Insider Threat Summit 2024 – Evidensbaserad insiderprevention och fokus på samspelet mellan människa och teknik

Konferensen innehöll både presentationer från talare som representerar såväl amerikanska myndigheter som olika tech-företag med tillhörande lösningar och pauser med chans för mingel och nätverkande.

Trots en försiktighet i att dela med sig av egna erfarenhet och knyta kontakter som (åtminstone på hemmaplan) generellt präglar säkerhetsbranschen, upplevde våra medarbetare detta ”community” som inkluderande.

Utöver kunskapsinhämtning i form av powerpointpresentationer, paneldiskussioner och frågestunder – samtalades det med flera av talarna och deltagarna. På så vis tog våra säkerhetsanalytiker tempen på hur stor diskrepansen är mellan det amerikanska, europeiska och nordiska sättet att ”paketera” insiderprevention.

En stor del av syftet med Insider Threat Summit är ju att försöka bryta ner barriärerna och våga utbyta information sinsemellan, ”kollegorna” i branschen.

Som enda svenskar och enda européer hade SRI något av en unik representation på plats, vilket kan bero på att såväl den nordiska som europeiska marknaden inte är lika mogen vad gäller att arbeta preventivt med att minska risken för insiderhandlingar – på ett konceptuellt sätt.

Skillnader inom insiderprevention mellan Sverige och USA

I USA är insiderprevention mer integrerat i olika verksamheters centrala funktioner och det finns betydligt mer forskning/vetenskap om och kring begreppet ”insider”. Vidare är man mer transparenta med metodiker, och myndigheterna i USA är mer effektiva i sin kommunikation och vägledning till verksamheter.

En stor utmaning som man dock verkar tampas med handlar bland annat om att få ”silos” inom organisationer att samarbeta mer, vilket kan speglas i det faktum att organisations- eller säkerhetskultur löpte som en röd tråd genom konferensen.

Några av de anledningar som gör att ”vi” ligger efter med ett skalbart och proportionerligt tillvägagångssätt kan handla om att USA är en stormakt och har en lång historia av att vara en rival till exempelvis Ryssland, Kina och är därför mer ”utsatt” – om vi talar specifikt om spioneri, sabotage, terroristbrott där det finns en statsaktör i bakgrunden.

Vidare kan det handla om legala skillnader så som dataskydd och integritet samt hur den svenska säkerhetsskyddslagen är utformad, jämfört med amerikansk motsvarighet.

I Sverige har vi även en diskrimineringslag att förhålla oss till. Och såväl arbetsrättsliga som arbetsmiljömässiga faktorer kan ha en inverkan på en verksamhets kultur och huruvida anställda känner tillit och lojalitet till sin arbetsgivare. Detta påverkar inte ”bara” risken för att utveckla insiders, utan även hur olika enheter är villiga att ”teama upp” samt hur villig personalen är att rapportera in incidenter till dessa.

Så, vad fick våra säkerhetsanalytiker med sig från Insider Threat Summit?

Några av de insikter som delas här är i form av citat från talare som de fann intressanta och som sammanfattar olika delar som är viktiga i ett insiderpreventivt arbete:  

”Every contact leaves a trace”

I all kontakt med det yttre lämnar människan spår. Det kan röra sig om ett fingeravtryck på ett glas, en ögonfrans på handfatskanten eller en inloggning i ett känsligt system.

När det kommer till såväl fysiska som digitala spår eller avtryck karaktäriseras varje organisations verksamhet av vissa förutsägbara mönster, så när vissa spår dyker upp på fel ställen och/eller vid märkliga tider blir dessa högst intressanta ur ett insiderperspektiv.

Personen som citat är hämtat från ägnar sig åt så kallade digitala vattenmärkningslösningar i form av osynliga identifikationsmarkörer som syftar till att möjliggöra spårning av bland annat läckta dokument online.

Kanske är denna form av lösning framtiden för att motverka insiderhandlingar relaterade till informationsläckor?

”We do not let people into our physical vault, so why do we let people into our data lake?”

För verksamheter är data motorn som driver avgörande beslut och ger bränsle till viktiga processer. Molnbaserade lagringar och SaaS-lösningar erbjuder idag en kombination av flexibilitet och skalbarhet, men varför lämna över sina uppgifter till någon annan?

Det finns övertygande skäl för verksamheter att vara försiktiga när de överväger migrering av sin data till andras datorer. Medan etablerade moln- och SaaS-leverantörer upprätthåller robusta säkerhetsåtgärder är andras datorer inte ogenomträngliga för dataintrång, obehörig åtkomst eller cyberattacker.

Och likaså kan det vara svårt att säkerställa att man efterlever dataskyddsbestämmelser samt den potentiella spridningen av data över olika geografiska platser (var och en styrd av sina egna unika regler) gör det än mer komplicerat.

Så borde inte en bättre lösning vara att (som organisation) antingen behålla sin data “på plats”, inom den egna infrastrukturen eller en kombination av bådadera?

Oavsett erbjuder detta flera fördelar i form av skärpta policyer för åtkomstkontroll, minskad  datamigreringskomplexitet, förbättrad datasäkerhet och snabbare åtkomst.  

Genom att ta dataskyddet dit verksamhetens data bor istället för att behöva flytta den, göra kopior av den eller bygga ännu en datasjö eller lager kan man säkert och kostnadseffektivt hantera de olika krav som kommer dataåtkomst – likt ett valv där man behöver hjälp från bankens egen, utbildade, personal att hämta ut sina värdesaker.

”Back to basics”

Jack Teixeira, den 22-åring som ligger bakom Pentagon-läckan, har nu dömts till över 16 års fängelse.

Han arbetade med cybersäkerhet vid en militär flygbas i Massachusetts och är ansvarig för en av de största läckorna av amerikanska försvarshemligheter i närtid. Kort handlar det om att han, under nattskift då flygbasen var lågt bemannad, skrev ut och smugglade med sig säkerhetsklassade dokument. Kartor, satellitbilder, underrättelser etc. om allierade till USA och Rysslands krig i Ukraina.

Andra anställda ska dock innan dess ha observerat att Teixeira hanterat säkerhetsklassade uppgifter på ett olämpligt sätt och ställt frågor baserade på hemligstämplad information under ett briefing-möte. Observationer om avvikande beteende som aldrig anmäldes.

Den föreläsare som tog upp Teixeira har god insyn i fallet, varför citatet lämpar sig särskilt väl i  sammanhanget. Ett citat som trycker på vikten av att få till grunderna i det insiderpreventiva arbetet rätt och inte bara luta sig framåt, stirra sig blind på nya tekniska lösningar, utan det behöver utvärderas regelbundet för att kunna identifiera nya “säkerhetsluckor”.

Och exemplet hänger väl samman med ”You can’t look at systems if you don’t look at humans, and you can’t look at humans if you don’t look at systems”.

Budskapet är att insiderprevention är multidisciplinärt och måste inkludera hela organisationen – från säkerhetsavdelningen till IT och HR – och en växelverkan däremellan måste beaktas.

”Never let an incident go to waste”

När vi tar del av nyhetsartiklar om insiders i media är det är inte ovanligt att det blir triumfen och lättnaden över att inte ha drabbats själva som får markera både början och slutet på den egna analysen. Detta är dock ett stort misstag.

Varje insider-relaterad händelse utgör en möjlighet till lärande, även när den inte drabbat den egna organisationen. Att ha en välfungerande lösning “idag” innebär inte nödvändigtvis att man har en välfungerande lösning “imorgon”.

Det är dessvärre inte bara vi som finner nya lösningar, även antagonister strävar efter att förbättra sina metoder. Men det är också viktigt att kunna sålla bland bruset och inte bygga sitt program på “ad hoc” incidenter för att på så vis undvika “fel-monitorering”.

Insiderprevention är därför inte en statisk engångslösning. För att bygga motståndskraft över tid måste vi nyttja varje tillfälle till lärande och kontinuerligt bevaka trender, kartlägga nya hot, risker och sårbarheter. Allt detta för att kunna stå rustade inför morgondagens hot.

Avslutande kommentarer

De viktigaste lärdomarna som våra säkerhetsanalytiker tog med sig är kommunikation är a och o i utvecklingen av och arbetet med insiderprevention som koncept – kommunikation och samarbete inom en verksamhet och bland personal och chefer. Det är i alla fall en start.

Hur enkel eller svår kommunikationen är har mycket att göra med hur mogen verksamheten är och hur utvecklad organisations- eller säkerhetskulturen är internt.

Vidare när man börjar fundera över och identifierar såväl säkerhetsluckor som lämpliga datainsamlingspunkter samt i syfte att försvara den kostnaden som kan krävas för detta i form av exempelvis utbildning och tekniska verktyg, bör mitigeringen av personal baseras på aktuell forskning/vetenskap på området. Och så klart, linjera med rådande lagar.

En del av detta kan även inkludera att samla och stapla insiderfall på hög och lära sig mer om modus operandi och hur dessa kan skifta över tid. För vad som utgör ett riskbeteende ”idag” behöver inte vara detsamma ”imorgon”, därför måste även verksamheter och organisationer vara dynamiska här och ständigt anpassa sig.

Vad händer härnäst?

Som tidigare nämnts så lägger vi på SRI mycket fokus på insiderhotet och insiderprevention i år och just nu produceras en hel del material, verktyg, metodik och liknande bakom kulisserna. Vi berättar självklart mer om detta när tiden är mogen.

Det vi däremot stolt kan berätta redan nu är att en av de mest prominenta föreläsarna på Insider Threat Summit, Dr. Eric Lang från organisationen PERSEREC som är en del av amerikanska Department of Defense, kommer att föreläsa om evidensbaserad insiderprevention och kopplingen till organisationskultur på SRI:s stora event SRI Summit i september.

Programmet till SRI Summit färdigställs just nu och mer information kommer inom kort – men du som är intresserad kan läsa mer och boka din plats här.