Wat is de relatie tussen insider threat en ondermijning? En kan een veiligheidsonderzoek zoals een pre-employment screening insider threat of ondermijning voorkomen?
Er bestaan een aantal belangrijke verschillen tussen de fenomenen Insider threat en ondermijning. Maar er zijn ook (zichtbare) overeenkomsten. Belangrijkste verschillen zijn natuurlijk de achterliggende filosofieën van de fenomenen. Insider threat is gebaseerd op het MICE-protocol terwijl ondermijning geargumenteerd is op basis van het model van Lupsha.
Het fenomeen Insider threat
Het MICE-protocol is voor bijna iedereen wel duidelijk.
Daar waar het insider threat betreft, is de mens - feitelijk - altijd de zwakste schakel. Zelfs bij cybersecurity-incidenten wordt één op vijf veroorzaakt door mensen binnen de organisatie.
De wetenschap onderkent drie soorten categorieën:
- Kwaadwillende insiders.
- Nalatige insiders.
- Infiltranten.
Het is lastig de motivatie van kwaadwillende insiders te begrijpen. Ze handelen tegen de organisatie waar zij een deel van zijn (of waren) en handelen daarmee indirect tegen hun eigen belang.
Het MICE-protocol maakt een belangrijk onderdeel uit bij het voorkomen van (bedrijfs)spionage en schuurt indirect aan tegen het fenomeen ondermijning als specifieke social engineeringstechnieken worden ingezet.
Het probleem bij insider threat zit hem vooral in de vaak grote financiële gevolgen van het verlies van de kroonjuwelen of essentiële geheime bedrijfsinformatie zoals:
1. Informatie of apparatuur die niet verloren mag gaan. Denk hierbij onder andere aan:
- Fysieke opslag van hardcopy documenten.
- Bestanden en digitale dataopslag.
- Microfiches en harddisks.
2. Informatie of een portfolio wat een hoge waarde vertegenwoordigt. Bijvoorbeeld:
- Klantenbestand,
- Intellectueel eigendom.
- Prijscalculaties & offertes.
3. Informatie die naast strategisch ook een concurrerend voordeel kan bieden. Informatie die in verkeerde handen riskant of gevaarlijk is. Zoals:
- Geclassificeerde of gerubriceerde documenten.
- Compromittatie van beveiligingsplannen.
- Personeelsgegevens/dossiers met BSN-nummers.
Het fenomeen Ondermijning
Inhoudelijk illustreert het model van Lupsha dat ondermijnende criminaliteit ook kan voorzien in (basis) behoeften en dus niet altijd en overal door iedereen als onwenselijk wordt gezien. Verder laat het model zien waarom deze vorm van criminaliteit ondermijnend is: de verschuiving van macht en invloed van legale naar criminele mechanismen en structuren.
Door deze verschuiving van de macht en invloed van legale naar criminele mechanismen en structuren kunnen criminele organisaties hun kroonjuwelen (drugs) beheren en deze vervolgens veiligstellen. Het probleem bij ondermijning zit hem vooral in de financiële gevolgen die raken aan de kroonjuwelen van criminele organisaties zoals bij de cocaïnetransporten via zeehavens.
Het effect daarvan is goed waarneembaar en heeft zijn weerslag in de beheersbaarheid van bijvoorbeeld de logistieke processen door criminele organisaties in een zeehaven. Dit wordt bereikt door de juiste man/vrouw op de juiste plaats te laten infiltreren door sollicitatie voor een bepaalde vacature. Of via chantage van een functionaris binnen de gewenste organisatie.
Hierbij speelt MICE-protocol voor insider threat ook een belangrijke rol. Grote criminele organisaties zijn m.b.t. tot onderzoek vergelijkbaar met inlichtingendiensten en doen veelal hun werk grondig.
Bijvoorbeeld: een spectrum analyse middels osint naar de mogelijk te benaderen functionarissen binnen een bedrijf of organisatie kan daarbij een belangrijk onderdeel van uitmaken. Zo worden vaak de juiste medewerkers gevonden en geselecteerd die noodzakelijk zijn voor het uitvoeren van de ‘criminele diensten of handelingen’. De gebruikte social engineeringstechnieken richting ‘de gewenste kandidaat’ leiden veelal tot het ontvangen van geld, het uit wraak meewerken of tot chantage nadat betrokkene is bedreigd.
Het veiligheidsonderzoek
Door directeuren van beveiligingsbedrijven is al meerdere keren op het internet geuit dat veiligheidsonderzoeken de dreiging van insider threat en ondermijning kunnen keren. Zij zijn daarvan overtuigt te meer daar vaak hun eigen personeel betrokken is bij ondermijning. Dat laatste gebeurt vaak in de vorm van een medewerker die als infiltrant optreedt t.b.v. de criminele organisatie.
Gelet op mijn ervaring kijk ik t.a.v. veiligheidsonderzoeken daar toch wat genuanceerder tegenaan. Het uitvoeren van een veiligheidsonderzoek c.q. pre-employment screening wordt vaak door voorstanders gehanteerd als een soort wondermiddel dat waarborgt dat enkel betrouwbare personen worden tewerkgesteld of kunnen worden toegelaten tot beperkt toegankelijke (civiele) gebieden.
Uit ervaring weet de auteur dat het belang van een veiligheidsonderzoek of screening niet onderschat mag worden. Maar bij een positieve uitkomst en dus tewerkstelling mag het resultaat ook zeker niet overschat worden. Een veiligheidsonderzoek of screening blijft slechts een momentopname, en de betrouwbaarheid van de betreffende functionaris kan omwille van verschillende redenen veranderen gedurende de tewerkstelling. Daarnaast kennen veiligheidsonderzoeken of pre-employment screeningen niet dezelfde onderzoeks diepten. Er zijn namelijk zowel bij de overheid als in de civiele wereld behoorlijke verschillen. Indien de hoogte van elk veiligheids- of pre-employement onderzoek gelijk zou zijn aan het hoogst haalbare voor betrouwbaarheid en integriteit dan is het uitvoeren van deze veiligheids- en pre-employment onderzoeken om insider threat of ondermijning een onbetaalbare missie geworden.
Resumerend
Regelmatig blijkt dat buitenstaanders grote interesse hebben in uw essentiële informatie of materiële goederen. Ook uw organisatie beschikt immers over informatie die u niet wil delen met onbevoegden. Insider threat op basis van het MICE-protocol komt dan ook voor in alle lagen van onze organisatorische samenleving, maar in het bijzonder ook daar waar actieve ondermijning zichtbaar gaande is. Zichtbaar bij insider threat zijn indicatoren die gerelateerd zijn aan gedrag, situaties en gebeurtenissen die herleidbaar zijn naar een bewezen modus operandi bij insider threat zoals levensstijl en gedrag op de werkvloer. De schade bij insider threat is in de regel groot door verlies van bijvoorbeeld intellectueel eigendom of door het oplopen van imago schade waardoor reputatieverlies op de loer ligt. Veiligheidsbewustzijn op het gebied van insider threat is dus primair gericht op het proactief beschermen van de kroonjuwelen of gevoelige informatie van organisaties.
De criminele dienstverleningen en handelingen als gevolg van ondermijning variëren van toegangsverlening tot een object of beperkt toegankelijk gebied, het oneigenlijk gebruik van persoonlijke toegangspassen of het ondersteunen van de criminele organisatie in ruime zin van het woord, of het geven van tips en/of het leveren van geclassificeerde of gevoelige informatie. Daar waar dus veel ondermijning zichtbaar is, zijn veelal andere functionarissen betrokken die zich heimelijk bezighouden met het voeden van de criminele organisatie en dus het leveren van ‘criminele diensten of handelingen’. Ook hier is sprake van zichtbaar gedrag, situatie en gebeurtenissen die in relatie staan met de modus operandi van insider threat.
Een veiligheidsonderzoek of pre-employment screening is in de regel voldoende. Een VOG dekt de lading voor betrouwbaarheid in Nederland in zijn geheel niet!
Als de wil er is, kan een rigide veiligheidsbeleid voor nieuw en bestaand personeel, leveranciers, chauffeurs etc. wel tot aanzienlijke verbeteringen leiden door proactief gedrag te scannen. En daarmee start je tijdens de sollicitatie en het sollicitatie gesprek.
Geoptimaliseerd veiligheidsbewustzijn
Het verhogen van geoptimaliseerd veiligheidsbewustzijn en het actief (in)voeren van intern beleid voor (anonieme) rapportage van incidenten binnen een organisatie zijn oplossingen die langdurig kunnen werken om schade door insider threat en ondermijning te kunnen voorkomen.
Zowel werknemers als werkgevers hebben beide een prominente rol in de bescherming van hun bedrijf of organisatie tegen interne en externe dreigingen. Wie meer veiligheidsbewustzijn creëert rond deze problematiek door het bestaan van interne en externe dreigingen onder ogen te willen zien en niet af te doen als een ver-van-ons-bed-show voorkomt veel ellende.
Veiligheidsbewuste werknemers kunnen proactief optreden als eerste verdedigingslinie door de signalen op te merken en deze te rapporteren bij de werkgever. De werkgever kan op zijn beurt meer sturing geven d.m.v. beleid en tegelijk zijn verantwoordelijkheid nemen op deze signalen.
Interesse in een proactieve training of insider threat kijk dan op: TrioSecurity of Secprevent