Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat is een interne bedreiging?

Verken hoe je je organisatie kunt beschermen tegen insider-activiteiten, waaronder het risico dat werknemers met geautoriseerde toegang opzettelijk of onopzettelijk een gegevenveiligheidsincident veroorzaken.

Interne bedreiging gedefinieerd

Voordat insiders een bedreiging worden, zijn ze een risico. Dit risico wordt gedefinieerd als: de mogelijkheid dat een persoon geautoriseerde toegang tot de bedrijfsmiddelen van de organisatie gebruikt, hetzij kwaadwillig of onopzettelijk, op een manier die de organisatie negatief beïnvloedt. Toegang omvat zowel fysieke als virtuele toegang en assets omvatten informatie, processen, systemen en faciliteiten.

Wat is een insider?

Een insider is een vertrouwde persoon die toegang heeft gekregen tot of kennis heeft van bedrijfsbronnen, gegevens of systemen die niet algemeen beschikbaar zijn voor het publiek, waaronder:

  • Personen die een badge of ander apparaat hebben waarmee ze doorlopend toegang hebben tot fysieke eigendommen van het bedrijf, zoals een datacentrum of hoofdkantoor.
  • Personen met een bedrijfscomputer met netwerktoegang.
  • Personen die toegang hebben tot het bedrijfsnetwerk, cloudresources, toepassingen of gegevens van een bedrijf.
  • Mensen die kennis hebben van de strategie van een bedrijf en kennis hebben van de financiën.
  • Personen die de producten of services van het bedrijf bouwen.

Typen interne bedreigingen

Insider-risico's zijn moeilijker op te sporen dan externe bedreigingen omdat insiders al toegang hebben tot de assets van het bedrijf en bekend zijn met de beveiligingsmaatregelen van het bedrijf. Door de typen insider-risico's te kennen, kunnen organisaties waardevolle assets beter beveiligen.

  • Accident

    Soms maken mensen fouten die kunnen leiden tot mogelijke beveiligingsincidenten. Een zakelijke partner stuurt bijvoorbeeld een document met klantgegevens naar een collega, zonder zich te realiseren dat deze niet gemachtigd is om dergelijke informatie te bekijken. Of een werknemer reageert op een phishing-campagne en installeert per ongeluk malware.

  • Schadelijk

    In een schadelijk veiligheidsincident dat wordt veroorzaakt door een insider, doet een werknemer of een vertrouwde persoon opzettelijk iets dat het bedrijf negatief beïnvloedt. Dergelijke personen kunnen gemotiveerd zijn door persoonlijke grieven of andere persoonlijke redenen en kunnen met hun acties financieel of persoonlijk gewin nastreven.

  • Nalatigheid

    Nalatigheid is vergelijkbaar met een accident, omdat de persoon niet de intentie heeft een gegevenveiligheidsincident te veroorzaken. Het verschil is dat ze bewust een beveiligingsbeleid hebben kunnen breken. Een veelvoorkomend voorbeeld is wanneer een werknemer iemand toelaat in een gebouw zonder dat deze een pasje laat zien. Een digitaal voorbeeld hiervan is het zonder zorgvuldige overweging negeren van een beveiligingsbeleid omwille van snelheid en gemak of het inloggen op bedrijfsresources via een onbeveiligde draadloze verbinding.

  • Collusie

    Sommige veiligheidsincident van insiders zijn het resultaat van een vertrouwde persoon die samenwerkt met een cybercriminele organisatie om spionage of diefstal te plegen. Dit is een ander type schadelijk insider-risico.

Hoe treden schadelijke insider-incidenten op?

Schadelijke incidenten die worden veroorzaakt door insiders kunnen zich op verschillende manieren voordoen, naast de typische cyberaanval. Hier zijn enkele veelvoorkomende manieren waarop insiders veiligheidsincidenten kunnen veroorzaken:

  • Geweld

    Insiders kunnen geweld of de dreiging met geweld gebruiken om andere werknemers te intimideren of hun ongenoegen over een organisatie te uiten. Geweld kan de vorm aannemen van verbaal misbruik, seksuele intimidatie, pesten, mishandeling of andere bedreigende handelingen.

  • Spionage

    Spionage verwijst naar het stelen van handelsgeheimen, vertrouwelijke informatie of intellectueel eigendom van een organisatie met als doel een concurrent of een andere partij een voordeel te bieden. Een organisatie kan bijvoorbeeld worden geïnfiltreerd door een kwaadwillende insider die financiële informatie of productblauwdrukken verzamelt om een concurrentievoordeel op de markt te behalen.

  • Sabotage

    Een insider kan ontevreden zijn over een organisatie en zich gemotiveerd voelen om schade toe te brengen aan de fysieke eigendommen, gegevens of digitale systemen van de organisatie. Sabotage kan op verschillende manieren plaatsvinden, zoals het vernielen van apparatuur of het compromitteren van vertrouwelijke informatie.

  • Fraude

    Insiders kunnen frauduleuze activiteiten uitvoeren voor persoonlijk gewin. Een kwaadwillende insider kan bijvoorbeeld de creditcard van een bedrijf gebruiken voor persoonlijk gewin, of onjuiste of te hoge onkostendeclaraties indienen.

  • Diefstal

    Insiders kunnen de assets, gevoelige gegevens of intellectuele eigendommen van een organisatie stelen voor persoonlijk gewin. Zo kan een vertrekkende werknemer die uit is op persoonlijk gewin vertrouwelijke informatie exfiltreren voor zijn toekomstige werkgever, of kan een aannemer die door een organisatie wordt ingehuurd om specifieke taken uit te voeren gevoelige gegevens stelen voor eigen gebruik.

Zeven indicatoren voor insider-risico's

Zowel mensen als technologie spelen een rol bij het detecteren van insider-risico's. De sleutel is om een basislijn vast te stellen voor wat normaal is, zodat het gemakkelijker is om ongebruikelijke activiteiten te identificeren.

  • Wijzigingen in gebruikersactiviteit

    Collega's, managers en partners bevinden zich in de beste positie om te weten of iemand een risico voor de organisatie is geworden. Bijvoorbeeld, een insider met risico, die gemotiveerd is om een gegevenveiligheidsincident te veroorzaken kan plotselinge waarneembare gedragsveranderingen vertonen die ongewoon zijn.

  • Afwijkende gegevensexfiltratie

    Werknemers hebben vaak toegang tot vertrouwelijke gegevens op het werk en delen deze. Wanneer een gebruiker echter plotseling een ongebruikelijke hoeveelheid gevoelige gegevens deelt of downloadt in vergelijking met eerdere activiteiten of peers in een vergelijkbare rol, kan dit duiden op een mogelijk gegevenveiligheidsincident.

  • Een reeks gerelateerde riskante activiteiten

    Een enkele gebruikersactie, zoals het downloaden van vertrouwelijke gegevens, is op zichzelf misschien geen potentieel risico, maar een reeks acties kan wijzen op mogelijke risico's op een gegevenveiligheidsincident. Stel bijvoorbeeld dat een gebruiker vertrouwelijke bestanden een nieuwe naam geeft om ze minder gevoelig te laten lijken, ze downloadt uit de cloudopslag, opslaat op een draagbaar apparaat en verwijdert uit de cloudopslag. In dit geval zou het erop kunnen wijzen dat de gebruiker mogelijk probeert gevoelige gegevens te exfiltreren terwijl hij detectie probeerde te omzeilen.

  • Exfiltratie van gegevens door vertrekkende werknemers

    Exfiltratie van gegevens komt vaak voor tegelijk met ontslagnemingen en kan opzettelijk of onopzettelijk zijn. Bij een onopzettelijk incident kan het zijn dat een vertrekkende medewerker per ongeluk gevoelige gegevens kopieert om bij te houden wat hij of zij in zijn of haar functie heeft bereikt, terwijl het bij een kwaadwillig incident gaat om het bewust downloaden van gevoelige gegevens voor persoonlijk gewin of om hem of haar te helpen in hun volgende functie. Wanneer ontslag-gebeurtenissen samenvallen met andere ongebruikelijke activiteiten, kan dit duiden op een gegevensveiligheidsincident.

  • Abnormale systeemtoegang

    Mogelijke insider-risico's kunnen beginnen met gebruikers die resources openen die ze doorgaans niet nodig hebben voor hun werk. Gebruikers die normaal gesproken bijvoorbeeld alleen marketinggerelateerde systemen openen, beginnen opeens meerdere keren per dag financiële systemen te openen.

  • Intimidatie en pesterijen

    Een van de vroege tekenen van insider-risico's kan een gebruiker zijn die dreigende, intimiderende of discriminerende communicatie verspreidt. Het brengt niet alleen schade toe aan de bedrijfscultuur, maar kan ook leiden tot andere mogelijke incidenten.

  • Escalatie van bevoegdheden

    Organisaties beschermen en beheren meestal waardevolle resources door bevoegde toegang en rollen toe te wijzen aan een beperkt aantal medewerkers. Als een werknemer probeert zijn bevoegdheden te escaleren zonder een duidelijke zakelijke reden, kan dit een teken zijn van mogelijk insider-risico.

Voorbeelden van interne bedreigingen

Incidenten van interne bedreigingen, zoals gegevensdiefstal, spionage of sabotage, hebben door de jaren heen plaatsgevonden in organisaties van alle soorten en maten. Een paar voorbeelden zijn:

  • Handelsgeheimen stelen en verkopen aan een ander bedrijf.
  • De cloudinfrastructuur van een bedrijf hacken en duizenden accounts van klanten verwijderen.
  • Handelsgeheimen gebruiken om een nieuw bedrijf te starten.

Het belang van holistisch intern risicobeheer

Een holistisch programma voor intern risicobeheer dat prioriteit geeft aan de relatie tussen werknemer en werkgever en dat privacycontroles integreert, kan het aantal mogelijke veiligheidsincidenten van insiders met voorkennis verminderen en leiden tot snellere opsporing. Uit een recent onderzoek van Microsoft blijkt dat bedrijven met een holistisch programma voor intern risicobeheer 33 procent meer kans hadden op een snelle detectie van insider-risico's en 16 procent meer kans op snel herstel dan bedrijven met een meer gefragmenteerde aanpak.1

Bescherming tegen interne bedreigingen

Organisaties kunnen insider-risico op een holistische manier aanpakken door zich te richten op processen, mensen, hulpprogramma's en onderwijs. Gebruik de volgende best practices om een intern risicobeheerprogramma te ontwikkelen dat vertrouwen opbouwt bij werknemers en je beveiliging helpt versterken:

  • Prioriteit geven aan het vertrouwen en de privacy van werknemers

    Het opbouwen van vertrouwen tussen werknemers begint met het voorop stellen van hun privacy. Als je het gevoel van comfort wilt bevorderen met het intern risicobeheerprogramma, kun je overwegen een goedkeuringsproces op meerdere niveaus te implementeren voor het initiëren van insider-onderzoeken. Daarnaast is het belangrijk om de activiteiten van degenen die onderzoeken uitvoeren te controleren om er zeker van te zijn dat ze hun grenzen niet overschrijden. Het implementeren van op rollen gebaseerde toegangsbeheer om te beperken wie binnen het beveiligingsteam toegang heeft tot onderzoeksgegevens, kan ook helpen om privacy te behouden. Het anoniem maken van gebruikersnamen tijdens onderzoeken kan de privacy van werknemers verder beschermen. Overweeg ten slotte om gebruikersvlaggen na een bepaalde periode te verwijderen als een onderzoek niet wordt voortgezet.

  • Positieve afschrikmiddelen gebruiken

    Hoewel veel programma's voor insider-risico's zijn gebaseerd op negatieve afschrikmiddelen, zoals beleidsregels en hulpprogramma's die riskante werknemersactiviteiten beperken, is het van cruciaal belang om deze maatregelen te combineren met een preventieve aanpak. Positieve afschrikmiddelen, zoals morele evenementen voor werknemers, grondige inwerkprogramma's, voortdurende training en opleiding op het gebied van gegevensbeveiliging, feedback naar boven en programma's voor evenwicht tussen werk en privéleven, kunnen de kans op insidergebeurtenissen verkleinen. Door op een productieve en proactieve manier met werknemers samen te werken, pakken positieve afschrikmiddelen de bron van het risico aan en bevorderen ze een cultuur van beveiliging binnen de organisatie.

  • Bedrijfsbrede betrokkenheid bereiken

    IT- en beveiligingsteams dragen de primaire verantwoordelijkheid voor het beheren van insider-risico's, maar het is essentieel om het hele bedrijf erbij te betrekken. Afdelingen zoals personeelszaken, compliance en juridische zaken spelen een cruciale rol bij het definiëren van beleid, de communicatie met belanghebbenden en het nemen van beslissingen tijdens een onderzoek. Voor het ontwikkelen van een uitgebreider en effectiever intern risicobeheerprogramma, moeten organisaties streven naar acceptatie en betrokkenheid vanuit alle afdelingen van het bedrijf.

  • Geïntegreerde en uitgebreide beveiligingsoplossingen gebruiken

    Voor een effectieve bescherming van je organisatie tegen insider-risico's is meer nodig dan alleen het implementeren van de beste beveiligingshulpprogramma's; het vereist geïntegreerde oplossingen die bedrijfsbrede zichtbaarheid en bescherming bieden. Wanneer oplossingen voor gegevensbeveiliging, identiteits- en toegangsbeheer, uitgebreide detectie en reactie (XDR) en SIEM-oplossingen (Security Information and Event Management) zijn geïntegreerd, kunnen beveiligingsteams op efficiënte wijze interne incidenten detecteren en voorkomen.

  • Effectieve training implementeren

    Werknemers spelen een cruciale rol bij het voorkomen van beveiligingsincidenten, ze zijn de eerste verdedigingslinie. Voor de beveiligen van de assets van je bedrijf, moet je ervoor zorgen dat je werknemers zich betrokken voelen, dit verbetert de algehele beveiliging van de organisatie. Een van de meest effectieve methoden voor het creëren van deze betrokkenheid is via werknemerseducatie. Door werknemers op te leiden, kun je het aantal onbedoelde insider-gebeurtenissen verminderen. Het is belangrijk om uit te leggen hoe insider-gebeurtenissen van invloed kunnen zijn op zowel het bedrijf als de werknemers. Daarnaast is het van cruciaal belang om beleid voor gegevensbeveiliging te communiceren en werknemers te leren hoe ze het lekken van gegevens kunnen voorkomen.

  • Machine learning en AI gebruiken

    Beveiligingsrisico's op de moderne werkplek zijn dynamisch met verschillende, voortdurend veranderende factoren waardoor het moeilijk kan zijn ze te detecteren en erop te reageren. Door gebruik te maken van machine learning en AI kunnen organisaties echter op machinesnelheid insider-risico's detecteren en beperken, waardoor adaptieve beveiliging waarbij mensen centraal staan mogelijk wordt. Deze geavanceerde technologie helpt organisaties bij het begrijpen van de interactie tussen gebruikers en gegevens, bij het berekenen en toewijzen van risiconiveaus en bij het automatisch aanpassen van de juiste beveiligingsmaatregelen. Met deze hulpprogramma's kunnen organisaties het proces van het identificeren van mogelijke risico's stroomlijnen en hun beperkte middelen inzetten voor het aanpakken van insideractiviteiten met een hoog risico. Dit bespaart beveiligingsteams waardevolle tijd en zorgt voor betere gegevensbeveiliging.

Oplossingen voor intern risicobeheer

Het beschermen tegen interne bedreigingen kan lastig zijn, omdat het vanzelfsprekend is om de mensen te vertrouwen die voor en met de organisatie werken. Het snel identificeren van de meest kritieke insider-risico's en het prioriteren van middelen om deze te onderzoeken en te beperken is van cruciaal belang om de impact van mogelijke incidenten en inbreuken te beperken. Gelukkig kunnen veel hulpprogramma's voor hulpprogramma's voor cyberbeveiliging die externe bedreigingen voorkomen, ook interne bedreigingen identificeren.

Microsoft Purview biedt mogelijkheden voor informatiebeveiliging, intern risicobeheer en preventie van gegevensverlies (DLP) om je te helpen inzicht te krijgen in gegevens, kritieke insider-risico's die kunnen leiden tot mogelijke gegevensbeveiligingsincidenten op te sporen en gegevensverlies effectief te helpen voorkomen.

Microsoft Entra ID helpt je met het beheren van wie toegang heeft tot wat en kan je waarschuwen als iemands aanmeldings- en toegangsactiviteit riskant is.

Microsoft Defender 365 is een XDR-oplossing waarmee je clouds, apps, eindpunten en e-mail kunt beveiligen tegen niet-geautoriseerde activiteiten. Overheidsorganisaties zoals het Cybersecurity and Infrastructure Security Agency bieden ook richtlijnen voor het ontwikkelen van een programma voor intern bedreigingsbeheer.

Door gebruik te maken van deze hulpprogramma's en deskundige begeleiding kunnen organisaties de insider-risico's beter beheren en hun kritieke assets beschermen.

Meer informatie over Microsoft Beveiliging

Microsoft Purview

Krijg governance-, beschermings- en complianceoplossingen voor de gegevens van je organisatie.

Microsoft Purview Intern risicobeheer

Detecteer en verminder insider-risico's met kant-en-klare machine learning-modellen.

Adaptieve bescherming in Microsoft Purview

Beveilig gegevens met een intelligente en persoonsgerichte aanpak.

Een holistisch programma voor intern risicobeheer opzetten

Meer informatie over vijf elementen waarmee bedrijven gegevens beter kunnen beveiligen en tegelijkertijd het vertrouwen van gebruikers kunnen beschermen.

Microsoft Purview-preventie van gegevensverlies

Voorkom het onbevoegd delen, overdragen of gebruiken van gegevens in apps, apparaten en on-premises omgevingen.

Microsoft Purview Communicatiecompliance

Voldoe aan de wettelijke verplichtingen op het gebied van compliance en pak schendingen van de zakelijke gedragscode aan.

Microsoft-bedreigingsbeveiliging

Beveilig apparaten, apps, e-mailberichten, identiteiten, gegevens en cloudworkloads met geïntegreerde bedreigingsbeveiliging.

Microsoft Entra ID

Beveilig de toegang tot resources en gegevens met sterke verificatie en op risico's gebaseerd adaptief toegangsbeleid.

Veelgestelde vragen

  • Er zijn vier typen interne bedreigingen. Een onopzettelijke interne bedreiging is het risico dat iemand die voor of met een bedrijf werkt een fout maakt die de organisatie of de gegevens of personen in gevaar brengt. Een insider-risico uit nalatigheid ontstaat wanneer iemand opzettelijk een beveiligingsbeleid overtreedt, maar geen kwaad in de zin heeft. Een schadelijke bedreiging vindt plaats wanneer iemand opzettelijk gegevens steelt, de organisatie saboteert of zich gewelddadige gedraagt. Een andere vorm van een schadelijke bedreiging is collusie, waarbij een insider samenwerkt met iemand buiten de organisatie om schade aan te richten.

  • Intern risicobeheer is belangrijk omdat dit soort incidenten een grote schade kan toebrengen aan een organisatie en haar medewerkers. Met de juiste beleidsregels en oplossingen kunnen organisaties mogelijke interne bedreigingen voor zijn en de waardevolle assets van de organisatie beschermen.

  • Er zijn verschillende mogelijke signalen die op een insider-risico duiden, waaronder plotselinge veranderingen in gebruikersactiviteiten, een aaneenschakeling van risicovolle activiteiten, pogingen om toegang te krijgen tot resources die niet nodig zijn voor het werk, pogingen om bevoegdheden te escaleren, afwijkende exfiltratie van gegevens, vertrekkende werknemers die gegevens exfiltreren en intimidatie of pesterijen.

  • Het voorkomen van insidergebeurtenissen kan lastig zijn omdat risicovolle activiteiten die kunnen leiden tot beveiligingsincidenten worden uitgevoerd door vertrouwde mensen die relaties hebben binnen de organisatie en geautoriseerde toegang genieten. Een holistisch programma voor intern risicobeheer dat prioriteit geeft aan de relatie tussen werknemer en werkgever en dat privacycontroles integreert, kan het aantal mogelijke veiligheidsincidenten van insiders met voorkennis verminderen en leiden tot snellere opsporing. Naast privacycontroles en aandacht voor de werknemersmoraal, kunnen regelmatige training, bedrijfsbrede betrokkenheid en geïntegreerde beveiligingshulpprogramma's helpen om het risico te verkleinen.

  • Een schadelijke interne bedreiging is de mogelijkheid dat een vertrouwd persoon de organisatie en de mensen die er werken opzettelijk schade toebrengt. Dit verschilt van onbedoelde insider-risico's die optreden wanneer iemand per ongeluk het bedrijf compromitteert of een beveiligingsregel overtreedt, maar geen kwade bedoelingen heeft met het bedrijf.

[1] "Hoe kan holistisch zijn een organisatie helpen? De voordelen van een holistisch programma voor intern risicobeheer," in Een holistisch programma voor intern risicobeheer opzetten: 5 elementen die bedrijven helpen betere gegevensbescherming en -beveiliging te bieden en tegelijkertijd het vertrouwen van gebruikers te beschermen, Microsoft Beveiliging 2022, p. 41.

Volg Microsoft Beveiliging