Trace Id is missing
Gå til hovedindholdet
Microsoft Security

Hvad er en insidertrussel?

Udforsk, hvordan du forsvarer din organisation mod insideraktivitet, herunder brugere med autoriseret adgang, som forsætligt eller utilsigtet kan forårsage en datasikkerhedshændelse.

Insidertrussel defineret

Før insidere bliver en trussel, er de en risiko, der defineres som potentialet for en person til at bruge autoriseret adgang til organisationens aktiver, enten skadeligt eller utilsigtet, på en måde, der påvirker organisationen negativt. Adgang omfatter både fysisk og virtuel adgang, og aktiver omfatter information, processer, systemer og faciliteter.

Hvad er en insider?

En insider er en betroet person, der har fået adgang til eller har viden om virksomhedens ressourcer, data eller systemer, som ikke er generelt tilgængelige for offentligheden, herunder:

  • Personer, der har et badge eller en anden enhed, der giver dem mulighed for løbende at få adgang til virksomhedens fysiske ejendom, f.eks. et datacenter eller virksomhedens hovedkvarter.
  • Personer, der har en firmacomputer med netværksadgang.
  • Personer, der har adgang til et firmas virksomhedsnetværk, cloudressourcer, programmer eller data.
  • Personer, der har viden om en virksomheds strategi og viden om deres økonomi.
  • Personer, der bygger virksomhedens produkter eller tjenester.

Typer af insidertrusler

Insider-risici er sværere at registrere end eksterne trusler, fordi insidere allerede har adgang til en organisations aktiver og kender dens sikkerhedsforanstaltninger. Kendskab til typerne af insider-risici hjælper organisationer med bedre at beskytte værdifulde aktiver.

  • Uheld

    Nogle gange laver personer fejl, der kan føre til potentielle sikkerhedshændelser. En forretningspartner sender f.eks. et dokument med kundedata til en kollega, uden at de ved, at de ikke har tilladelse til at få vist disse oplysninger. Eller en medarbejder reagerer på en phishing-kampagne og installerer utilsigtet malware.

  • Ondsindet

    I en ondsindet sikkerhedshændelse, der skyldes en insider, vil en medarbejder eller en person, der er tillid til, bevidst gøre noget, som vedkommende ved, vil påvirke virksomheden negativt. Sådanne personer kan være motiveret af personlige uoverensstemmelser eller andre personlige årsager og kan søge økonomisk eller personlig gevinst gennem deres handlinger.

  • Uagtsomhed

    Uagtsomhed svarer til et uheld, da personen ikke havde til hensigt at forårsage en datasikkerhedshændelse. Forskellen er, at de bevidst bryder en sikkerhedspolitik. Et almindeligt eksempel er, når en medarbejder giver en person mulighed for at gå ind i en bygning uden at vise et badge. En digital ækvivalent ville være at tilsidesætte en sikkerhedspolitik uden grundige overvejelser for at opnå hastighed og bekvemmelighed eller at logge på virksomhedens ressourcer via en usikret trådløs forbindelse.

  • Hemmelige aftaler

    Nogle insider-sikkerhedshændelser er resultatet af, at en betroet person samarbejder med en cyberkriminel organisation om at begå spionage eller tyveri. Dette er en anden type ondsindet insiderrisiko.

Hvordan opstår der ondsindede insiderhændelser?

Ondsindende hændelser forårsaget af insidere kan forekomme på flere måder ud over et typisk cyberangreb. Her er nogle almindelige måder, som insidere kan forårsage sikkerhedshændelser på:

  • Vold

    Insidere kan bruge vold eller trusler om vold til at skræmme andre medarbejdere eller udtrykke utilfredshed i en organisation. Vold kan tage form af verbalt misbrug, seksuel chikane, mobning, angreb eller andre truende handlinger.

  • Spionage

    Spionage henviser til den praksis, der bruges til at stjæle forretningshemmeligheder, fortrolige oplysninger eller immaterielle rettigheder, der tilhører en organisation, med det formål at give en fordel til en konkurrent eller en anden part. En organisation kan f.eks. blive infiltreret af en ondsindet insider, der indsamler økonomiske oplysninger eller produktplaner for at få en konkurrencemæssig fordel på markedspladsen.

  • Sabotage

    En insider kan være utilfreds med en organisation og føle sig motiveret til at skade organisationens fysiske ejendom, data eller digitale systemer. Sabotage kan ske på mange forskellige måder, f.eks. ved at ødelægge udstyr eller kompromittere fortrolige oplysninger.

  • Svindel

    Insidere kan begå svigagtige aktiviteter til personlig gevinst. En ondsindet insider kan f.eks. bruge et firmas kreditkort til personlig brug eller indsende falske eller overdrevne udgiftskrav.

  • Tyveri

    Insiders kan stjæle en organisations aktiver, følsomme data eller immaterielle rettigheder til personlig gevinst. En opsagt medarbejder, der motiveres af personlig gevinst, kan f.eks. udtrække fortrolige oplysninger for deres fremtidige arbejdsgiver, eller en underleverandør, der er ansat af en organisation til at udføre bestemte opgaver, kan stjæle følsomme data til deres egne fordele.

Syv indikatorer for insider-risiko

Både personer og teknologi spiller en rolle i registrering af insider-risici. Nøglen er at oprette en grundlinje for det, der er normalt, så det er nemmere at identificere usædvanlige aktiviteter.

  • Ændringer af brugeraktivitet

    Kolleger, ledere og partnere kan være i den bedste position til at vide, om nogen er blevet en risiko for organisationen. En risikabel insider, der er motiveret til at forårsage en datasikkerhedshændelse, kan f.eks. have pludselige observerbare holdningsændringer som et usædvanligt tegn.

  • Unormal dataudtrækning

    Medarbejdere får ofte adgang til og deler fortrolige data på arbejdet. Men når en bruger pludselig deler eller downloader en usædvanlig mængde følsomme data i forhold til sine tidligere aktiviteter eller kolleger i en lignende rolle, kan det være tegn på en potentiel datasikkerhedshændelse.

  • En sekvens af relaterede risikable aktiviteter

    En enkelt brugerhandling, f.eks. download af fortrolige data, er muligvis ikke en potentiel risiko i sig selv, men en række handlinger kan indikere potentielle risici for datasikkerheden. Antag for eksempel, at en bruger omdøber fortrolige filer, så de ser mindre følsomme ud, downloader dem fra skylager, gemmer dem på en bærbar enhed og sletter dem fra skylager. I dette tilfælde kan det tyde på, at brugeren potentielt forsøgte at udtrække følsomme data mens de undgik at blive opdaget.

  • Dataudtrækning fra en opsagt medarbejder

    Dataudtrækning stiger ofte sammen med fratrædelser og kan være enten bevidst eller utilsigtet. En utilsigtet hændelse kan se ud som en opsagt medarbejder, der utilsigtet kopierer følsomme data for at holde styr på deres resultater i deres rolle, mens en ondsindet hændelse kan se ud som bevidst at downloade følsomme data for at opnå personlig gevinst eller for at hjælpe dem i deres næste position. Når fratrædelseshændelser falder sammen med andre usædvanlige aktiviteter, kan det indikere en datasikkerhedshændelse.

  • Unormal systemadgang

    Potentielle insider-risici kan starte med, at brugere tilgår ressourcer, som de normalt ikke har brug for til deres job. Brugere, der normalt kun har adgang til marketingrelaterede systemer, begynder f.eks. pludselig at tilgå økonomisystemer flere gange om dagen.

  • Trusler og chikane

    Et af de tidlige tegn på insider-risici kan være en bruger, der giver udtryk for truende, chikanerende eller diskriminerende kommunikation. Det kan ikke kun skade en virksomheds kultur, men det kan også føre til andre potentielle hændelser.

  • Eskalering af rettigheder

    Organisationer beskytter og styrer normalt værdifulde ressourcer ved at tildele privilegeret adgang og roller til begrænset personale. Hvis en medarbejder forsøger at eskalere sine rettigheder uden en klar forretningsmæssig begrundelse, kan det være et tegn på potentiel insider-risiko.

Eksempler på insidertrusler

Hændelser med insidertrusler som datatyveri, spionage eller sabotage har fundet sted i organisationer af alle størrelser i årenes løb. Et par eksempler kunne være:

  • At stjæle forretningshemmeligheder og sælge dem til et andet firma.
  • At hacke ind i en virksomheds cloudinfrastruktur og slette tusindvis af kundekonti.
  • At bruge forretningshemmeligheder til at starte en ny virksomhed.

Vigtigheden af holistisk styring af insider-risiko

Et holistisk program til styring af insider-risiko, der prioriterer relationer mellem medarbejdere og arbejdsgiveren og integrerer kontrolelementer til beskyttelse af personlige oplysninger, kan reducere antallet af potentielle insider-sikkerhedshændelser og føre til hurtigere registrering. En nylig undersøgelse foretaget af Microsoft viste, at virksomheder med et holistisk program til styring af insider-risiko var 33 % mere tilbøjelige til hurtigt at registrere insider-risiko, og 16 % mere tilbøjelige til at have hurtig afhjælpning end virksomheder med en mere fragmenteret tilgang.1

Sådan beskytter du mod insidertrusler

Organisationer kan håndtere insider-risiko på en holistisk måde ved at fokusere på processer, personer, værktøjer og uddannelse. Brug følgende bedste praksis til at udvikle et program til styring af insider-risiko, der opbygger tillid til medarbejderne og hjælper med at styrke din sikkerhed:

  • Prioriter medarbejdernes tillid og beskyttelse af personlige oplysninger

    Opbygning af tillid blandt medarbejdere begynder med at prioritere deres personlige oplysninger. For at skabe en følelse af tryghed ved deres program til styring af insider-risiko kan man overveje at implementere en godkendelsesproces på flere niveauer til at igangsætte insider-undersøgelser. Derudover er det vigtigt at kontrollere aktiviteterne hos dem, der gennemfører undersøgelser, for at sikre, at de ikke overskrider deres grænser. Implementering af rollebaserede adgangskontroller for at begrænse, hvem i sikkerhedsteamet, der kan få adgang til undersøgelsesdata, kan også hjælpe med at opretholde beskyttelsen af personlige oplysninger. Anonymisering af brugernavne under undersøgelser kan yderligere beskytte medarbejdernes personlige oplysninger. Endelig kan du overveje at slette brugerflag efter en angivet tidsperiode, hvis en undersøgelse ikke fortsætter.

  • Brug positive afskrækkelsesmidler

    Mens mange programmer til insider-risiko er afhængige af negative afskrækkelsesmidler, såsom politikker og værktøjer, der begrænser risikable medarbejderaktiviteter, er det afgørende at afbalancere disse foranstaltninger med en forebyggende tilgang. Positive afskrækkelsesmidler, som f.eks. events, der øger medarbejdernes moral, grundig onboarding, løbende træning og uddannelse i datasikkerhed, opadgående feedback og programmer til at skabe balance mellem arbejde og privatlivet, kan være med til at mindske sandsynligheden for insiderhændelser. Ved at interagere med medarbejdere på en produktiv og proaktiv måde håndterer positive afskrækkelsesmidler kilden til risikoen og fremmer en sikkerhedskultur i organisationen.

  • Opnå opbakning i hele virksomheden

    It- og sikkerhedsteams kan have det primære ansvar for at administrere insider-risiko, men det er vigtigt at engagere hele virksomheden i denne indsats. Afdelinger, f.eks. personaleafdelingen, afdelingen for overholdelse og den juridiske afdeling, spiller en afgørende rolle i definitionen af politikker, kommunikation med interessenter og ved at træffe beslutninger under en undersøgelse. For at udvikle et mere omfattende og effektivt program til styring af insider-risiko skal organisationer søge at købe ind og involvere sig fra alle områder af virksomheden.

  • Brug integrerede og omfattende sikkerhedsløsninger

    Effektiv beskyttelse af din organisation mod insider-risici kræver mere end blot implementering af de bedste sikkerhedsværktøjer. det kræver integrerede løsninger, der giver synlighed og beskyttelse i hele virksomheden. Når løsninger til datasikkerhed, identitets- og adgangsadministration, XDR (udvidet registrering og svar) og SIEM (Security Information and Event Management) er integreret, kan sikkerhedsteams effektivt registrere og forhindre insiderhændelser.

  • Implementer effektiv træning

    Medarbejderne spiller en afgørende rolle i forebyggelsen af sikkerhedshændelser, hvilket gør dem til den første forsvarslinje. At sikre din virksomheds aktiver kræver, at du får medarbejdernes opbakning, hvilket igen forbedrer organisationens overordnede sikkerhed. En af de mest effektive metoder til at skabe denne opbakning er gennem uddannelse af medarbejderne. Ved at uddanne medarbejdere kan du reducere antallet af utilsigtede insiderhændelser. Det er vigtigt at forklare, hvordan insiderhændelser kan påvirke både virksomheden og dens medarbejdere. Derudover er det vigtigt at kommunikere databeskyttelsespolitikker og lære medarbejderne, hvordan de undgår potentielt at lække data.

  • Brug maskinel indlæring og kunstig intelligens

    Sikkerhedsrisici på nutidens moderne arbejdsplads er dynamiske med forskellige faktorer, der konstant ændrer sig, og som kan gøre dem vanskelige at opdage og reagere på. Men ved hjælp af maskinel indlæring og kunstig intelligens kan organisationer registrere og afhjælpe insider-risici med maskinhastighed, hvilket muliggør tilpasset og personcentreret sikkerhed. Denne avancerede teknologi hjælper organisationer med at forstå, hvordan brugerne interagerer med data, beregner og tildeler risikoniveauer, og tilpasser automatisk relevante sikkerhedskontroller. Med disse værktøjer kan organisationer strømline processen med at identificere potentielle risici og prioritere deres begrænsede ressourcer på at håndtere insideraktiviteter med høj risiko. Dette sparer sikkerhedsteams værdifuld tid og sikrer samtidig bedre datasikkerhed.

Løsninger til styring af insider-risiko

Det kan være en udfordring at forsvare sig mod insidertrusler, da det er naturligt at have tillid til dem, der arbejder for og med organisationen. Det er afgørende at identificere de mest kritiske insider-risici og prioritere ressourcer for at undersøge og afhjælpe dem for at reducere indvirkningen af potentielle hændelser og brud. Heldigvis kan mange værktøjer til cybersikkerhed , der forhindrer eksterne trusler, også identificere insidertrusler.

Microsoft Purview tilbyder funktioner til beskyttelse af oplysninger, styring af insider-risiko og DLP (forebyggelse af datatab) , der kan hjælpe dig med at få indsigt i data, registrere kritiske insider-risici, der kan føre til potentielle datasikkerhedshændelser og forhindre datatab effektivt.

Microsoft Entra ID hjælper dig med at administrere, hvem der har adgang til hvad, og kan give dig besked, hvis en persons logon- og adgangsaktivitet er risikabel.

Microsoft Defender 365 er en XDR-løsning, der hjælper dig med at beskytte dine cloudmiljøer, apps, slutpunkter og mails mod uautoriserede aktiviteter. Offentlige organisationer som Cybersecurity and Infrastructure Security Agency giver også vejledning til udvikling af et program til håndtering af insidertrusler.

Ved at indføre disse værktøjer og bruge ekspertvejledning kan organisationer bedre administrere insider-risici og beskytte deres kritiske aktiver.

Få mere at vide om Microsoft Security

Microsoft Purview

Få løsninger til styring, beskyttelse og overholdelse af angivne standarder til din organisations data.

Få mere at vide

Microsoft Purview Styring af insider-risiko

Registrer og afhjælp insider-risici med modeller til maskinel indlæring, der er klar til brug.

Få mere at vide

Tilpasset beskyttelse i Microsoft Purview

Beskyt data med en intelligent og personcentreret tilgang.

Få mere at vide

Udvikling af et holistisk program til styring af insider-risiko

Få mere at vide om fem elementer, der hjælper virksomheder med at have en stærkere datasikkerhed, samtidig med at du beskytter brugertilliden.

Se rapporten

Microsoft Purview Forebyggelse af datatab

Undgå uautoriseret deling, overførsel eller brug af data på tværs af apps, enheder og lokale miljøer.

Få mere at vide

Microsoft Purview Kommunikationsoverholdelse

Opfyld lovmæssige forpligtelser for overholdelse af regler og standarder, og håndter potentielle overtrædelser af forretningsadfærd.

Få mere at vide

Microsoft-trusselsbeskyttelse

Beskyt enheder, apps, mails, identiteter, data og arbejdsbelastninger i skyen med samlet trusselsbeskyttelse.

Få mere at vide

Microsoft Entra ID

Beskyt adgangen til ressourcer og data ved hjælp af stærk godkendelse og risikobaserede tilpassede adgangspolitikker.

Få mere at vide

Ofte stillede spørgsmål

  • Der findes fire typer insidertrusler. En utilsigtet insidertrussel er risikoen for, at en person, der arbejder for eller med en virksomhed, laver en fejl, der potentielt kompromitterer organisationen eller dens data eller personer. En uagtsom insider-risiko er, når en person bevidst bryder en sikkerhedspolitik, men ikke vil forårsage skade. En ondsindet trussel er, når nogen bevidst stjæle data, krænker organisationen eller opfører sig voldeligt. En anden form for en ondsindet trussel er hemmelige aftaler, som er, når en insider samarbejder med en person uden for organisationen for at forårsage skade.

  • Styring af insider-risiko er vigtig, fordi disse typer hændelser kan gøre en stor skade på en organisation og dens medarbejdere. Med de rette politikker og løsninger på plads kan organisationer komme potentielle insidertrusler i forkøbet og beskytte organisationens værdifulde aktiver.

  • Der er flere mulige tegn på en insider-risiko, herunder pludselige ændringer i brugeraktiviteter, en forbundet sekvens af risikable aktiviteter, forsøg på at få adgang til ressourcer, der ikke er nødvendige for deres job, forsøg på at eskalere rettigheder, unormal dataudtrækning, opsagte medarbejdere, der udtrækker data, og trusler eller chikane.

  • Det kan være svært at forhindre insiderhændelser, fordi risikable aktiviteter, der kan føre til sikkerhedshændelser, udføres af betroede personer, der har relationer i organisationen og autoriseret adgang. Et holistisk program til styring af insider-risiko, der prioriterer relationer mellem medarbejdere og arbejdsgiveren og integrerer kontrolelementer til beskyttelse af personlige oplysninger, kan reducere antallet af insider-sikkerhedshændelser og føre til hurtigere registrering. Ud over kontrol af beskyttelse af personlige oplysninger og fokus på medarbejdernes moral kan regelmæssig træning, opbakning fra hele virksomheden og integrerede sikkerhedsværktøjer hjælpe med at reducere risikoen.

  • En ondsindet insidertrussel er muligheden for, at en person, der er tillid til, bevidst vil skade organisationen og de personer, der arbejder der. Dette adskiller sig fra utilsigtede insider-risici, der opstår, når nogen ved et uheld kompromitterer virksomheden eller bryder en sikkerhedsregel, men ikke vil virksomheden noget ondt.

[1] "Hvordan kan det hjælpe en organisation at være holistisk? Fordelene ved et holistisk program til styring af insider-risiko" i opbygningen af et holistisk program til styring af insider-risiko: Fem elementer, der hjælper virksomheder med at få en stærkere databeskyttelse og sikkerhed, samtidig med at brugertilliden beskyttes, Microsoft Security 2022, s. 41.

Følg Microsoft Security