Aktuelt og fagblogg

Innsiderisiko og datasikkerhet

Evelon AS

Jon-Alfred Smith

Innsiderisiko er et sikkerhetsområde som har fått altfor liten oppmerksomhet. Truslene er høyst reelle og øker i omfang, mot et bakteppe av geopolitisk og økonomisk uro. Skadene de påfører virksomheter, strekker seg fra tap av intellektuell eiendom og finansiell informasjon til brudd på personvern (GDPR) og industrispionasje. Det kan bli dyrt for bedrifter, svekke konkurranseevnen og skade omdømmet. Likevel skorter det hos mange på verktøy og rutiner for å avdekke og håndtere farer fra innsiden. Samtidig er handlingsrommet begrenset, en balansegang mellom sikkerhet og de ansattes rettigheter.

Innlegget gjengir hovedpunktene fra et forkostseminar i regi av PwC og Microsoft i november i år. Datatilsynet presenterte sin nye veileder for overvåking av ansattes bruk av elektronisk utstyr. Equinor delte erfaringer med datatapsteknologi for å hindre uautorisert eksport av opplysninger og foretok en gjennomgang av sitt innsiderisikoprogram. PwC behandlet utfordringer knyttet til innsideaktiviteter og skisserte en farbar vei for å møte dem. Microsoft fokuserte på tre teknologier som bidrar til bedre datasikkerhet: oppdage og beskytte data, forhindre datatap og administrere intern risiko.

Hva er en innsider og innsiderisiko?

En innsider defineres som en nåværende eller tidligere ansatt, konsulent eller innleid som har eller har hatt legitim tilgang til virksomhetens systemer, prosedyrer, objekter og informasjon, og som misbruker denne kunnskapen og tilgangen for å utføre handlinger som påfører virksomheten skade eller tap.

Hun eller han kan være en infiltratør, rekruttert utenfra, selvmotivert eller bare uaktsom. Innsidere er i en enestående posisjon fordi de har tillit og tilganger som gjør det lettere å omgå tiltak som er ment å stanse eksterne angrep. Deres kunnskap om bedriftens operasjoner og sikkerhetsprotokoller kan gjøre det utfordrende å oppdage og forhindre innsidertrusler.

Politiets sikkerhetstjeneste (PST) legger i sin trusselvurdering for 2023 vekt på det nye politiske klimaet. For å opprettholde informasjonstilgangen er Russland nødt til å øke bruken av fordekt innhenting, som bruk av innsidere og andre agenter. DNB viser til økonomiske nedgangstider som kan gi insentiver for å begå innsidehandlinger for egen vinning. IT-systemer blir stadig sikrere, og det øker verdien av å ha en innsider med lovlig tilgang til dem. Faren for å bli avslørt reduseres ved at flere virksomheter ikke har innsidetrusler som del av risikovurderingene.

Datatilsynet – Overvåking av ansatte

Digitale arbeidsverktøy kan registrere store mengder opplysninger om arbeidstakere. Derfor er det i utgangspunktet ikke lov å overvåke deres elektroniske utstyr, som fattes vidt og teknologinøytralt og henger sammen med e-postforskriftens virkemåte. Under dette faller også bruk av Internett, mens lydopptak av telefonsamtaler holdes utenfor. Imidlertid finnes det enkelte unntak fra forbudet, og alle typer monitorering er ikke ulovlig overvåking.

Det er tillat å overvåke når det kreves for å administrere virksomhetens datanettverk eller avdekke og oppklare sikkerhetsbrudd i nettverket. I enkelte tilfeller har arbeidsgiver rett til innsyn i opplysninger lagret på dataenheter. Det kan være nødvendig for å ivareta den daglige drift eller andre berettigede interesser. Det kan skje ved skjellig mistanke om at ansattes bruk av e-post eller annet elektronisk utstyr fører til grove brudd på arbeidsforholdet, noe som kan gi grunnlag for avskjed og oppsigelse.

Forbudet mot overvåking er sammensatt av tre deler: Tiltaket må gjelde ansattes bruk av elektronisk utstyr, tiltaket må være overvåking, arbeidsgiver må få tilgang til opplysningene.

Overvåking må ha en viss varighet eller skje gjentatte ganger. Enkeltstående innsyn kvalifiserer ikke. En teoretisk mulighet for at opplysningene kan brukes til å kontrollere ansatte, er ikke tilstrekkelig. Verktøy for samhandling som med et ikon viser om arbeidstaker er pålogget, er ikke overvåking. Tiltak som gir arbeidsgiver muligheten til å følge med, kan utgjøre overvåking, som ved logging for sikkerhetsformål, samtidig som den ofte vil oppfylle unntakene. For å være overvåking må arbeidsgiver ha tilgang til personopplysningene som behandles gjennom tiltaket. Et eksempel er verktøy som profilerer ansatte med formålet om å gi tilpasset opplæring i informasjonssikkerhet.

Sjefsvare (bossware) er overvåking, et typisk tiltak for å kontrollere arbeidstakere. Den kan måle deres følelser, tanker og meninger via opptak fra webkamera og en automatisk gjennomgang av meldinger i interne chattekanaler. Den kan holde et øye med arbeidsutførelse ved å vise hvilke applikasjoner som er benyttet, bruk av sosiale medier i arbeidstiden og antallet tastetrykk i løpet av et tidsintervall.

Det har også en betydning av hvordan ansatte opplever tiltaket. Som eksempel nevner Datatilsynet en bedrift som driver med kundeservice. Her ble det gjort skjermopptak med tanke på kompetanseheving og opplæring. Opptak ble utført 2,5 % av tiden. De ansatte ble varslet om mulige opptak 25 % av tiden, uten å vite når det skulle skje. 25 % utgjorde en betydelig del av arbeidsdagen. Det ga dem en følelse av å være overvåket og er ikke i samsvar med e-postforskriften.

Equinor – Datatapsteknologi og innsiderisikoprogram

For Equinor er verdens viktigste energikilder kunnskap og samarbeid. Dét krever ekstremt gode rutiner for å verne om deres intellektuelle eiendom. Sikkerhet er for dem ikke en aktivitet utenfor selskapet, men en iboende og integrert del av kjerneaktivitetene. Det omfatter fysisk og personlig sikkerhet og motstandsdyktighet mot nettangrep. Data sikres med teknologier for informasjonsbeskyttelse, hindring av datatap og oppdagelse av innsidevirksomhet.

Foretak i den størrelsesorden har svære datamengder og særskilt mye sensitiv informasjon. Det er et stort behov for å dele data internet og eksternt, noe som krever aktiv tilgangskontroll og blokkering av funksjonalitet og tjenester. Equinor klassifiserer all informasjon de har, i fire kategorier: Open, Internal, Restricted og Confidential. Med det følger adekvate sikkerhetskontroller.

Equinor holder på å teste datatapsteknologi for å hindre informasjon i å lekke ut av virksomheten. For øyeblikket er et begrenset antall brukere innrullert i løsningen, konfigurert med retningslinjer for datatyveri. Teknologien har en lav teknisk terskel og er satt opp så lite inngripende som mulig. Den sørger for prevensjon og deteksjon og overlapper ikke med eksisterende tiltak. Alarmer håndteres tverrfaglig. Equinor fastslår at løsningen virker, men at det tar tid å forså systemet. Falske positiver er en utfordring, og analyse krever forretningsforståelse.

Over en toårsperiode har Equinor kjørt et innsiderisikoprogram med en trinnvis utviklingstilnærming, som inkluderer å definere arbeidsprosessområder og roller for arbeidsprogrammet. De har tatt for seg tidligere tilfeller, sett på ledende indikatorer og vurdert høyrisikoposisjoner. De har trent ledelse og gitt opplæring i kommunikasjon, samt satt opp policyer for entreprenører og rådgivere. I en lengre periode har Equinor benyttet analyseverktøyet Microsoft Risk Manager.

Piloten med Risk Manager kjører 100 prosent anonymisert og aggregerer data til virksomhetsnivå. Til tross for enkelte usikkerhetsmomenter er det mulig å trekke ut noen grunnleggende observasjoner. Det er mange brukere som legitimt tar ut eller deler informasjon som naturlig del av arbeidsoppgavene. Prosentvis øker eksfiltreringen når ansatte er i en sluttfase. Men hvordan er det med ulovlige aktiviteter? Dette kan piloten ikke si noe om, skjelne mellom godtatt og ikke-godtatt bruk av data.

Innsiderisiko må vurderes sammen med type informasjon og sikringsbehov. Foruten tekniske løsninger er det viktig med brukeropplæring og kompetanse, samt internkontroll. Men hva vet man egentlig om uautorisert og mistenkelig deling? Det rettslige handlingsrommet setter begrensninger for å avdekke og avklare sikkerhetsbrudd, samtidig som enkelte lover og forskrifter er uklare og forarbeider utdaterte og lite relevante. Retts- og nemndspraksis kan bare vise til automatisk videresending av e-post. Fortsatt fokuseres det på hva man ikke kan gjøre, uten å avklare godt nok hva som er et lovlig handlingsrom. Equinor har gjort seg disse tankene om mulighetene innenfor gjeldende regelverk:

Risikobasert og balansert tilnærming til å avdekke og oppklare sikkerhetsbrudd tilknyttet sensitiv informasjon.
Oppdatere interne krav, retningslinjer og være transparent.
Sikre en god intern operasjonsmodell i forhold til roller og ansvar som sikrer integriteten til verktøy og funksjonalitet.
Drøfting av kontrolltiltak med fagforeninger.
Anvende «personvern ved design»-funksjonalitet (pseudonymiserte opplysninger) frem til eventuelle konkrete innsyn foretas.

Veien videre for Equinor går ut på å tune og forbedre policyer, skalere opp og etablere en permanent operasjonsmodell og jobbe sammen med Microsoft på verktøysiden. Datagrunnlaget må kontinuerlig forbedres og innebefatte minimering og lagringsbegrensning.

PwC – Utfordringer og sikringstiltak

PwC er et globalt nettverk av konsulentfirmaer som hjelper virksomheter med rådgivning, revisjon, økonomi, juridisk ekspertise og sikkerhetstjenester. I Norge er det over 2300 rådgivere fordelt på 28 kontorer spredt over hele landet. PwC Norge har utgitt en Cybercrime-rapport for 2023.

PwC anbefaler en treleddet tilnærming til innsiderisiko: Forstå innsidetrusselen, finn handlingsrommet og husk organisasjonen. Det dreier seg ikke om et dilemma mellom personvern og sikkerhet, men om å avbalansere disse to områdene mot hverandre.

Virksomheter må vurdere behovet for å motvirke, oppdage og håndtere innsidere. Hvilke er det som er aktuelle? Hvor høy er innsiderisikoen? Hvilke brukere og hva slags aktiviteter må monitoreres? Som behovsstøtte bør det foretas en verdivurdering – noe som krever en god oversikt over egne data og dataklassifisering – og en risiko- og sårbarhetsanalyse (ROS). Eksterne rapporter er også til hjelp.

Så bør man stille spørsmål om det er balanse mellom behovene og de ansattes rettigheter: Kan du oppnå samme formål med mindre inngripende virkemidler? Er alle «overvåkingstiltak» hjemlet i sikkerhetshensyn? Er monitorering lovlige tiltak? Som vurderingsstøtte tjener personopplysningsloven og GDPR, e-postforskriften, arbeidsmiljøloven og Datatilsynets veileder om overvåking i arbeidslivet. For enkelte gjelder i tillegg sikkerhetsloven og virksomhetssikkerhetsforskriften.

PwC anbefaler at det ved ansettelse fortas en grundig bakgrunns- og ID-sjekk. Ha på plass solide rutiner for tilgangsstyring. Styrk virksomhetens kompetanse og bevissthet. Skap en kultur hvor ting utenom det vanlige tas opp. Opprett en varslingskanal. Bevisstgjør statsborgere fra risikoland om muligheten for rekruttering og press. Sett opp retningslinjer for klassifisering og håndtering av informasjon og verdier. Sørg for gode prosesser for interne granskninger og oppsigelse – ta vare på dine ansatte i alle faser!

PwC gir disse rådene for en vellykket prosess. Det omfatter å involvere et vidt sammensatt panel av personer, en risikovurdering, handlingsrommet og kommunikasjon:

Involver bredt, med for eksempel folk fra Sikkerhet, IT, Juridisk, HR og Ledelse, samt personvernombud. Vurder behovet for ekstern bistand.
Ved vurderingen av risiko bør du se på: Hvilke verdier må beskyttes? Hva er den reelle innsidetrusselen? Hvor er dere sårbare? Hvilke tiltak egner seg for å ta ned risikoen?
For handlingsrommet må det vurderes om tiltakene er forholdsmessige. Det bør være en balanse mellom sikkerhet og de ansattes rettigheter. Vurderinger må begrunnes og dokumenteres.
God kommunikasjon med ansatte og deres representanter motvirker konflikter. Begynn med en pilot og ta med lærdommen til full utrulling.

Microsoft – Forbedret datasikkerhet

NSMs sikkerhetsfaglige råd slår fast: Virksomheter mangler verktøy for å avdekke innsidere. Det er mange aktører i markedet. Her begrenser vi oss til Microsofts produkter, som har den fordel at de jobber tett sammen og glir sømløst inn i Microsoft 365: Informasjonsbeskyttelse og -styring sørger for å klassifisere, merke og forvalte sensitive data for å redusere risiko. Hindring av datatap forebygger datalekkasje på tvers av skyer, apper og endepunkter. Administrasjon av intern risiko tar hånd om innsidetrusler i den moderne arbeidsplassen. Alle disse tjenestene inngår i Microsoft Purview-familien.

Microsoft Purview er en omfattende løsning som styrker datasikkerheten med en integrert tilnærming. Informasjonsbeskyttelsen oppdager og klassifiserer data automatisk og forhindrer uautorisert bruk på tvers av apper, tjenester og enheter. Beskyttelsen forblir knyttet til dokumenter og e-post under hele deres levetid uavhengig av lagringssted. Hindring av datatap (DLP) avverger utilsiktet eller bevisst deling av sensitiv informasjon i flerskymiljøer, på endepunkter, i tredjepartsapper og lokal infrastruktur. DLP opererer uten agenter og åpner for en fleksibel policystyring, samt enhetlig varsling og utbedring.

Automatisert oppdagelse av følsomme data bygger på bransjeledende klassifiseringsteknologier. Det følger med over 300 forhåndsdefinerte sensitive informasjonstyper, som personnummer og Visa-kort. Du kan opprette dine egne med støtte i regulære uttrykk (RegEx), nøkkelord og ordbøker. Med Eksakt datamatch (EDM) kan du kreve nøyaktig overensstemmelse. Opplærbare klassifiserere bruker kunstig intelligens og lar deg trene dem opp til å gjenkjenne innholdskategorier basert på eksisterende elementer i organisasjonen. På veikartet ligger kontekstbasert klassifisering, som bygger på egenskaper som filtype, dokumentnavn og opprettet av.

Word, Excel, PowerPoint og Outlook har innebygde funksjoner for manuell klassifisering og merking. Følsomhetsetiketter bestemmer om dokumenter eller e-post skal utstyres med topp- og bunntekster, eventuelt vannmerke (sistnevnte ikke i meldinger). Etikettene kan også benyttes til å kryptere og rettighetsstyre innholdet med en finmasket regulering av tilganger. Med Innholdsutforsker går du gjennom alt klassifisert innhold i organisasjonen. Aktivitetsutforsker viser klassifiseringsaktiviteter og trender i detalj.

Følsomhetsetiketter dekker hele dataområdet ditt og representerer din informasjonstaksonomi. De beskriver prioriteringen til dine kategorier av sensitiv informasjon. Du kan i tillegg benytte dem på BI-rapporter og Azure Data. Anvendt på SharePoint-nettsteder, Teams-kanaler og Microsoft 365-grupper sørger de for tilgangskontroll og personverninnstillinger og kan være et kriterium for betinget tilgang.

Følsomhetsetiketter er kraftige kontroller som sikrer at etiketter påføres der det er nødvendig. Bruk dem som standard, gjør dem obligatoriske, hindre nedgraderinger.

Administrasjon av intern risiko (Microsoft Risk Manager) tar hånd om innsidevirksomhet i den moderne arbeidsplassen. Du avdekker risikabel aktivitet som lekkasje og tyveri av sensitive data, samt brudd på sikkerhetspolicyer. Risikoanalysen av innsidere bidrar raskt til å identifisere potensielle faresignaler i virksomheten og anbefaler retningslinjer for å håndtere dem. Arbeidsflyter gjør det mulig for team å samarbeide om å se gjennom mulig risiko og iverksette tiltak. Løsningen er bygd med personvern i tankene. Brukere er beskyttet ved at navnene dere anonymiseres på tvers av alle funksjoner. Nøkkelfunksjoner omfatter:

Analyse: Foreta en evaluering av mulig intern risiko i organisasjonen uten å konfigurere policyer for intern risiko
Strategiplaner for maskinlæring: Opprett en policy med tilpassbare maler for maskinlæring som kan distribueres uten skript eller endepunktagenter.
Veiledning underveis: Få trinnvis veiledning når du innfører Administrasjon av intern risiko.
Strategiplan for helsesektoren: Identifiser risiko for misbruk av pasientopplysninger med innebygde indikatorer og detektorer som bruker data fra elektroniske pasientjournalsystemer.
Kontekstavhengig gjennom av varsler: Få på en enkel måte forståelse av konteksten til et varsel for å kunne rette fokus i etterforskningen av de mest risikofylte aktivitetene.
Saksbehandling: Gjør grundige undersøkelser og handle ut fra problemer generert av risikoindikatorer som er definert i policyene dine.

Administrasjon av intern risiko kan oppdage risikofylte brukere og tildele risikonivåer som dynamisk tildeler forebyggende kontroller til brukere. For høyrisikobrukere blir det blokker, for moderat risiko blir det blokker med overstyring og for lav risiko blir det bare policytips. Denne teknologien går under betegnelsen adaptiv beskyttelse.

Avsluttende ord

Interne og eksterne sikkerhetsbrudd kan føre til at sensitiv informasjon blir eksponert. Det kan få økonomiske, juridiske eller omdømmemessige konsekvenser for selskapet, ansatte, partnere, kunder eller leverandører. Ved innsidevirksomhet er handlingsrommet mer begrenset enn ved angrep utenfra. Som arbeidsgiver må du vurdere om tiltakene mot innsiderisiko er lovlige. Det er flere regelverk som styrer ulike sider ved arbeidslivet og de ansattes digitale rettigheter, blant dem personopplysningsloven med personvernforordningen, forskrift for kameraovervåking i virksomhet og forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk materiale. I alle disse saksområdene er det Datatilsynet som fører tilsyn.

Fotografiet av innsidere var postet av Nils Roald (CPO Elywhere) på LinkedIn og fornorsket av ham. Første illustrasjon er fra Datatilsynet. Tegningene er gjengitt med velvillig tillatelse av PwC. Innledningen i innlegget står i gjeld til presentasjonen holdt av PwC. Infografikken og skjermbilder er fra Microsoft og egne.

Publisert: 14. november 2023

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt

Relevante kundeprosjekter

Dette leverer vi for våre kunder

Microsoft 365 Sikkerhet Datasenter

Å bygge for fremtiden: Hvorfor skytjenester var et naturlig valg for dette merkevarehuset

CEG så tidlig at det å leie eller kjøpe tjenester fra leverandører var mer kostnadseffektivt, og det var en bonus at andre kunne ta seg av driften.

Bilde av 4 personer som sitter forsann en laptop

Microsoft 365 Sikkerhet Brukersupport

Regnkapsbyrå i vekst med behov for en skalerbar og sikker IT-løsning

Uten egen IT-ansvarlig var det viktig å ha en partner som kunne gi kloke anbefalinger, god brukersupport og som kunne hjelpe med en skalerbar og sikker IT-løsning rigget for vekst.

Brukersupport Microsoft 365

Rekrutteringsaktør med behov for brukersupport

Poolia er en nordisk bemannings -og rekrutteringsaktør med over 50 kontorer i Norden. De har fått en moderne IT-plattform med fokus på brukervennlighet.

Mer fra fagbloggen

Få faglig påfyll og bli inspirert!

Sikkerhet

DMARC - Hvorfor dette er viktig?

I sin kjerne sørger DMARC for at e-poster som du sender bærer autoritet og Integritet ovenfor den du sender e-post til.

Niklas Christensen, IT-rådgiver

18. juni 2024

Sikkerhet Microsoft 365

10 måter du kan beskytte bedriften på

Microsoft 365 Business Basic, Standard og Premium tilbyr et robust forsvar mot digitale trusler.

Trine Gutubakken, Markedskoordinator

11. juni 2024

Microsoft 365 Copilot

Webinar: Kort introduksjon til Microsoft 365 Copilot

Webinar om Microsoft 365 Copilot - blant annet om hvordan du kan bruke Copilot i din arbeidshverdag, samt hvordan det kan forbedre din daglige arbeidsflyt.

Trine Gutubakken, Markedskoordinator

28. mai 2024