabotasje, såkalte løsepengevirus eller ransomware.

– Det stilles store krav til digitalisering, og med ny teknologi oppstår gjerne også nye tekniske sårbarheter som må sikres. Men i skyggen av dette «sikringskappløpet» er det lett å glemme at trusselaktørene like gjerne kan omgå tekniske sikkerhetstiltak ved å gå direkte på de ansatte, sier Busch.

Bruker ansatte for å skaffe seg tilgang

Det å velge enkleste vei inn er ofte tidsbesparende og et strategisk trekk. Å komme seg inn i bedriftens IT-systemer kan være ressurskrevende og kostbart, så ved å betale en ansatt noen tusenlapper for samme type tilganger eller informasjon, velger trusselaktørene korteste vei til mål.

Ansatte kjenner virksomhetens rutiner, prosesser og sårbarheter, og kan benytte kunnskapen for å skade virksomheten til fordel for egen vinning, annen virksomhet eller statlig aktør.

Dette kan være nåværende ansatte som er misfornøyde eller tidligere ansatte som bærer nag. Det skjebnesvangre er at begge disse har en eller annen form for tilgang til sårbare deler av nettverket ditt.

Og årsaken til at de er en trussel, er fordi man som oftest fokuserer på trusseldeteksjon mot det som er «der ute» i stedet for det som er rett foran oss.

Ubevisste og bevisste innsidere

Det er vanlig å sortere «innsidere» i to kategorier: De ubevisste og de bevisste.

– En ubevisst innsider er noen som uten intensjon, altså uten å ville det, påfører virksomheten skade eller tap. Det kan for eksempel være at noen er litt for løsmunnet om sensitiv informasjon, rett og slett fordi han eller hun ikke har god nok bevissthet rundt sikkerheten, sier Busch.

– Dette kan skyldes manglende dømmekraft hos den enkelte ansatte, men vel så ofte er det et tegn på mangelfull sikkerhetsstyring og ledelse i virksomheten.

Ubevisst innsideaktivitet kan også være resultat av at en ansatt blir forledet, manipulert eller på annen måte utnyttet av en trusselaktør.

– Her jobber gjerne trusselaktøren målrettet mot den ansatte, som dermed blir angrepsflaten inn mot virksomheten. Han eller hun kan da ende opp med å dele informasjon eller tilganger, uten å være klar over at dette i realiteten går til en trusselaktør, sier Busch.

En bevisst innsider er på sin side klar over han eller hun begår en handling som er i strid med virksomhetens interesser.

– Det er mange ulike årsaker som kan føre til at noen velger å begå en slik handling. Det kan være snakk om statlig eller industriell spionasje, ideologiske overbevisninger eller et personlig ønske om økonomisk gevinst. Samtidig er det ikke alltid at disse innsiderne fullt ut forstår konsekvensene av det de gjør – der selv en liten og tilsynelatende uskyldig handling kan føre til store tap, sier Busch.

Innsidere forklart av Thorbjørn Busch, Senior sikkerhetsanalytiker i Telenor.

Thorbjørn Busch, Senior sikkerhetsanalytiker i Telenor.

En «uskyldig» handling kan balle på seg

Som så mye annet i livet, kan det ene føre til det andre. Har en ansatt i et øyeblikks vanvare gjort noe dumt, og for eksempel ubevisst lekket informasjon til noen som ikke skulle hatt dette, kan dette senere brukes mot dem.

– Brått har trusselaktørene noe de kan bruke som pressmiddel mot den ansatte. De spiller da på frykt, og truer med å «blåse navnet» til den ansatte om han eller hun ikke gjør som trusselaktørene ber om. Det som da starter som noe lite, kan bli et skikkelig mareritt, sier Busch.

– De som driver med dette er som regel svært kyniske, og vet nøyaktig hva de er ute etter. I tillegg har de ofte god tid, slik at de kan starte i det små og over tid jobbe målrettet med en ansatt – som av frykt for å bli avslørt går med på stadig mer, sier Busch.

Dette er da personer som ender opp med å bli bevisste innsidere, forteller han – selv om de startet opp i det ubevisste, uten opprinnelig motivasjon for å begå innsidevirksomhet.

Hvordan kan du vite om noen på innsiden utgjør en trussel?

Dessverre er det ingen mellomting når det kommer til innsidetrusler. Avslørende oppførsel finnes i begge ender av skalaen da personen enten er ekstremt umotivert eller mistenkelig overmotivert. Vær spesielt oppmerksom på:

●     Aktivitet på uvanlige tidspunkter. Hvis aktiviteten ikke er velbegrunnet eller vanlig, så er den mistenkelig.

●     Uvanlige datatrafikk. Spesielt overføringer av store mengder data fra nettverket.

●     Endret brukeradferd. For eksempel åpning eller henting av ressurser som vanligvis ikke brukes.

Hvordan redusere innsidetrusselen?

– Nøkkelen til å forstå innsidevirksomhet ligger i en erkjennelse av at ansatte også er mennesker, med alle de styrkene og svakhetene det innebærer, sier Busch, og utbroderer:

– Trusselaktørene utnytter høyst menneskelige egenskaper og følelser som grådighet, ensomhet, hevnlyst, nysgjerrighet, overbevisninger, naivitet og ikke minst frykt.

Disse driverne kan i enkelte tilfeller være så sterke at den ansatte selv tar initiativ til innsidevirksomheten, eller trusselaktørene kan finne de «rette knappene å trykke på» for innlede kontakt med en ansatt de har pekt seg ut.

– Skal man klare å håndtere innsiderisiko i virksomheten, krever dette derfor at dere tar disse menneskelige egenskapene på alvor. Teknologiske tiltak er ikke nok, som leder må du også ha tid og evne til å ivareta dine ansatte og følge dem godt opp, sier Busch.

– Dette kan for eksempel være noe å ha i bakhodet når det gjennomføres medarbeidersamtaler, men det er også viktig å følge med på i det daglige – og sikte mot en åpenhetskultur, sier Busch.

Har en ansatt kommet med spesielle ytringer på sosiale medier eller i andre fora? Mistenkes det at noen sliter med rus eller spilleavhengighet? Kan det være snakk om økonomiske problemer, for eksempel etter et samlivsbrudd?

– Dette er potensielle sårbarheter som noen kan finne på å utnytte, og situasjoner der det man både som kollega og arbeidsgiver kan og bør vise den det gjelder litt ekstra omtanke, sier Busch.

Ha klare rutiner og retningslinjer

I Telenor må alle nye ansatte som skal få gitte tilganger også gjennom en egen bakgrunnsundersøkelse.

– I enkelte selskaper er dette spesielt viktig, særlig om man jobber i virksomheter av nasjonal interesse – eller som i Telenor sitt tilfelle, at man håndterer kritisk infrastruktur og store mengder sensitiv persondata, sier Busch.

Slike «autorisasjonssamtaler» ved ansettelse​ kan bidra til å kaste lys over bindinger eller andre momenter man bør være obs på.

– Et annet viktig grep er å øke den generelle bevisstheten rundt sikkerhet og innsiderisiko både hos ledelse og de ansatte. Dette kan gjøre det lettere for andre å oppdage om noe ikke er helt som det skal. Men enda viktigere er det at den ansatte da lettere kan kjenne igjen tegnene på at noen har urent mel i posen, sier Busch.

Denne generelle kompetansehevingen bør også innebære at man vet hva man bør gjøre og hvem man bør si fra til om det oppstår en situasjon som gjør de ansatte usikre.

– Samtidig bør takhøyden være høy for at noen kan gjøre en feil – det er tross alt menneskelig å feile. Tør man å si fra om de små tingene, kan disse stoppes før de vokser seg så store at det oppleves for sent, sier Busch, og legger til:

– Har du fornøyde ansatte som har en bevissthet rundt innsidetrusler og samtidig vet hva de skal gjøre om noen forsøker seg på dem, er du allerede langt på vei.

Ønsker du å vite mer?

Legg inn eposten din så kontakter vi deg

Du er kanskje også interessert i:

Mobil

Arbeidstakere tviler på IT-sikkerhet

Mer enn 30 prosent av norske arbeidstakere er usikker på om bedriften de arbeider i tar IT-sikkerhet på alvor. Det fremgår av en nasjonal undersøkelse

Mobil

Storfornøyd med operatør-samarbeid

For et drøyt år siden valgte Mobit å tilby kundene sine alternativer gjennom den nye mobiloperatøren Nortel. Samarbeidet betyr at Nortel har fått nærmere 14500

Kontakt oss

kontakt@collabit.no