Insiderhot

Ett insiderhot är ett upplevt hot mot en organisation som kommer från personer inom organisationen, såsom anställda, tidigare anställda, entreprenörer eller affärspartners, som har insiderinformation om organisationens säkerhetspraxis, data och datorsystem. Hotet kan omfatta bedrägeri, stöld av konfidentiell eller kommersiellt värdefull information, stöld av immateriell egendom eller sabotage av datorsystem.

Översikt

Insiders kan ha konton som ger dem legitim åtkomst till datorsystem, där denna åtkomst ursprungligen har getts till dem för att utföra sina uppgifter; dessa behörigheter kan missbrukas för att skada organisationen. Insiders är ofta bekanta med organisationens data och immateriella rättigheter samt de metoder som finns på plats för att skydda dem. Detta gör det lättare för insiders att kringgå eventuella säkerhetskontroller som de känner till. Fysisk närhet till data gör att insidern inte behöver hacka sig in i organisationens nätverk genom den yttre omkretsen genom att korsa brandväggar; snarare finns de redan i byggnaden, ofta med direkt tillgång till organisationens interna nätverk. Insiderhot är svårare att försvara sig mot än attacker från utomstående, eftersom insidern redan har legitim tillgång till organisationens information och tillgångar.

En insider kan försöka stjäla egendom eller information för personlig vinning eller för att gynna en annan organisation eller ett annat land. Hotet mot organisationen kan också vara genom skadlig programvara som lämnats kvar på dess datorsystem av tidigare anställda, en så kallad logisk bomb .

Forskning

Insiderhot är ett aktivt forskningsområde inom akademi och myndigheter.

CERT Coordination Center vid Carnegie-Mellon University upprätthåller CERT Insider Threat Center, som inkluderar en databas med mer än 850 fall av insiderhot, inklusive fall av bedrägeri, stöld och sabotage; databasen används för forskning och analys. CERT:s Insider Threat Team har också en informativ blogg för att hjälpa organisationer och företag att försvara sig mot insiderbrott.

The Threat Lab and Defense Personal and Security Research Center (DOD PERSEREC) har också nyligen dykt upp som en nationell resurs inom USA. The Threat Lab är värd för en årlig konferens, SBS Summit. De har också en webbplats som innehåller resurser från denna konferens. Som ett komplement till dessa ansträngningar skapades en följeslagare podcast, Voices from the SBS Summit. 2022 skapade Threat Lab en tvärvetenskaplig tidskrift, Counter Insider Threat Research and Practice (CITRAP) som publicerar forskning om upptäckt av insiderhot. ^{[ citat behövs ]}

Fynd

Enligt UK Information Commissioners Office var 90 % av alla överträdelser som rapporterades till dem under 2019 resultatet av misstag gjorda av slutanvändare. Detta var en ökning från 61 % och 87 % under de två föregående åren.

En vitbok från 2018 rapporterade att 53 % av de tillfrågade företagen hade bekräftat insiderattacker mot sin organisation under de senaste 12 månaderna, och 27 % sa att insiderattacker har blivit vanligare. ^{[ citat behövs ]}

En rapport som publicerades i juli 2012 om insiderhotet i den amerikanska finanssektorn ger viss statistik om insiderhot: 80 % av de skadliga handlingarna begicks på jobbet under arbetstid; 81 % av förövarna planerade sina handlingar i förväg; 33% av förövarna beskrevs som "svåra" och 17% som "missnöjda". Insidern identifierades i 74 % av fallen. Ekonomisk vinning var ett motiv i 81 % av fallen, hämnd i 23 % av fallen och 27 % av personerna som utförde illvilliga handlingar hade ekonomiska svårigheter vid den tiden.

Det amerikanska försvarsdepartementets personalsäkerhetsforskningscenter publicerade en rapport som beskriver metoder för att upptäcka insiderhot. Tidigare publicerade den tio fallstudier av insiderattacker från IT-proffs .

Cybersäkerhetsexperter tror att 38 % av försumliga insiders är offer för en nätfiskeattack , där de får ett e-postmeddelande som verkar komma från en legitim källa som ett företag. Dessa e-postmeddelanden innehåller normalt skadlig programvara i form av hyperlänkar

Typologier och ontologier

Flera klassificeringssystem och ontologier har föreslagits för att klassificera insiderhot.

Traditionella modeller av insiderhot identifierar tre breda kategorier:

Skadliga insiders, som är människor som utnyttjar sin tillgång för att skada en organisation;
Försumliga insiders, som är människor som gör fel och ignorerar policyer, som utsätter deras organisationer för risker; och
Infiltratörer, som är externa aktörer som får legitima åtkomstuppgifter utan tillstånd.

Kritik

Insiderhotforskning har kritiserats.

Kritiker har hävdat att insiderhot är ett dåligt definierat begrepp.
Att utreda insiderdatastöld är notoriskt svårt och kräver nya tekniker som stokastisk kriminalteknik .
Data som stöder insiderhot är i allmänhet proprietär (dvs. krypterad data) .
Teoretiska/konceptuella modeller av insiderhot är ofta baserade på lösa tolkningar av forskning inom beteende- och samhällsvetenskap, med användning av "deduktiva principer och intuitioner hos sakkunnig."

Genom att anta sociotekniska tillvägagångssätt har forskningen också argumenterat för behovet av att överväga insiderhot ur ett socialt systems perspektiv. Schoenherr har fortsatt med att hävda att "övervakning kräver en förståelse för hur sanktionssystem är utformade, hur anställda kommer att reagera på övervakning, vilka arbetsplatsnormer som anses relevanta och vad "avvikelse" betyder, t.ex. avvikelse för en berättigad organisationsnorm eller misslyckande att anpassa sig till en organisationsnorm som strider mot allmänna sociala värderingar." Genom att behandla alla anställda som potentiella insiderhot kan organisationer skapa förutsättningar som leder till insiderhot.

Se även

externa länkar