Virksomheder bliver i stadigt højere grad afhængige af teknologi og IT-systemer, der styrer driften, og derfor stoler vi ofte blindt på de teknologiske værktøjer, vi bruger i hverdagen. Men hvis kontrollen med systemerne svigter og efterlader en virksomhed sårbar, kan det indbyde til både bevidst og ubevidst misbrug af systemerne hos dem, der i fagsprog kaldes insidere.
De teknologiske fremskridt sker hurtigere og hurtigere, og i takt med at IT-systemer udvikles, forfines og får større indflydelse på vores hverdag og arbejdspladser, stiller det også større krav til kontroller og den tekniske sikkerhed.
Engang foregik det helt manuelt, når virksomheder skulle håndtere fakturaer, overføre data til leverandører eller udføre lignende arbejdsprocesser. Men mange steder klares den slags i dag næsten automatisk via de tekniske systemer, virksomheden benytter sig af.
Derfor er virksomheder i 2019 stærkt afhængige af stærke kontrolmiljøer, som sikrer, at systemerne virker og bruges efter hensigten. Ellers risikerer man som virksomhed at stå som svageste led i selskab med teknologien – og at gøre sig selv sårbar over for ubevidst eller bevidst misbrug af manglende kontroller, som kan koste virksomheden dyrt.
Mennesker og teknologi på godt og ondt
Når nye teknologier og kontrolsystemer tages i brug af mennesker, sker det typisk gennem nogle klassiske faser. Først bliver vi bekendte med teknologien, siden bliver vi øvede og til sidst bliver den en integreret del af vores hverdag, hvor vi dårligt skænker det en tanke. Det skyldes ikke mindst, at teknologien løbende bliver fintunet til vores daglige behov.
Tænk eksempelvis på sikkerhedsforanstaltningerne og kontrollerne i en bil. Hvor man tidligere skulle tjekke olietryk og bremsevæske manuelt, er bilteknologien siden blevet forfinet til at foregå mere automatisk og ubevidst. Derfor forventer vi i dag som en ubevidst og naturlig ting, at bilen giver en melding, hvis noget er galt, og en kontrolhandling skal foretages. Men hvad stiller man op, hvis kontrollerne, vi ubevidst stoler på i hverdagen, ikke virker efter hensigten?
Der kan være mange forklaringer på manglende eller svigtende kontroller, og menneskelige fejl vil ofte være én af dem. Mennesker har fra naturens side indbyggede svagheder, og derfor hænder det, at mennesker ubevidst eller bevidst omgår eller udnytter svage eller manglende kontroller. Den slags mennesker kaldes i fagsprog for insidere.
Insiderens to ansigter
Center for Cybersikkerhed (CFCS) og Politiets Efterretningstjeneste (PET) vurderer i deres nyeste trusselsvurdering[1], at op imod halvdelen af alle sikkerhedshændelser i en organisation skyldes insidere. CFCS og PET skelner mellem to typer af insidere; den ubevidste og den bevidste.
Den ubevidste insider er en medarbejder, der stoler på systemer og agerer ud fra den viden, som ledelsen har givet. Hvis der mangler instruktioner, og det ikke er klart, hvad en medarbejder skal gøre i en given situation, risikerer virksomheden, at insideren ubevidst udnytter systemets svagheder. Den ubevidste insider kan eksempelvis komme til at åbne en inficeret fil, overføre midler til kriminelle eller afsløre forretningshemmeligheder til konkurrenter.
Den bevidste insider er en medarbejder, der med fuldt overlæg – typisk på grund af personlige årsager, fx konflikt med ledelsen, manglende anerkendelse eller personlige, økonomiske årsager – udnytter en svaghed i kontrollerne. Dermed får den bevidste insider adgang til rettigheder, informationer eller midler, som insideren kan udnytte. Herhjemme kender vi til velkendt eksempler på bevidste insidere fra sager som ’Tys-Tys’-kilden i Nets /IBM – og den verserende sag mod en betroet medarbejder i Socialstyrelsen. Den bevidste insider kan desuden også være en ansat hos en underleverandør eller kunde.
Når skaden sker
Uanset om insiderens handlinger sker ubevidst eller bevidst, kan der være tale om store tab for virksomheden. Det fremgår af rapporter fra flere sikkerhedsfirmaer i både USA og EU, som laver sådanne beregninger. Det, der til gengæld ikke bliver beregnet, er virksomhedens yderligere omkostninger i form af tabt omdømme – og dermed tabte kundeordrer og dalende tillid til virksomheden.
En undersøgelse fra CERT-instituttet ved Carnegie Mellon University (et af verdens førende på området for IT-sikkerhed)[2] viser, at når flere bevidste insidere er på spil i fællesskab, udnytter de i gennemsnit kontrolsvagheder i 989 dage, inden det stoppes – altså, i mere end 2,5 år. Hvis der er tale om enlige insidere udnytter de i gennemsnit sårbarheden i 234 dage. Der findes ikke tal på, hvor længe ubevidste insidere i gennemsnit omgår kontroller, men vores vurdering er, at tallet ligger tæt op ad de 989 dage. Måske er tallet endda højere, da det ikke er sikkert, at virksomheden gøres opmærksom på den manglende kontrol.
Der findes ikke omkostningsstatistikker på konkrete insider-sager, men der er generelt en klar sammenhæng mellem varigheden af insiderens handlinger og omkostningerne. Det fremgår af følgende tal fra CERT:
|
Varighed i gennemsnit
|
Omkostninger i USD
|
|
266 dage
|
Under 10.000$
|
|
384 dage
|
10.000$ - 99.999$
|
|
987 dage
|
100.000$ - 999.999$
|
|
976 dage
|
Over 1.000.000$
|
Tabellen viser med al tydelighed, at hvis man som virksomhed har effektive kontroller og gennemfører test af dem periodisk (fx én gang årligt ved revision eller tilsyn), er der mulighed for betragteligt at begrænse omfanget af en insiders udnyttelse af kontrolsvagheder. Udfordringen ligger typisk i at finde svaghederne. Jo mere komplekse it-systemerne er, jo større er risikoen for, at ledelse og systemejere mister overblikket over kontrollerne.
At finde nålen i høstakken
Det kan være en uoverskuelig opgave for en virksomheds ledelse at finde insider-nålen i høstakken – især hvis man ikke er klar over, at den findes. Der findes dog nogle generelle spørgsmål, man med fordel kan stille sig selv, hvis man skal tage fat på at optimere virksomhedens kontrolmiljø:
- Hvilke processer er kritiske for virksomheden? Overordnet og i de enkelte afdelinger? Hvor skabes der værdi for kunden?
- Hvor er der mulighed for at tilgå kritiske oplysninger?
- Hvilke økonomiske processer har vi i virksomheden, og hvordan afvikles de i dagligdagen?
- Hvem i vores virksomhed skal have adgang til alt – eller det meste – i vores systemer?
- Hvordan sikrer vi effektiv logning af hændelser?
Desuden anbefaler CFCS og PET, at man som virksomhed uddanner og træner medarbejdere samt åbenhed omkring brud på sikkerheden.
Ledelsen står med ansvaret
Uanset om en virksomhed har en stor, lille eller outsourcet IT-afdeling, er det i sidste ende en virksomheds ledelse, der står tilbage med ansvaret for at sikre sunde og stærke kontrolmiljøer. Det er ledelsen, der bestemmer brugen af systemer, hvem der har adgang til hvad, og hvordan man kontrollerer for de alvorlige sikkerhedsfejl, der i værste tilfælde kan true virksomheden på dens eksistens.
Hos Grant Thornton kan vi hjælpe med at finde svar på, hvor sårbar din virksomhed er over for insider-trusler. Vi kan hjælpe med at gennemgå aftaler, ydelser, politikker, kontroller og logs for at se, om der er grund til bekymring.
Protokollerne skal strammes lige tilpas, så ledelsen hverken drukner i uendelige administrative opgaver og logs, men samtidig kan finde ro i sindet ved visheden om et sikkert og kontrolleret miljø, hvor risikoen for insidere – bevidste og ubevidste – er så godt som elimineret.
[1] https://pet.dk/Nyheder/2019/Cybertruslen%20fra%20bevidste%20og%20ubevidste%20insidere.aspx
[2] https://insights.sei.cmu.edu/insider-threat/2016/06/the-frequency-and-impact-of-insider-collusion.html
