Dit voorjaar meldden BNR en het Financieele Dagblad dat duizenden Noord-Koreaanse IT’ers undercover aan de slag zijn bij westerse bedrijven, waaronder de grootste en meest winstgevende bedrijven in de Verenigde Staten. Uit de berichtgeving blijkt dat deze werknemers veelal onder valse namen werken en binnenkomen met gestolen, vervalste of (met AI) nagemaakte identiteitsdocumenten. Om hun echte locaties te verhullen maken zij gebruik van meerdere VPN-verbindingen.
Het belangrijkste doel van deze werkwijze lijkt het binnenhalen van buitenlandse valuta te zijn, om zo het door internationale sancties getroffen Noord-Koreaanse regime van inkomsten te voorzien. Maar tegelijkertijd hebben deze IT-medewerkers toegang tot veel data, zoals IP-gegevens, archieven en personeelsgegevens. En ook tot cruciale systemen, processen en intellectueel eigendom. Dit maakt dat genoemde bedrijven niet alleen het risico lopen op diefstal, het zet ook de deur open voor afpersing met ransomware.
Insider Threats
‘Dat zal hier wel niet zo’n vaart lopen’ horen we u denken. Maar toch komen dit soort ‘insider threats’ ook in het Nederlandse bedrijfsleven voor. Dan hoeft het niet direct te gaan om Noord-Koreaanse IT’ers die een cyberrisico voor uw onderneming vormen. Ook in andere branches en in andere functies kunnen werknemers veel schade aanrichten.
Zo zijn ons in de logistiek veel gevallen bekend van criminele individuen of groeperingen, die al dan niet als uitzendkracht bij een bedrijf binnenkomen, om vervolgens waardevolle ladingen weg te nemen en in het buitenland te verkopen. Ook zien wij regelmatig dat nieuwe of tijdelijke medewerkers data wegnemen om daar vervolgens elders hun slag mee te slaan. Daarbij kunt u denken aan de situatie dat klantgegevens van bejaarde klanten worden weggenomen, waarna deze mensen vervolgens het slachtoffer worden van telefoon- of WhatsApp fraude.
6 tips om insider threats te voorkomen ?
Als werkgever is het essentieel om zelf de regie te houden op wie u binnenhaalt. Ook als dit (slechts) tijdelijk is, ook als dit via een intermediair is en ook - of juist - als de werknemer op afstand voor u werkt. Hiervoor geven wij u graag een aantal tips:
1.
In de praktijk zien wij nog te vaak dat screeningsprocessen zich niet richten op werknemers die tijdelijk in dienst zijn (als stagiaire, uitzendkracht of zzp’er) en evenmin op werknemers die op afstand werken. Zorg dus voor een goed en duidelijk beleid op het gebied van pre- en inemployment screenings, dat bovendien consequent wordt nageleefd.
Lees ook:
- Krappe arbeidsmarkt? Dan is een pre-employment screening juist belangrijk!
- In-, door- en uitstroom van medewerkers: wat kan er misgaan?
2.
Maakt u gebruik van (buitenlandse) uitzend- en/of detacheringsbureaus? Zorg dan dat u weet met wie u zakendoet. Maak heldere afspraken over wat u van de screening van nieuwe werknemers verwacht. Of beter nog: voer (ook) uw eigen screening uit.
Lees ook:
3.
Voer een autorisatiemodel in, waarbij werknemers alleen toegang hebben tot de gegevens en systemen die ze nodig hebben voor hun werk. Beperk de toegang bovendien tot de periode waarvoor zij die toegang nodig hebben.
Daarnaast is het belangrijk om nieuwe medewerkers niet te snel te veel rechten te geven. Eind juli meldde een Amerikaans IT bedrijf, KnowBe4, dat een Noord-Koreaanse IT-medewerker met een gestolen Amerikaanse identiteit had geprobeerd het bedrijf te infiltreren. De medewerker zat al in het onboarding proces (met een laptop van het bedrijf) toen dit aan het licht kwam. Omdat nieuwe medewerkers van KnowBe4 tijdens hun onboarding maar heel beperkt toegang krijgen tot het netwerk, was het de medewerker - ondanks pogingen daartoe - niet gelukt om malware te installeren.
4.
Installeer monitoring software en voer regelmatig een analyse uit op de loggegevens om afwijkende activiteiten te detecteren. Denk hierbij aan herhaalde inlogpogingen, inlogpogingen op rare tijdstippen, afwijkende databevragingen of een veelheid aan verzoeken.
5.
In de praktijk zien we dat er bij veel bedrijven nog te weinig aandacht is voor de ‘offboarding’: het proces rondom het vertrek van een werknemer. Zo ontbreekt het op dit punt vaak aan een exitbeleid, waardoor laptops, toegangspasjes, toegangscodes en toegangsrechten niet altijd worden ingenomen of ingetrokken. Hier kan op een later moment nog misbruik van worden gemaakt.
6.
Tot slot is het van belang om werk te maken van ‘forensic readiness’, zodat - als er toch iets gebeurt - met een digitaal (feiten)onderzoek kan worden opgespoord wanneer welke informatie door wie is gekopieerd en/of doorgestuurd.
Meer weten?
Wilt u hier advies over? Neem dan gerust contact met ons op voor een vrijblijvend gesprek.
Onze consultants vertellen u er graag meer over.
