It's the human, stupid!

Opschudding op Twitter toen verschillende invloedrijke twitteraars, onder wie presidentskandidaat Joe Biden, oud-president Barack Obama en ondernemers Elon Musk (Tesla) en Jeff Bezos (Amazon) hun volgers tegelijk opriepen bitcoins over te maken, onder meer om de strijd tegen Covid-19 te steunen. Het was voor de meeste Twitter-gebruikers duidelijk dat het om ordinaire oplichterij ging, maar toch slaagden de hackers erin ruim 100.000 euro te verzamelen. De grootste hack ooit bij Twitter, noemden experts het.

Hoe de aanvallers toegang hebben verkregen tot de geverifieerde accounts, die extra worden beschermd, is een vraag waar onder meer de FBI een antwoord op moet vinden. Twitter heeft al laten weten dat ‘social engineering’ aan de basis ligt van de aanval. Medewerkers met toegang tot bedrijfssystemen, zoals het beheerderspaneel van Twitter-accounts, worden op een sluwe manier gemanipuleerd om die toegang te delen met de aanvallers. Ze worden misleid, waardoor ze onbewust bijdragen aan de aanval.

Hoewel social engineering door Twitter als officiële versie naar voren geschoven wordt, wordt ook rekening gehouden met de mogelijkheid dat de hackers een medewerker hebben omgekocht in ruil voor toegang tot de interne systemen van het sociale medium. In dat geval spreken we  van een ‘insider threat’, omdat de rol van de medewerker in de aanval bewust is. Het meest tot de verbeelding sprekende voorbeeld van een insider threat in België is de sabotage van Doel 4 in 2014, toen een medewerker de kerncentrale doelbewust saboteerde en voor tientallen miljoenen euro’s schade aanrichtte.

Veiligheidsperimeter

Het is duidelijk dat het menselijke aspect een belangrijke rol speelt in de beveiliging van een bedrijf (of organisatie in het algemeen). Waardevolle middelen, zoals gevoelige informatie of financiële middelen, worden beschermd door een veiligheidsperimeter, die bedoeld is om buitenstaanders te weren. Tegelijk moeten medewerkers het vertrouwen genieten om zich binnen de veiligheidsperimeter te begeven, omdat ze anders niet in staat zijn hun job uit te oefenen. Omdat de meeste aandacht uitgaat naar de bescherming tegen externe dreigingen, wordt de mogelijkheid dat insiders die toegang (on)bewust misbruiken nog te vaak over het hoofd gezien.

Dat is verrassend, vermits insiders een voordeel hebben ten opzichte van buitenstaanders. Ze hoeven de veiligheidshorden voor buitenstaanders niet te nemen, omdat ze zich al binnen de veiligheidsperimeter bevinden. En ze kennen het reilen en zeilen van het bedrijf, waardoor ze op een sluwe wijze tewerk kunnen gaan zonder hun identiteit prijs te geven. Bijna zes jaar na de sabotage in Doel 4 is de identiteit en het motief van de dader bijvoorbeeld nog altijd niet bekend.

Vier ogen

Toch kunnen bedrijven enkele relatief eenvoudige maatregelen nemen om het risico op interne dreigingen te verkleinen. Zo is het een goed idee dat de toegang van insiders wordt beperkt tot de bedrijfsmiddelen die ze nodig hebben om hun job uit te oefenen. Een andere maatregel in de kritische infrastructuur is het ‘vierogenprincipe’, dat stelt dat voor bepaalde handelingen minstens twee personen nodig zijn. Zo wordt vermeden dat één persoon alle touwtjes in handen heeft om zijn of haar slag te slaan. Na de sabotage in Doel 4 werd het vierogenprincipe in de kerncentrales verder uitgebreid, om de kans op incidenten te verkleinen.

Voor alle duidelijkheid: dit is geen pleidooi om een sfeer van wantrouwen in bedrijven te creëren of om werkgevers en werknemers aan te sporen elkaar argwanend te behandelen. Vertrouwen op de werkvloer is essentieel om het bedrijf naar behoren te doen draaien. Wel is het een pleidooi om interne dreigingen, die volgens ons onderbelicht zijn in vergelijking met externe dreigingen, niet te behandelen als een ver-van-mijn-bedshow, maar als een reële dreiging voor bijna alle bedrijven en organisaties. Zoals de Twitter-hack en de sabotage in Doel 4 aantonen, kunnen de acties van een of meerdere onbetrouwbare medewerkers met geautoriseerde toegang of kennis zware gevolgen hebben.