Verwalten Sie Insider-Bedrohungen: Wissen, wo die Risiken liegen

Zu oft betrachten wir das Insider-Risiko als eine homogene Bedrohungslandschaft. Mitarbeiter mit Zugang tun schlechte Dinge und es gibt geschäftliche Auswirkungen. Diese Beschreibung ist zwar ziemlich genau, enthält jedoch nicht genügend Informationen, um das Risiko zu steuern. Was wir brauchen, ist ein genauerer Blick darauf, welche Arten von Bedrohungen existieren, welche Geschäftsrollen involviert sind und welche Anzeichen normalerweise auftreten, wenn ein Mitarbeiter, ein Lieferant usw. Richtlinien, Gesetze oder Ethik nicht einhält. Mit diesen Informationen können Unternehmen administrative, technische und physische Kontrollen implementieren, um das Insider-Risiko zu verringern.

In diesem Eröffnungsartikel befassen wir uns mit den drei Kategorien von Insider-Bedrohungen, wie sie im CERT-Leitfaden für Insider-Bedrohungen definiert sind: Verhindern, Erkennen und Reagieren auf Verbrechen der Informationstechnologie (Cappelli, More & Trzeciak) und mit der CERT-Insider-Bedrohung Center. In Teil 2 werden empfohlene Methoden zum Erkennen, Eindämmen und Reagieren auf geplante, laufende oder abgeschlossene Insider-Bedrohungen erörtert.

Insider-Bedrohung definiert

Die Definition von Insider-Bedrohungen erfordert ein Verständnis dafür, wer und was betroffen ist. Die drei Hauptkategorien der damit verbundenen Angriffe sind Diebstahl von geistigem Eigentum, Betrug und Beschädigung von Informationsressourcen. In jeder Kategorie zeigt CERT-Forschung, dass normalerweise eine bestimmte Geschäftsrolle verantwortlich ist. Siehe Tabelle A.

Tabelle A.

Diebstahl von geistigem Eigentum

Geistiges Eigentum (Intellectual Property, IP) ist jede "Geistesschöpfung", die von einer Organisation geschaffen wurde oder deren Eigentümer sie ist. Beispiele für unsere Zwecke sind:

  • Konstruktionsentwürfe / Zeichnungen
  • Eigenentwickelte Software
  • Geschäftsgeheimnisse

In vielen Situationen glauben die Entwickler von IP (Ingenieure, Softwareentwickler usw.), dass sie Eigentumsrechte haben. In anderen Fällen ist der finanzielle Gewinn oder der berufliche Aufstieg der Treiber für Diebstahl. Der Wendepunkt vom guten zum schurkischen Mitarbeiter tritt normalerweise auf, wenn Schöpfer keine Anerkennung für ihre Arbeit erhalten oder wenn sie sich nicht als angemessen entschädigt und geschätzt wahrnehmen. CERT listet mehrere Ziele für IP-Diebstahl auf, darunter

  • Ein neues Unternehmen gründen
  • Einen Wettbewerbsvorteil für einen neuen Arbeitgeber schaffen
  • Bereitstellung für ein fremdes Land (insbesondere für ein Land, mit dem ein Mitarbeiter kulturelle, politische oder ethnische Bindungen hat)

Da Personen, denen der Zugriff auf IP gestattet ist, am wahrscheinlichsten IP stehlen, kann die Erkennung schwierig sein. Die genaue Beachtung gängiger IP-Entfernungspfade ist jedoch der erste Schritt zur Minderung des Risikos durch IP-Verlust, einschließlich

  • Firmen-E-Mail
  • Remote-Netzwerkzugriff
  • Speicherung auf Laptops und anderen mobilen Speichergeräten
  • Dateiübertragungsdienste (z. B. FTP oder SFTP)

Betrug

Betrug ist Diebstahl von finanziellen Vermögenswerten. Mitarbeiterbetrug ist weitaus häufiger als die meisten Unternehmen glauben. In einem Artikel auf CFOOnline.com schreibt Tracy L. Coenen: "Experten schätzen, dass Unternehmen durchschnittlich 3 bis 5% des Umsatzes pro Jahr kosten." Zum Beispiel begeht ein Lohnbuchhalter, der einen falschen Mitarbeiter erstellt, diesen Mitarbeiter bezahlt und dann den Scheck einsammelt und einlöst, Betrug. Andere Arten von Betrug umfassen den Missbrauch von Spesenabrechnungen oder die Zahlung an Anbieter, wenn diese keine Dienstleistungen oder Produkte anbieten. Menschen, die hoch verschuldet sind und keine Hoffnung haben, sich selbst auszugraben, führen die Liste der Insider-Bedrohungen in dieser Kategorie an.

Betrug tritt auf, wenn drei Bedingungen erfüllt sind (siehe Abbildung A) . Druck ist normalerweise ein scheinbar überwältigendes finanzielles Bedürfnis. Chancen bestehen aus Schwachstellen in den Prozessen, der Sicherheit usw. eines Unternehmens, die es einem unter Druck stehenden Mitarbeiter ermöglichen, mit geringer Wahrscheinlichkeit der Erkennung zu stehlen. Rationalisierung tritt auf, wenn sich ein Mitarbeiter davon überzeugt, dass sein Bedürfnis größer ist als ethische oder moralische Bedenken. Ein Mitarbeiter kann Diebstahl auch basierend darauf rationalisieren, wie er Misshandlungen durch das Management oder Undankbarkeit für den von ihm erbrachten Geschäftswert wahrnimmt. Durch Entfernen einer Seite des Dreiecks wird das Betrugsrisiko beseitigt oder erheblich verringert.

Abbildung A.

Betrugsdreieck Entwickelt von Donald Cressey

Betrug tritt auf vielen Kanälen auf, und die Beteiligung kann sich über Mitarbeiter hinaus auf externe kriminelle Personen oder Organisationen erstrecken. Auch hier streben Mitarbeiter, die auf Betrug zurückgreifen, in der Regel einen finanziellen Gewinn an. Methoden umfassen

  • Verkauf gestohlener Informationen
  • Ändern von Informationen, um finanzielle Gewinne für sich selbst oder andere zu erzielen
  • Zahlungseingang zum Hinzufügen, Ändern oder Löschen von Informationen

Die meisten Mitarbeiter, die Betrug begehen, vermeiden komplexe technologische Pfade. Zum Beispiel erfordern die letzten beiden obigen Beispiele lediglich die Änderung einer Datenbank ohne Entfernen von Daten. Wenn Daten entfernt werden, werden sie häufig auf einen Heimcomputer heruntergeladen, in den mobilen Speicher kopiert, gefaxt oder per E-Mail gesendet.

Beschädigung von Informationsressourcen

Die Beschädigung von Informationsressourcen ist normalerweise ein Versuch, einen oder mehrere Geschäftsprozesse zu unterbrechen, was zu erheblichen Schäden für das Unternehmen führt. In den meisten Fällen kann nur jemand mit Administratorzugriff diese Ziele erfolgreich erreichen. Beispielsweise kann ein Programmierer eine Logikbombe einsetzen, die eine Datenbank zerstört, die Serversoftware irreparabel beschädigt oder die Leistung einer Anwendung auf unerwartete Weise verursacht. Neben Logikbomben ist die Neukonfiguration von Netzwerkgeräten auf eine Weise, die zu erheblichen Produktivitätsverlusten führt, eine heimliche böswillige Handlung, die häufig schwer zu beheben ist.

Administratoren möchten sich nicht immer mit einem großen, sichtbaren Ereignis bekannt machen. Die Erstellung zusätzlicher Administratorkonten bietet einem Angreifer häufig langfristigen Zugriff auf kleine, aber kostspielige Treffer gegen einen aktuellen oder ehemaligen Arbeitgeber. Organisationen ohne ordnungsgemäße Protokollverwaltung würden es sehr schwer haben, die Verantwortung zuzuweisen, wenn das betrügerische Konto schließlich identifiziert wird.

Absprache

Mitarbeiter haben nicht immer Zugriff auf alles, was für Diebstahl oder Systemschäden benötigt wird. Viele Organisationen erheben Hindernisse bei der Aufgabentrennung, die durch rollenbasierte Zugriffskontrolle erzwungen wird. Unternehmerische Insider-Bedrohungen umgehen diese Kontrollen durch Absprachen.

Was ist Absprache?

Peter Vajda schreibt: "Absprachen greifen, wenn zwei (oder mehr) Personen ihre Werte und ihre Ethik kooptieren, um ihre eigenen - und die anderer - Missetaten zu unterstützen." Das Schlüsselwort ist Unterstützung . Während ein Ingenieur beispielsweise möglicherweise uneingeschränkten Zugriff auf alle relevanten Komponenten der IP hat, die er oder sie stehlen möchte, kann dies bei einer Gehaltsabrechnung oder einem Kreditorenbuchhalter möglicherweise nicht der Fall sein. Folglich kann die Person, die den Diebstahl plant, wichtige Mitarbeiter einstellen, die Zugang zu Informationen oder Prozessen haben, die sonst nicht verfügbar sind.

Es sind normalerweise die vertrauenswürdigsten Mitarbeiter, die diese Verbrechen begehen. Absprachen erhöhen das Risiko für die Täter, verringern aber auch die Möglichkeiten, Diebstahl zu entdecken. Die Umgehung der Aufgabentrennung durch Absprachen umgeht eine Schlüsselkontrolle. Laut CERT-Untersuchungen ist es nicht ungewöhnlich, dass mehrere Personen (einschließlich Außenstehender) an langfristigen Betrugsfällen teilnehmen.

Wahrscheinlichkeit einer Absprache

Manager glauben gerne, dass sich ihre Mitarbeiter integer verhalten, aber Absprachen sind eine häufige Ursache für Insider-Risiken. Laut einem auf der EFP Rotenberg-Website veröffentlichten Artikel zum Fraud Matters Newsletter "macht Absprachen bis zu 40 Prozent des Betrugs aus, mit einem durchschnittlichen Verlust von etwa 485.000 US-Dollar - fast das Fünffache des von Einzelpersonen begangenen Verbrechens." Das Ausmaß des mit Absprachen verbundenen Betrugsverlusts erhöht das damit verbundene Risiko erheblich auf ein Niveau, das von Sicherheitsteams und Management genauestens beachtet werden muss.

Das letzte Wort

Insider-Bedrohungen können Unternehmen jedes Jahr viel Geld kosten, da sie an geistigem Eigentum verlieren, Betrug begehen und Informationsressourcen beschädigen. Jede Bedrohungskategorie umfasst hauptsächlich eine bestimmte Rolle oder einen Satz von Geschäftsrollen und verschiedene Angriffsmethoden. In Teil 2 werden wir das Erkennen problematischer Mitarbeiter und die Implementierung von Kontrollen untersuchen, um Insider-Chancen zu verringern.

© Copyright 2021 | mobilegn.com