Trace Id is missing
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er intern trussel?

Utforsk hvordan du kan forsvare organisasjonen mot intern aktivitet, inkludert brukere med autorisert tilgang som med hensikt eller utilsiktet forårsaker en datasikkerhetshendelse.

Definisjon på intern trussel

Før insidere blir en trussel, er de en risiko, som defineres som potensialet for at en person bruker autorisert tilgang til organisasjonens ressurser – enten ondsinnet eller utilsiktet – på en måte som påvirker organisasjonen negativt. Tilgang inkluderer både fysisk og virtuell tilgang, og ressurser inkluderer informasjon, prosesser, systemer og fasiliteter.

Hva er en insider?

En insider er en betrodd person som har fått tilgang til, eller har kunnskap om, firmaressurser, data eller systemer som ikke er generelt tilgjengelig for offentligheten, inkludert:

  • Personer som har et merke eller en annen enhet som gir dem kontinuerlig tilgang til firmaets fysiske eiendom, for eksempel et datasenter eller hovedkontor.
  • Personer som har en firmadatamaskin med nettverkstilgang.
  • Personer som har tilgang til en bedrifts bedriftsnettverk, skyressurser, programmer eller data.
  • Personer som har kunnskap om bedrifts strategi og kunnskap om økonomien sin.
  • Personer som bygger firmaets produkter eller tjenester.

Typer intern trussel

Interne risikoer er mer vrient å oppdage enn eksterne trusler fordi insidere allerede har tilgang til den aktuelle organisasjonens eiendeler og er kjent med gjeldende sikkerhetstiltak. Når man vet hvilke typer interne risikoer som hjelper organisasjoner med å bedre beskytte verdifulle ressurser.

  • Ulykke

    Noen ganger gjør folk feil som kan føre til potensielle sikkerhetshendelser. En forretningspartner sender for eksempel et dokument med kundedata til en kollega, uten å innse at de ikke er autorisert til å vise denne informasjonen. Eller en ansatt svarer på en phishing-kampanje og installerer utilsiktet skadelig programvare.

  • Skadelig

    I en skadelig sikkerhetshendelse forårsaket av en insider, gjør en ansatt eller en klarert person med hensikt noe vedkommende vet vil påvirke firmaet negativt. Slike personer kan motiveres av personlige klager eller andre personlige årsaker og kan søke økonomisk eller personlig vinning gjennom sine handlinger.

  • Uaktsomhet

    Uaktsomhet er litt som et uhell der personen ikke hadde tenkt å forårsake en datasikkerhetshendelse. Forskjellen er at vedkommende muligens bryter en sikkerhetspolicy bevisst. Et vanlig eksempel er når en ansatt lar noen gå inn i en bygning uten å vise et merke. En digital ekvivalent overstyrer en sikkerhetspolicy uten nøye vurdering av hvor raskt og praktisk det er å logge på firmaressurser over en usikret trådløs tilkobling.

  • Samarbeid

    Noen interne sikkerhetshendelser er et resultat av at en klarert person samarbeider med en nettkriminell organisasjon for å utføre spionasje eller tyveri. Dette er en annen type skadelig intern risiko.

Hvordan oppstår skadelige interne hendelser?

Skadelige hendelser forårsaket av insidere kan forekomme på en rekke måter utover et vanlig cyberangrep. Her er noen vanlige måter insidere kan forårsake sikkerhetshendelser på:

  • Vold

    Insidere kan bruke vold eller voldstrusler til å skremme andre ansatte eller uttrykke misnøye i en organisasjon. Vold kan være en form for verbalt misbruk, seksuell trakassering, mobbing, vold eller andre truende handlinger.

  • Spionasje

    Adressering viser til praksisen med å stjele forretningshemmeligheter, konfidensiell informasjon eller immaterielle rettigheter som tilhører en organisasjon med det formål å gi en fordel til en konkurrent eller en annen part. En organisasjon kan for eksempel bli infiltrert av en ondsinnet insider som samler inn økonomisk informasjon eller produkttegninger for å oppnå konkurransefordeler på markedsplassen.

  • Sabotasje

    En insider kan være misfornøyd med en organisasjon og føle seg motivert til å skade organisasjonens fysiske eiendom, data eller digitale systemer. Sabotasje kan forekomme på en rekke måter, for eksempel å vandalisere utstyr eller kompromittere konfidensiell informasjon.

  • Svindel

    Insidere kan utføre svindelaktiviteter for personlig vinning. En ondsinnet insider kan for eksempel bruke et firmas kredittkort til personlig bruk eller sende inn falske eller overdrevne utgiftskrav.

  • Tyveri

    Insidere kan stjele en organisasjons ressurser, sensitive data eller immaterielle rettigheter for personlig vinning. For eksempel kan en ansatt som slutter, som er motivert av personlig vinning, eksfiltrere konfidensiell informasjon for sin fremtidige arbeidsgiver. Alternativt kan en kontraktør som er ansatt av en organisasjon for å utføre bestemte oppgaver, stjele sensitive data for egen vinning.

Syn indikatorer på intern risiko

Både mennesker og teknologi spiller en rolle i å oppdage interne risikoer. Nøkkelen er å etablere en grunnlinje for det som er normalt, slik at det blir enklere å identifisere uvanlige aktiviteter.

  • Endringer i brukeraktivitet

    Kollegaer, ledere og partnere kan være i den beste posisjonen til å vite om noen har blitt en risiko for organisasjonen. En risikabel insider som er motivert til å forårsake en datasikkerhetshendelse, kan for eksempel plutselig demonstrere observerbare endringer av holdning som et uvanlig tegn.

  • Uvanlig dataeksfiltrasjon

    Ansatte får ofte tilgang til og deler konfidensielle data på jobben. Men når en bruker plutselig deler eller laster ned et uvanlig volum med sensitive data sammenlignet med tidligere aktiviteter eller kollegaer i en lignende rolle, kan det indikere en potensiell datasikkerhetshendelse.

  • En sekvens av relaterte risikable aktiviteter

    En enkelt brukerhandling, for eksempel nedlasting av konfidensielle data, er kanskje ikke en potensiell risiko i isolasjon, men en rekke handlinger kan indikere potensielle datasikkerhetsrisikoer. Anta for eksempel at en bruker har gitt nytt navn til konfidensielle filer slik at de ser mindre sensitive ut, lastet dem ned fra skylagring, lagret dem på en bærbar enhet og slettet dem fra skylagring. I dette tilfellet kan det tyde på at brukeren potensielt prøvde å eksfiltrere sensitive data under forsøk på å unngå gjenkjenning.

  • Dataeksfiltrasjon utført av ansatt som har sagt opp

    Dataeksfiltrasjonen øker ofte sammen med oppsigelser og kan enten være tilsiktet eller utilsiktet. En utilsiktet hendelse kan se ut som om en ansatt som er i ferd med å si opp jobben, uten ondsinnet hensikt kopierer sensitive data for å få en oversikt over prestasjonene sine i rollen sin, mens en ondsinnet hendelse kan se ut som bevisst nedlasting av sensitive data for personlig vinning eller til bruk i neste jobbstilling. Når oppsigelseshendelser sammenfaller med andre uvanlige aktiviteter, kan det tyde på en datasikkerhetshendelse.

  • Unormal systemtilgang

    Potensielle interne risikoer kan starte med at brukere får tilgang til ressurser som de vanligvis ikke trenger for jobben sin. Eksempel: Brukere som vanligvis bare har tilgang til markedsføringsrelaterte systemer, begynner plutselig å bruke finanssystemer flere ganger om dagen.

  • Trusler og trakassering

    Et av de tidlige tegnene på interne risikoer kan være en bruker som uttrykker truende, sjikanerende eller diskriminerende kommunikasjon. Det fører ikke bare til skade på en bedriftskultur, men kan også føre til andre potensielle hendelser.

  • Eskalering av privilegier

    Organisasjoner beskytter og styrer vanligvis verdifulle ressurser ved å tilordne privilegert tilgang og roller til begrenset personale. Hvis en ansatt prøver å eskalere rettighetene sine uten en klar forretningsbegrunnelse, kan det være et tegn på potensiell intern risiko.

Eksempler på intern trussel

Intern trussel-hendelser som datatyveri, spionasje eller sabotasje har forekommet i organisasjoner av alle størrelser i årenes løp. Et par eksempler er:

  • Stjeler forretningshemmeligheter og selger dem til et annet selskap.
  • Hacking inn i bedriftens skyinfrastruktur og sletting av tusenvis av kundekontoer.
  • Bruke forretningshemmeligheter til å starte et nytt selskap.

Viktigheten av holistisk administrasjon av intern risiko

Et helhetlig program for administrasjon av intern risiko som prioriterer relasjoner mellom ansatte og arbeidsgiver og integrerer personvernkontroller, kan redusere antallet potensielle interne sikkerhetshendelser og føre til raskere oppdagelse. En nylig undersøkelse utført av Microsoft fant at selskaper med et helhetlig administrasjonsprogram for intern risiko var 33 prosent mer sannsynlig å ha rask påvisning av intern risiko, og 16 prosent mer sannsynlig å ha rask utbedring enn selskaper med en mer fragmentert tilnærming.1

Slik beskytter du mot intern trussel

Organisasjoner kan håndtere intern risiko på en helhetlig måte ved å fokusere på prosesser, personer, verktøy og utdanning. Bruk følgende anbefalte fremgangsmåter for å utvikle et program for administrasjon av intern risiko som bygger tillit hos ansatte og bidrar til å styrke sikkerheten:

  • Prioriter ansattes tillit og personvern

    Å bygge tillit blant ansatte begynner med å prioritere personvernet deres. For å fremme en følelse av komfort med programmet for administrasjon av intern risiko, bør du vurdere å implementere en godkjenningsprosess på flere nivåer for å starte interne undersøkelser. I tillegg er det viktig å overvåke aktivitetene til de som utfører undersøkelser for å sikre at de ikke overskrider grensene. Implementering av rollebaserte tilgangskontroller for å begrense hvem i sikkerhetsteamet som har tilgang til undersøkelsesdata, kan også bidra til å opprettholde personvernet. Anonymisering av brukernavn under undersøkelser kan ytterligere beskytte ansattes personvern. Vurder til slutt å slette brukerflagg etter en angitt tidsperiode hvis en undersøkelse ikke går videre.

  • Bruk positive avskrekkende midler

    Selv om mange programmer for intern risiko er avhengige av negative avskrekkende midler, for eksempel policyer og verktøy som begrenser risikable ansattaktiviteter, er det avgjørende å balansere disse tiltakene med en forebyggende tilnærming. Positive avskrekkende midler, for eksempel arrangementer for å styrke de ansattes moral, grundig pålasting, pågående opplæring i datasikkerhet og utdanning, oppadgående tilbakemeldinger og programmer for balanse mellom jobb og fritid, kan bidra til å redusere sannsynligheten for interne hendelser. Ved å engasjere seg med ansatte på en produktiv og proaktiv måte tar positive avskrekkende midler opp kilden til risiko og fremmer en kultur for sikkerhet i organisasjonen.

  • Oppnå støtte i hele selskapet

    IT- og sikkerhetsteam kan ha hovedansvaret for å håndtere intern risiko, men det er viktig å engasjere hele selskapet i dette arbeidet. Avdelinger som personalavdeling, avdelingen for forskriftssamsvar og juridisk avdeling spiller en viktig rolle i å definere policyer, kommunisere med interessenter og ta beslutninger under en undersøkelse. For å utvikle et mer omfattende og effektivt program for administrasjon av intern risiko bør organisasjoner søke etter støtte og engasjement fra alle områder i selskapet.

  • Bruk integrerte og omfattende sikkerhetsløsninger

    Effektiv beskyttelse av organisasjonen mot interne risikoer krever mer enn bare å implementere de beste sikkerhetsverktøyene – det krever integrerte løsninger som gir synlighet og beskyttelse for hele virksomheten. Når datasikkerhet, identitets- og tilgangsadministrasjon, utvidet oppdagelse og respons (XDR) og løsninger for sikkerhetsinformasjon og hendelsesbehandling (SIEM) er integrert, kan sikkerhetsteam effektivt oppdage og forhindre interne hendelser.

  • Implementer effektiv opplæring

    Ansatte spiller en avgjørende rolle i å forhindre sikkerhetshendelser, noe som gjør dem til den første forsvarslinjen. Sikring av selskapets ressurser krever at du oppnår de ansattes støtte, noe som igjen forbedrer organisasjonens generelle sikkerhet. En av de mest effektive metodene for å oppnå denne støtten er gjennom utdanning av ansatte. Ved å lære opp ansatte kan du redusere antallet utilsiktede interne hendelser. Det er viktig å forklare hvordan interne hendelser kan påvirke både selskapet og dets ansatte. I tillegg er det avgjørende å kommunisere policyer for databeskyttelse og lære ansatte hvordan de kan unngå mulige datalekkasjer.

  • Bruk maskinlæring og kunstig intelligens

    Sikkerhetsrisikoer i dagens moderne arbeidsplass er dynamiske med forskjellige, konstant skiftende faktorer som kan gjøre dem vanskelige å oppdage og reagere på. Ved å bruke maskinlæring og kunstig intelligens kan organisasjoner imidlertid oppdage og redusere interne risikoer i maskinhastighet, noe som muliggjør adaptiv og personsentrert sikkerhet. Denne avanserte teknologien hjelper organisasjoner med å forstå hvordan brukere samhandler med data, beregner og tilordner risikonivåer og automatisk tilpasser riktige sikkerhetskontroller. Med disse verktøyene kan organisasjoner effektivisere prosessen med å identifisere potensielle risikoer og prioritere deres begrensede ressurser for å håndtere interne aktiviteter med høy risiko. Dette sparer sikkerhetsteamene for verdifull tid samtidig som de sikrer bedre datasikkerhet.

Løsninger for administrasjon av intern risiko

Det kan være utfordrende å forsvare seg mot intern trussel, siden det er naturlig å stole på de som arbeider for og med organisasjonen. Rask identifisering av de mest kritiske interne risikoene og prioritering av ressurser for å undersøke og redusere dem er avgjørende for å redusere virkningen av potensielle hendelser og brudd. Heldigvis kan mange nettsikkerhet -verktøy som forhindrer eksterne trusler, også identifisere intern trussel.

Microsoft Purview tilbyr funksjoner for informasjonsbeskyttelse, administrasjon av intern risiko og hindring av datatap (DLP) som gjør det enklere å få innsikt i data, oppdage kritisk intern risiko som kan føre til potensielle datasikkerhetshendelser og effektivt forhindre datatap.

Microsoft Entra ID gjør det enklere å administrere hvem som har tilgang til hva, og kan varsle deg hvis noens påloggings- og tilgangsaktivitet er risikabel.

Microsoft Defender 365 er en XDR-løsning som hjelper deg med å sikre skyer, apper, endepunkter og e-post fra uautoriserte aktiviteter. Offentlige organisasjoner som Cybersecurity and Infrastructure Security Agency gir også veiledning for å utvikle et Program for håndtering av intern trusselprogram for håndtering av intern trussel.

Ved å ta i bruk disse verktøyene og bruke ekspertveiledning kan organisasjoner bedre administrere interne risikoer og beskytte deres kritiske ressurser.

Mer informasjon om Microsoft Sikkerhet

Microsoft Purview

Få løsninger for styring, beskyttelse og samsvar for organisasjonens data.

Microsoft Purview administrasjon av intern risiko

Oppdag og reduser interne risikoer med maskinlæringsmodeller som er klare til bruk.

Adaptiv beskyttelse i Microsoft Purview

Sikre data med en intelligent og personsentrert tilnærming.

Bygge et holistisk program for administrasjon av intern risiko

Finn ut mer om fem elementer som hjelper bedrifter med å få sterkere datasikkerhet og samtidig ivareta brukertillit.

Microsoft Purview hindring av datatap

Forebygg uautorisert deling, overføring eller bruk av data på tvers av apper, enheter og lokale miljøer.

Microsoft Purview-kommunikasjonssamsvar

Overhold lovmessige samsvarskrav og håndter potensielle brudd på forretningsatferd.

Microsoft trusselbeskyttelse

Beskytt enheter, apper, e-poster, identiteter, data og arbeidsbelastninger i skyen med enhetlig trusselbeskyttelse.

Microsoft Entra ID

Beskytt tilgang til ressurser og data ved å bruke sterk godkjenning og risikobaserte adaptive tilgangspolicyer.

Vanlige spørsmål

  • Det finnes fire typer intern trussel. En utilsiktet intern trussel er risikoen for at noen som arbeider for eller med et firma, gjør en feil som potensielt kan kompromittere organisasjonen eller dets data eller personer. En uaktsom intern risiko er når noen bevisst bryter en sikkerhetspolicy, men ikke mener å forårsake skade. En ondsinnet trussel er når noen med overlegg stjeler data, saboterer organisasjonen eller utviser voldelig atferd. En annen form for ondsinnet trussel er samarbeid, som er når en insider samarbeider med noen utenfor organisasjonen for å forårsake skade.

  • Administrasjon av intern risiko er viktig fordi denne typen hendelser kan gjøre mye skade på en organisasjon og dets medarbeidere. Med de riktige policyene og løsningene på plass kan organisasjoner håndtere potensielle intern trussel når de oppstår, og beskytte organisasjonens verdifulle ressurser.

  • Det finnes flere mulige tegn på en intern risiko, inkludert plutselige endringer i brukeraktiviteter, en tilkoblet sekvens av risikable aktiviteter, forsøk på å få tilgang til ressurser som ikke er nødvendige for jobben, forsøk på å eskalere privilegier, avvikende dataeksfiltrasjon, avgangsansatte som eksfiltrerer data og foresatte eller trakassering.

  • Det kan være vanskelig å forhindre interne hendelser fordi risikable aktiviteter som kan føre til sikkerhetshendelser, utføres av klarerte personer som har relasjoner i organisasjonen og godkjent tilgang. Et helhetlig program for administrasjon av intern risiko som prioriterer relasjoner mellom ansatte og arbeidsgiver og integrerer personvernkontroller, kan redusere antallet interne sikkerhetshendelser og føre til raskere oppdagelse. I tillegg til personvernkontroller og fokus på arbeidsmoral, regelmessig opplæring, bedriftsomfattende støtte og integrerte sikkerhetsverktøy kan du redusere risikoen.

  • En skadelig intern trussel er muligheten for at en betrodd person med hensikt vil skade organisasjonen og personene som arbeider der. Dette er forskjellig fra utilsiktede interne risikoer som oppstår når noen utilsiktet kompromitterer selskapet eller bryter en sikkerhetsregel, men betyr mener å skade selskapet.

[1] «Hvordan kan en holistisk tilnærming hjelpe en organisasjon? Fordelene med et holistisk program for administrasjon av intern risiko», i Utvikling av et holistisk program for administrasjon av intern risiko: Fem elementer som hjelper bedrifter med å få sterkere databeskyttelse og sikkerhet samtidig som de ivaretar brukertillit, Microsoft Security 2022, p. 41.

Følg Microsoft Sikkerhet