Insiderproblematik - Myt eller verklighet?

Av Thomas Kårgren och Alireza Hafezi

Insiderproblematik, hot mot verksamheten som relaterar sig till insiders, har varit ett problem lika länge som människan funnits och verkat i etablerade grupper som är beroende av gruppens medlemmar. För att förstå insiderproblematik korrekt krävs att man definierar själva begreppet.  Definitioner kan tendera att bli komplexa och svårbegripliga så vi använder här en enkel, men högst tillämpbar, definition och utökar den med en exemplifierande beskrivning.

Definition
En Insider definieras som en person vars illgärning normalt sett inte väcker uppmärksamhet.

Utökad beskrivning
En insider måste enligt definitionen vara en person som genom sitt ordinarie värv har eller kan bereda sig tillgång till resurser som är av vikt för den egna verksamheten och som kan ge någon typ av fördel för någon annan som bereds tillgång till sådana resurser. Vidare kan beroendet till resurserna vara av sådan art att röjande, eller otillbörlig påverkan av dem i sig självt innebär en skada för den egna verksamheten.

För att ytterligare bryta ned definitionen och beskriva Insidern i vilka roller denne kan uppträda så krävs ytterligare analys och förklaring av själva definitionen. Med ”… person vars illgärning normalt sett inte väcker uppmärksamhet” avses att gärningen normalt ger tillgång till resurser som är av vikt för den egna verksamheten utan någon ytterligare åtgärd eller risktagande från insidern. Den utesluter dock inte att insidern gör ett risktagande och utnyttjar sin ställning för att ge sig tillgång till resurser som är perifera eller rentav obefintliga inom dennes dagliga värv. En sådan åtgärd medför alltid någon risk för upptäckt, av gärningen i sig, effekterna av gärningen eller båda. Av detta kan vi dra slutsatsen att insidern som person kan vara olika farlig beroende på motiv och motivation, riskbenägenhet, mottaglighet för yttre påverkan såsom ekonomiska stimuli eller löften om bättre ställning hos en annan organisation med flera.

Några exempel på insiderrelaterade händelser som utgör ett hot mot den egna verksamheten
En missnöjd anställd som medvetet negativt påverkar resurser för att ge skador i den egna verksamheten.

En anställd som p.g.a. hot, mutor eller annan yttre stimuli väljer att bereda tredje part tillgång till resurser som är av vikt för den egna verksamheten eller otillbörligt påverka dessa.

En person med fysisk åtkomst till lokaler där resurser som är av vikt för den egna verksamheten finns tar del av och bereder åtkomst till tredje part för sådana resurser. Denna person kan exempelvis vara en ronderande väktare, en entreprenör av något slag, städpersonal eller annan personal vars förekomst i de egna lokalerna inte väcker uppmärksamhet.

En person som söker och får anställning, uppdrag eller annat värv som medför, eller kan medföra, åtkomst till resurser som är av vikt för den egna verksamheten. Härvid är själva syftet att kunna verka från insidan per agenda för egen räkning eller för tredje part. Den klassiska benämningen på en sådan person är Infiltratör men det dagliga värvet, uppträdet och gärningen faller inom ramen för vad som definierar en insider.

Problem kopplade till att upptäcka insiderverksamhet
Ett uppenbart problem med att upptäcka insiderrelaterad verksamhet är att den utförs i det fördolda av personer som inte sällan känner till delar av, eller alla, eventuella skyddsåtgärder. Sådana skyddsåtgärder är dessutom oftast utformade helt och hållet för att möta externa hot och angrepp, exempelvis dataintrång, inbrott, vandalism och stöld. Ett stort problem är således att fastställa, eller rentav kunna bevisa, att en person avsiktligt genomfört en illgärning. Ett exempel på sådan problematik är uppgiven förlust eller stöld av IT-utrustning (mobiltelefon, dator etc.). Enligt Verizons DBIR[1]‑rapport från 2014 rapporterades under 2013 16000 sådana händelser. Frågan man kan ställa sig är dels hur många av dessa som medgav att tredje part otillbörligt kunde tillgodogöra sig information och dels hur många av dessa som var ett falskt uppgivande av förlust och i själva verket var en avsiktlig avyttring av utrustningen till tredje part.

Ett område där det ofta finns stora möjligheter att implementera skyddsåtgärder som, åtminstone delvis, är verkningsfulla är IT-området. SIEM, (eng.)security information and event management, är ett samlingsnamn på system och produkter som används för att kombinera säkerhet och händelsehantering. De ger generellt stora möjligheter att upptäcka IT-säkerhetsproblem och säkerhetshot på nätverksnivå i realtid eller nära realtid. Säkerhetsloggning i kombination med regelbunden analys är också ett möjligt verksamt sätt att upptäcka insiderverksamhet.

Inom andra traditionella säkerhetsområden såsom fysisk säkerhet, administrativ och personell säkerhet är skyddet överlag för företag i elbranschen inte tillämpat så att det kan sägas utgöra en bra skyddsfunktion mot insiderhotet. Detta kommer sig bland annat av den sociala aspekten på behovet av ökade administrativa kontrollfunktioner för att motverka förekomst och konsekvenser av insiderhotet. Om man aldrig har varit offer för en insiderrelaterad händelse som medfört eller kunnat medföra skador för den egna verksamheten så är det ofta svårt att ta in att det faktiskt kan hända. Sådana händelser är dock vanligare än vad som brukar hållas för troligt. Det finns över tid en mängd exempel som vittnar om att frekvensen och diversiteten i sådana händelser är konstant eller ökande över tiden. Inga verksamheter är heller direkt förskonade från insiderproblematik. Den förekommer i såväl statliga och kommunala verksamheter som i den civila sektorn. Man tänker oftast inte på att även småstölder på arbetsplatsen utgör i sig ett insiderrelaterat hot. Det utförs av någon som givits ett förtroende och som därvid missbrukar det så att en skada uppstår i den egna verksamheten. I detta exempel oftast av ekonomisk karaktär men det går inte att utesluta att resteffekter skulle kunna leda till andra skador beroende på stöldens omfattning och art.

Att skydda sig mot insiders
För att bestämma vilken typ av skydd man behöver för att bemöta insiderhotet så finns det några viktiga saker som man inledningsvis bör beakta.

Riskanalys, även hot-, risk- och sårbarhetsanalys
Få saker är så verkningsfulla för att hitta tillämpliga hot, risker och sårbarheter som att genomföra en riskanalys. För att vara verkningsfull i avseendet insiderrelaterade problem så bör riskanalysen vara bred och inte hämmas av några starka avgränsningar. I varje enskilt scenario bör man också konstatera om insiderhotet (1)är tillämpligt, (2)är i paritet med eller allvarligare än andra hot mot samma objekt och (3)om sådana åtgärder som kan tänkas föreslås för att minimera eller eliminera den drivna risken kan utformas så att de verkar mot såväl insiderdelen av hotet som andra delar av hotet, konsolidering av åtgärder.

Informationsklassificering och identifiering av kritiska resurser
För att effektivt kunna utforma ett adekvat skydd så krävs det att man vet vilka objekt i ens verksamhet som är skyddsvärda. Inte sällan vet man vilken information som är skyddsvärd, även så vilka anläggningar som är skyddsvärda men ofta saknas en samordnad bild av hur information, anläggning, process och verksamhet hänger ihop, beror av varandra och på det sättet skapar komplexa objekt vars skyddsvärden kan vara implicita beroende på deras betydelse i ett större sammanhang.

Uppenbara insiderdrivande incitament
Det finns ett bra minnesord att tänka på när man analyserar eller bedömer insiderhot i olika verksamheter, BESKT.

B står för besvikelse
Exempelvis en medarbetare som är missnöjd med sin personliga utveckling eller missnöje med chefer på företaget.

E står för ekonomi
Kan vara någon som inte får den löneutveckling som hon eller han förväntat sig. Kan också vara att denne känner sig driven att utföra insidergärningar mot betalning från en antagonist.

S står för stimuli
Någon som blir hotad, mutad eller på annat sätt övertalas att utföra insidergärning.

K står för kollegor eller kamratskap
Social utstötning, arbetsplatsmobbning kan vara starka incitament för att driva fram insiderrelaterade händelser, främst med hämnd som motiv.

T står för tillfälle
I alla sammanhang som inbegriper handlingar som kan uppfattas som brottsliga eller moraliskt undermåliga så gäller också det gamla polisiära uttrycket - tillfället gör tjuven.

Med goda förberedelser i enlighet med ovan nämnda så går det att utforma ett skydd som är tillämpligt mot insiderhotet såväl som mot andra hot. Som tidigare nämnts så är åtgärder inom IT-säkerheten ett bra sätt att nå verkan men verkan måste nås genom hela verksamheten för att skyddet ska bli värdefullt och fungerande. Den svåraste delen att utforma ett adekvat skydd inom är den administrativa och personella delen. Inom området anläggningar och liknande skyddsvärda objekt är det ofta lättare att uppnå ett adekvat skydd då det oftast är möjligt att använda sig av lås, larm och annan övervakning för att skydda kritiska delar. Tricket för att uppnå en bra skyddsnivå totalt är att få dessa områden att samverka på en jämn och godtagbar nivå samt att tillse att skyddet förvaltas över tiden, kontrolleras och revideras i tillämpliga delar.

Tillämpliga skyddsåtgärder kan övergripande indelas exempelvis enligt följande.

IT-säkerhetsåtgärder
En fungerande logghantering med analysinsatser och god kännedom om vad som är skyddsvärt, vad som är normalbeteende och vad som är avvikande ger goda möjligheter till upptäckt av allvarliga händelser. Ett väl utarbetat SIEM-system ger än bättre möjligheter till ett adekvat skydd. Det bör här påpekas att en vanlig fälla i detta sammanhang är den klassiska – för mycket tekniska prylar och för lite kunskap och analys. De tekniska insatserna bör vara nogsamt utformade för att möta en, genom analys etablerad, tillämplig hotbild och de tekniska lösningarna bör fortlöpande utvärderas och vid behov anpassas för bästa resultat.

Administrativa och personella åtgärder
Inom detta område är en god personalvård A och O. Ingen organisation medger eller skyltar med att man blivit utsatt för insiderrelaterad brottslighet eller motsvarande om det inte är oundgängligt att det kan komma till allmänhetens ändå. Återkoppling och erfarenhet på en informell nivå, främst i samband med genomförande av ett stort antal riskanalyser under de senaste 20 åren ger dock vid handen att samtliga uppräknade incitament i minnesordet BESKT är tillämpliga. Utformning av skydd inom detta område bygger därför inledningsvis främst på noggranna bakgrundskontroller och verifiering av referenser, både uppgivna och sådana man kan tillgodogöra sig genom exempelvis sina kontakter i olika nätverk. Löpande så är personalvård och en kombination av uppföljande kontroll och information/utbildning av vikt. Vid avslutande av en anställning eller ett uppdrag kan skyddet höjas ytterligare genom förebyggande åtgärder och ett väl organiserat avslut under god kontroll.

Anläggningar och liknande skyddsvärda objekt
Vad som ofta brister i detta sammanhang är samordning med de andra åtgärdsområdena. Detta beror inte sällan på att en del anläggningar, eller motsvarande, inte används vare sig på samma sätt som en kontorslokal eller med samma frekvens. Detta ställer implicita krav på att samordning, betydelse och beroenden i flera led och inom olika åtgärdsområden sker på ett noggrant, analytiskt, sätt. Det finns många sätt att identifiera betydelse och beroenden. Ett av de mest uppenbara sätten är att korrelera hur de olika IT-nätverken är spridda, segmenterade och hur fysisk åtkomst till berörd nätverksutrustning ser ut jämfört med berörda anläggningar. På motsvarande sätt kan administrativa och personella samband identifieras.

Avslutningsvis kan konstateras att för att bemöta insiderhot så krävs ett metodiskt säkerhetsarbete över flera verksamhetsområden. I alla avseenden så är kvaliteten på skyddet i mångt och mycket beroende på hur bra man har analyserat sin verksamhet, hot, risker och sårbarheter. Är insiderhotet en myt? Om man använder Google med söktermen ”Insiderrelaterade brott” så kan man raskt konstatera att det är en verklighet och att personer med bristande etik och defekt moralisk kompass finns överallt ibland oss.

Det finns exempel på att större organisationer nu, och sedan en tid tillbaka, tar insiderhotet på större allvar än tidigare. Ett av dem är en presentation som hölls av Tim Casey, Intel Corp. vid årets RSA‑konferens i San Fransisco. I presentationen föredrar han olika bedömningskriterier och nyckelvärden och på näst sista sidan återfinns länkar till Intels ”Fältmanual om insiderhot” och flera analyser som underbygger såväl presentation som nämnda manual. Vissa av de föredragna matriserna kan verka väl kategoriska och man kan tänka efter huruvida alla slutsatser är generellt tillämpliga i ett land som Sverige jämfört med ursprungslandet för berörda analyser.

Länk till Tim Caseys presentation finner du här:

A Field Guide to Insider Threat Helps Manage the Risk



[1] DATA BREACH INVESTIGATIONS REPORT