Master thesis
De beheersing van IT operationele dreigingen komende van binnenuit de organisatie.
“Keeping the insiders out”
Een literatuuronderzoek door
Leo de Vries
University of Groningen, Faculty of Economics and Business
Master of Science 19 juni 2018
Groningen
Studiebegeleider: prof. dr. D.M. Swagerman Tweede beoordelaar: dr. J.S. Gusc
studentnumber: S2088258
Voorwoord
Door een ongelukkige samenloop van omstandigheden bleek het niet mogelijk om mijn case study onderzoek, waarin ik data zou gebruiken van de verzekeraar waar ik werkzaam ben, af te ronden. Na overleg met mijn begeleider, Prof. Dr. Swagerman, is de programmaleiding van het AOG verzocht in te stemmen met de probleemstelling van het onderzoek waarover in deze
afstudeerscriptie verslag wordt gedaan. De programmaleiding van het AOG heeft haar goedkeuring gegeven aan een literatuuronderzoek, met een methodologie gericht op het minimaliseren van selectiebias (interne validiteit) en het optimaliseren van de reproduceerbaarheid (externe validiteit) van het onderzoek.
Het onderzoeksgebied ligt dichtbij de oorspronkelijke afstudeerscriptie en dichtbij het werkveld van de onderzoeker. Het onderwerp van de oorspronkelijke afstudeerscriptie betrof een onderzoek naar de mogelijke relatie tussen de kwaliteit van de business software en de daaruit voortkomende incidenten binnen de onderneming. De onderzoeker zelf heeft ruim 25 jaar ervaring in het IT werkveld, op verschillende managementniveaus binnen de organisatie en binnen
verschillende disciplines. Het voorkomen van dreigingen van binnenuit de organisatie neemt hierbij een prominente plaats in. Als laatste kan hier nog aan worden toegevoegd dat 2018 het laatste jaar is waarbinnen de leergang Msc BA via het AOG kan worden afgerond.
Dankwoord
Mijn speciale dank gaat uit naar Prof. Dr. Dirk Swagerman, die op een voor hem
kenmerkende manier de druk erop hield en het tempo behoorlijk hoog heeft gehouden. Mijn vrouw Sonja, mijn studiemaatje Arnold, Berry en Ronald wil ik bedanken voor hun motiverende gesprekken die ik soms erg hard nodig had en als laatste, niet te vergeten Marieke.
Samenvatting
De dreiging die voortkomt uit interne medewerkers in dienst bij commerciële instellingen, instanties en overheidsorganisaties is een van de grootste dreigingen ooit. Recente onderzoeken ondersteunen ondubbelzinnig het belang van deze dreiging binnen ondernemingen heden ten dage.
Uitgevoerde aanvallen leggen organisaties stil, tasten de productiviteit aan en beschadigen de reputatie van een onderneming. Aan de basis van dit probleem staat de vertrouwde medewerker die legitiem toegang heeft tot een breed scala aan informatie binnen de onderneming en bekend is met de processen binnen de organisatie. De bestrijding van deze dreiging begon met bewustmaking , opleidingen, etc., maar al snel werden software ondersteunende toepassingen met op rollen en rechten gebaseerde uitgangspunten ingezet om ongeoorloofd gebruik tegen te gaan. De toenemende mate waarin organisaties gebruik maken van IT-technologische toepassingen
resulteerde erin dat zonder technologische hulpmiddelen de dreiging onvoldoende onder controle kon worden gebracht.
De bestrijding van deze dreiging werd in eerste instantie aangepakt met dezelfde
technologische oplossingen als voor dreigingen van buitenaf. Echter, de homogene stroom aan data vanuit extern dataverkeer is volledig anders dan het heterogene dataverkeer binnen een organisatie.
Dit leidde al vrij snel tot aanpassingen aan bestaande technologische oplossingen. De komst van moderne technologieën (data mining, machine learning, fuzzy logic etc.) heeft het toepassingbereik van de bestaande technologieën behoorlijk vergroot, en de effectiviteit verbeterd. Het voorspellen van menselijk handelen dat zou kunnen leiden tot een dreiging is een veel gezien onderzoeksgebied.
Dit brengt een combinatie van technologische oplossingen met zich mee waar menselijke en psychosociale factoren een rol spelen. Er ontstaat een combinatie van technologische oplossingen met gedragstheorieën, waardoor het mogelijk wordt om technische, organisatorische en
gedragsaspecten een rol van betekenis te laten spelen bij het voorspellen en voorkomen van
dreigingen van binnenuit. Game theorie is een van de veel gebruikte toepassingen in combinatie met data mining. Ook worden er uitstapjes gemaakt naar sociale media om met behulp van deze content gedragsvoorspellingen te kunnen doen, die aanleiding kunnen zijn voor verhoogde waakzaamheid rondom het handelen van een medewerker. De conclusie van het onderzoek is dat er een aantal kanttekeningen zijn te plaatsen bij het gebruik van verschillende technologische toepassingen en dat de komst van nieuwe technologieën nieuwe uitdagingen met zich meebrengt. De dreigingen blijven zich ontwikkelen, evenals de technologische oplossingen om ze te voorspellen en voor te blijven.
Inhoud
Voorwoord ... 3
Dankwoord ... 3
Samenvatting ... 5
Inhoud ... 7
1. Inleiding ... 9
2. Operational risk ... 11
2.1 IT operational risk ... 12
3. Insider threats ... 15
3.1 Taxonomie ... 15
3.2 Framework ... 15
4. Literatuurselectie ... 19
4.1 Categorisatie literatuur. ... 21
5. State of the art ... 23
5.1 Overige technieken ... 24
Sociale media ... 24
Graph-based ... 25
Gaming theory ... 25
Toekomstige ontwikkelingen ... 29
5.2 Overige ontwikkelingen ... 30
6. Conclusie ... 31
6.1 Aanbevelingen ... 33
Bijlagen ... 35
Referenties ... 41
1. Inleiding
Een van de conclusies die na de financiële crisis van 2008 werden getrokken was dat er vóór de crisis onvoldoende aandacht was geweest voor operationeel risico management, wat de
instabiliteit van veel financiële instellingen tot gevolg had. Deze conclusie leidde tot een massale stroom van onderzoek naar operationele risico’s binnen financiële instellingen, vaak vanuit financieel oogpunt bekeken. De mondiale financiële toezichthouders hadden met de komst van het Basel Committee on Banking Supervision (BCBS) een financieel framework opgesteld dat bedoeld was om de supervisie en rapportages eenduidig vast te leggen. Uiteindelijk leidde Basel II tot de expliciete behandeling van operationele risico’s binnen financiële instellingen in de vorm van enterprise risk management.
Voor financiële instellingen bestaat Enterprise Risk Management (ERM) in de hoofdlijnen uit drie componenten, namelijk: (i) credit risk management (CRM), (ii) market risk management (MRM) en (iii) operational risk management (ORM). Volgens de BCBS (2006, p144) kan CRM worden
gedefinieerd als: “the potential that a contractual party will fail to meet its obligations in accordance with the agreed terms.” De definitie van MRM luidt: “It is primarily concerned with describing uncertainty about prices or returns due to market movements.”
ORM ontstond in de jaren 90 in de context van een opeenstapeling van verliezen,
veroorzaakt door zowel misbruik van de toegang tot—en falende controles rondom—financiële IT- systemen. De definitie van ORM is volgens het BCBS (2006, p144): “the risk of loss resulting from (i) inadequate or failing internal processes, (ii) incompetent people and inadequate systems or (iii) as a result from external events.” Binnen deze definitie wordt duidelijk zichtbaar dat er sprake is van interne en externe dreigingen. In de literatuur worden deze risico’s ook wel “insider threats” en
“outsider threats” genoemd, vanwege hun aard.
Een insider is in het kader van een zakelijk proces iets geheel anders dan in het kader van een bedreiging. Onder het eerste wordt verstaan: “a person that has been legitimately empowered with the right to access, represent or decide about one or more assets of the organization’s
infrastructure” (Van der Sype et al, 2017). Het tweede is echter: “an individual insider who misuses authorised access to the organization’s infrastructure” (Van der Sype et al, 2017)
De moderne mondiale economie, technologische infrastructuur, en sociaal-culturele ontwikkelingen dragen allemaal bij aan een toename van de turbulentie en dynamiek waar een organisatie mee te maken krijgt. Deze toename stelt hoge eisen aan de gebruikte
informatiesystemen, die in dit speelveld op een mondiale schaal onderling verbonden worden.
10
Steeds vaker worden geautomatiseerde processen gebruikt om diensten te leveren en treden er door het grootschalige gebruik van het internet kwetsbaarheden op binnen deze systemen. Dit
toenemend aantal technologische ontwikkelingen brengt ook andere risico’s met zich mee, die in de literatuur “outsider threats” worden genoemd. Onder “outsider” wordt hier verstaan: “a person that has not been legitimately empowered with the right to access any of the organization’s
infrastructure.” Een outsider threat bestaat uit: “an individual outsider who misuses authorised access to the organization’s infrastructure.” Iemand die rechtmatig bij de kas mag komen van de organisatie is een potentiële bedreiging; iemand die van buitenaf inbreekt in de kas is een crimineel.
Het maakt daarom een groot verschil of iemand de rechtmatige toestemming van de organisatie misbruikt, of dat deze persoon haar zwakke beveiliging misbruikt, zonder dat er enige vorm van rechtmatigheid is voorzien door de betreffende organisatie.
Het doel van deze thesis is om via een systematische beoordeling van de state-of-the-art literatuur over de financiële sector uit de tijdsperiode 2008–2018 vast te stellen wat er te vinden is over de beheersing van maatregelen of het management van “insider threats”. In het bijzonder wordt hierbij gekeken naar de anomaly-based en machine learning-based toepassingen. Hiervoor is de volgende vraagstelling geformuleerd:
Welke state-of-the-art beheersmaatregelen worden er toegepast om het risico van “insider threats” te verkleinen?
Vanuit praktisch oogpunt is het relevant om te weten welke beheersmaatregelen zijn onderzocht en wat de toepasbaarheid is van deze beheersmaatregelen. De relevantie van het onderwerp is groot, daar “insider threats” een van de grootste bedreigingen vormen in een door IT gedomineerd zakelijk landschap.
In het volgende hoofdstuk wordt nader ingegaan op de definitie van Operational Risk volgens het BCBS, om vervolgens te komen tot de definitie van IT Operational Risk en de daarbinnen vallende kenmerken van “insider threats”. De literatuurselectie zal specifiek ingaan op een combinatie van technologische hulpmiddelen die een mogelijke dreiging kunnen voorspellen om deze vroegtijdig te voorkomen.
2. Operational risk
Het (BCBS) definieert operational risk als: “the risk of loss resulting from inadequate or failed internal processes, people and systems, or from external resources” (BCBS, 2006, p. 144). Wat hier direct opvalt is dat operational risk het enige risico is wat binnen het BCBS gedefinieerd is; de andere vormen van risico (credit risk en market risk) zijn dit niet. Het BCBS onderscheidt zeven
subcategorieën van operationele risico’s: “internal fraud”, “external fraud”, “employment practices and workplace safety”, “clients, products and business practices”, “damage to physical assets”,
“business disruption and system failure” en, als laatste, “execution, delivery and process management”. In bijlage 1 worden de zeven subcategorieën nader globaal toegelicht.
De hoofddoelstelling van het BCBS was en is om financiële stabiliteit in financiële ondernemingen te bewerkstelligen. Ondanks al deze maatregelen blijken de operationele risico- systemen van financiële instellingen kwetsbaar te zijn. Dat bleek uit de grote verliezen tijdens de onderzoeksperiode die Lloyds, Barclays, Madoff, en de Rabobank leden, ter hoogte van
respectievelijk 5,9 miljard, 4 miljard, 17 miljard en 1 miljard euro. In hun onderzoek geven Croy en Laux (2008) aan dat circa 40 procent van alle ondernemingen die zijn blootgesteld aan zeer ernstige, operationele risico’s daar catastrofaal onder hebben geleden, en na drie tot vijf jaar niet meer bestaan. Van een veel grotere omvang in aantal zijn de niet-catastrofale operationele risico’s binnen grote, internationale financiële instellingen. Zij ervaren jaarlijks 50 tot 100 operationele risico’s, met een verlies van 1 miljoen euro per gebeurtenis.
De trend richting een nog grotere afhankelijkheid van technologische oplossingen en de concurrentiestrijd op wereldniveau leiden tot een grotere blootstelling aan operational risk. Buchelt en Unteregger (2004) geven aan dat de potentie van operational risk vele malen groter is geworden dan dat van de altijd al aanwezige andere vormen van risico’s, en dat dit veroorzaakt wordt door technologische ontwikkelingen. Traditioneel waren credit risk en market risk leidend voor financiële instellingen, maar deze zijn voorbijgestreefd door operational risk vanwege de sterke toename van nieuwe producten en diensten die afhankelijk zijn van technologische oplossingen.
Het risicokader van het BCBS bevat drie pilaren, die in hoofdlijnen bestaan uit de
aandachtsgebieden estimation, model/concept en theoretical/empirical. Meer dan de helft van de wetenschappelijke artikelen die over het onderwerp verschenen tijdens de onderzoeksperiode hebben betrekking op het eerste aandachtsgebied, te weten estimation. Het BCBS biedt drie
modellen om de vereiste kapitaalbehoefte te bepalen teneinde het risico van operationeel verlies af te dekken: de Basic Indicator Approach (BIA), de Standardised Approach (TSA) en de Advanced
12
Measurement Approach (AMA). Grote (internationale) financiële instellingen worden verplicht om de AMA te gebruiken en moeten daarvoor vier verschillende datasets aanleveren, te weten: “internal loss”, “external loss”, “scenario analyses” en “business environment and internal control factors”
(BEICF). In bijlage 2 worden de drie modellen voor het bepalen van de kapitaalbehoefte kort toegelicht.
2.1 IT operational risk
Information Technology (IT-)systemen zijn dermate geïntegreerd in zakelijke processen dat het falen van IT-systemen organisaties blootstelt aan significante economische verliezen.
Operationele risico’s als gevolg van IT zijn terug te vinden in alle zeven de subcategorieën van operational risk zoals gedefinieerd binnen het BCBS. Dat is niet verbazingwekkend, omdat financiële instellingen al sinds de jaren 90 in de top-10 staan wat betreft het toepassen van IT in zakelijke toepassingen (Triplett & Bosworth, 2002).
IT operational risk is een gespecialiseerde subgroep van operational risk en concentreert zich rond het potentieel falen van operationele IT-systemen en/of zakelijke processen die hiermee ondersteund worden (Goldstein, Chernobai, & Benaroch, 2011). IT operational risk is een
manifestatie van een gebrek aan interne controle (Chernobai, Jorion & Yu, 2011) of het gevolg van een slecht intern controlemilieu (Anthony, Choi, & Grabski, 2006). Het komt voort uit het falen van operationele IT-systemen (software, hardware, netwerken, gebruikers etc.) en/of de data die deze systemen verwerken, vastleggen, transporteren en bewaken (Markus, 2000).
Da Veiga en Eloff (2010) definieerden eerder het begrip “system risk” als onzekerheid gerelateerd aan het gebruik van op computers gebaseerde systemen. Dit komt overeen met de definities zoals die gebruikt worden binnen het Confidentiality-Integrity-Availability (CIA-)kader. Het CIA-kader wordt binnen een organisatie ingezet als benchmark om te onderzoeken hoe het is gesteld met de veiligheid van de data en informatiedragers in het kader van de betrouwbaarheid, integriteit en beschikbaarheid van gegevens (Kannan, Rees, & Sridhar, 2007). Naast het CIA-kader bestaan er nog diverse andere frameworks voor interne controle, die veel gebruikt worden. In bijlage 3 staat een korte uiteenzetting van de meest gebruikte kaders.
Confidentiality is de garantie dat data en IT-infrastructuur alleen gebruikt kunnen worden door bevoegde personen, systemen en organisaties. Confidentiality-gerelateerde risico’s bestaan typisch uit handelingen die afbreuk doen aan de vertrouwelijkheid van de organisatie’s eigen en/of gepatenteerde gegevens en privacygevoelige data. De dreiging komt voort uit onrechtmatige handelingen door phishing attacks, hackers attacks, misbruik van de toegang tot een IT-systeem en het onrechtmatig versturen van bedrijfsgevoelige data via email. Ook onbedoelde handelingen vallen
hieronder, zoals het verlies van een PC of USB-stick, het plaatsen van onjuiste informatie op een website of het verlies van een print-out met gevoelige data.
Integrity is de garantie dat IT-assets (inclusief data, transactiepartijen en informatiestromen) authentiek (betrouwbaar) en juist zijn. Dreigingen bij dit type risico zijn onder meer het per ongeluk of doelbewust verwijderen van een database, computervirussen en “worms” die gegevens
versleutelen waardoor ze onbereikbaar worden, het onjuist invullen van persoonlijke gegevens, en niet-juiste of niet volledig ontwikkelde software voor de ondersteuning van zakelijke processen.
Availability is de garantie dat IT-assets tijdig en volgens afspraak geleverd worden aan bevoegde personen, systemen en organisaties. Availability-gerelateerde risico’s doen zich voor als IT- assets niet beschikbaar zijn. Dit kan veroorzaakt worden door kwaadwillende indringers, die ervoor zorgen dat de beschikbaarheid volledig ontregeld of sterk verminderd wordt. Voorbeelden hiervan zijn de Distributed-Denial-of-Service (DDOS-)aanvallen en problemen van technische aard, zoals het falen van hardware, netwerkstoringen, stroomonderbrekingen en menselijke fouten.
Voor dreigingen die voortkomen uit de bovenstaande drie risicocategorieën kan bekeken worden of zij van binnenuit de organisatie komen of van buitenaf. Dreigingen van binnenuit worden ook wel “insider threats” genoemd, en dreigingen van buitenaf “outsider threats”. Deze dreigingen hebben een verschillende achtergrond en komen voort uit verschillende motivaties. In een
taxonomie ontwikkeld door Loch, Carr en Warketin (1992) wordt er onderscheid gemaakt tussen een viertal dimensies: externe dreigingen (menselijk en niet-menselijk) en interne dreigingen (menselijk en niet-menselijk). In hetzelfde framework wordt ook onderscheid gemaakt tussen de aanleiding van de dreiging: is er sprake van opzet of is er sprake van een ongeluk? Het individu binnen de
organisatie, die beschouwd wordt als “trusted agent”en werkt achter de firewall, is de belangrijkste dreiging van allemaal (Im & Baskerville, 2005) (Stanton, Stam, Mastrangelo, & Jolton, 2005)
(Warkentin & Willison, 2009). Dit individu met een geldige username en password werkt op reguliere basis samen met de “information assets” van de organisatie en wordt ook wel het “endpoint security problem” genoemd. Gekscherend wordt de zwakste schakel in de netwerk security problematiek ook wel omschreven als “tussen de stoel en het toetsenbord”. In dat kader werd er naar literatuur gezocht om de ontwikkelingen op dit gebied in kaart te brengen.
3. Insider threats
De bedreigingen die “insiders” vormen voor commerciële ondernemingen, instanties en overheidsinstellingen blijven een belangrijk punt binnen het aandachtsgebied van ORM. De grote mate van aandacht voor dit gebied in de wetenschappelijke literatuur onderschrijft dit en bevestigt de relevantie van het onderwerp. Het wordt ook beschouwd als één van de lastigste problemen om aan te pakken, omdat een “insider” een ongekende hoeveelheid aan informatie tot haar/zijn beschikking heeft en bevoegd is werkzaamheden uit te voeren binnen een onderneming, in tegenstelling tot een externe “hacker”. Uit de hoeveelheid beschikbare literatuur valt op te maken dat er diepgaande discussies plaatsvinden over wat “insider threats” inhouden. De discussie gaat over welke menselijke en psychologische factoren een rol spelen en hoe bedreigingen kunnen worden voorspeld, ontdekt en effectief aangepakt, met gebruikmaking van technologische hulpmiddelen en gedragsanalyse.
3.1 Taxonomie
Er zijn vele definities van “insider threats”. Om het mogelijk te maken “insiders” en “insider threats” organisatieoverstijgend te identificeren is het noodzakelijk om een effectieve taxonomie ter beschikking te hebben. Een taxonomie maakt het mogelijk om verschillende types “insiders” en
“insider threats” te onderscheiden en te bepalen welke aspecten bepalend zijn voor het verschil.
Predd et al. (2008) hanteren een holistische definitie van “insider threats”, geformuleerd op basis van vier perspectieven, namelijk het individu, de organisatie, de informatiesystemen en de
omgeving. Bishop et al. (2009) doen dit op basis van de mate van “insiderness”, welke bestaat uit een combinatie van middelen en toegang tot deze middelen.
3.2 Framework
Nurse et al. (2014) hebben een uniform kader ontwikkeld dat gebruikt kan worden om
“insider attacks” te karakteriseren, een sneller begrip van het probleem te verkrijgen, en aan te geven uit welke componenten het bestaat en op welke wijze deze aan elkaar gerelateerd zijn. Een
“insider” is vandaag de dag niet alleen een medewerker die in dienst is (geweest), maar ook iemand die is ingehuurd, of een “trusted third party” (Cappelli, Moore, & Trzeciak, 2012). In het kader staan twee typen “insider threats” centraal, te weten de kwaadwillende pleger en de toevallige pleger. De kwaadwillende medewerker misbruikt haar of zijn rechten doelbewust om een negatieve impact te hebben op de vertrouwelijkheid van stukken, de integriteit, en de beschikbaarheid van
informatiesystemen van de organisatie. De toevallige pleger van schade is de meest voorkomende vorm.
16
Het framework bestaat uit vier aandachtsgebieden, namelijk de aanleiding, de kenmerken van de pleger, de kenmerken van de aanval, en de kenmerken van de organisatie. Om de reden dat iemand een aanval uitvoert goed te kunnen begrijpen, is het van belang om zicht te hebben op het gedrag en de psychologische persoonlijkheidsaspecten van de pleger. Dit zijn de “key initial factors”
welke verklaren waarom iemand de neiging heeft om een aanval uit te voeren. Recentelijk is hier veel onderzoek naar gedaan, terwijl dit in de beginperiode nog een ondergeschoven kindje was (Greitzer & Hohimer, 2011).
De gebeurtenis die aan het feit (de schadelijke handeling voor de onderneming) voorafgaat is de aanleiding, welke het vermogen heeft om de potentiële pleger net dat zetje te geven waardoor zij of hij daadwerkelijk een pleger wordt. Deze term werd voor het eerst gebruikt in een onderzoek van Moore, Cappelli, en Trzeciak (2008) en wordt daar “precipitating event” genoemd, en terloops ook aangeduid met “tipping point” (Claycomb et al., 2012), wat het kantelpunt aangeeft. Aanleidingen die hierbij vaak naar voren komen zijn onder meer: ontslag, scheiding, demotie, gezondheid, en gebrek aan training. Uit onderzoek blijkt dat een feitelijke aanleiding niet noodzakelijkerwijs plaats heeft moeten vinden, maar dat de perceptie van een aanleiding of geruchten erover soms voldoende zijn om als trigger te fungeren (Martinko, Gundlach, & Douglas, 2002).
Bij de persoonskenmerken staat centraal hoe individuen denken en handelen. Deze bepalen daarbij voor een groot deel of een medewerker betrokken kan raken bij het maken van
kwaadwillende plannen. Een analyse van de gedragsgeschiedenis kan mede verklaren waarom iemand een pleger wordt. De emotionele en psychologische mentaliteit van de medewerker maakt ook onderdeel uit van het framework.
Om de motivatie van een dader te verklaren, wordt in het framework teruggevallen op bestaande literatuur, en worden algemeen erkende categorieën gebruikt. De motivatie kan bestaan uit: financieel gewin, politieke doelen, wraak, plezier, macht, onderscheidend voordeel, of erkenning binnen een groep gelijken (Jones & Ashenden, 2005).
De “skill-set” van een medewerker omvat de capaciteiten en het vermogen om een aanval uit te voeren. De gevonden state-of-the-art literatuur geeft een beeld van de onderzoeken die zijn uitgevoerd op het gebied van insider threats, waarbij het menselijk gedrag, in combinatie met een technologische oplossing, bepalend is geweest. Hierbij wordt menselijk gedrag vertaald in het handelen van de mens, om vast te kunnen stellen of er sprake is van afwijkend handelen in een bepaalde context.
Qua technologie worden alle artikelen geplaatst in de categorie anomaly-based systemen, die samen met de signature-based systemen de twee hoofdstromingen vormen. Signature-based
systemen zoeken naar patronen (“signatures”) in de te analyseren data. Hiervoor zijn de reeds bekende patronen vastgelegd in een database. Anomaly-based systemen proberen het normale gedrag van een systeem vast te stellen en genereren een melding als de afwijking tussen het normale gedrag en de te observeren instantie een bepaalde drempelwaarde overschrijdt. Het verschil in beide methodologieën is inherent aan de concepten die eraan ten grondslag liggen, namelijk of er sprake is van een aanval of van afwijkend gedrag. Een aanval is een sequentie van handelingen waardoor een beveiligingssysteem in gevaar komt, en afwijkend gedrag is een waarneming die verdacht is in het kader van een beveiligingssysteem (Gabrielson, 2006).
De anomaly-based systemen zijn goed in het ontdekken van nieuwe mogelijke vormen van een dreiging, echter de mate van false-positive rate (het percentage van onjuiste meldingen) is hoger dan bij signature-based systemen (García-Teodoro et al., 2009).
4. Literatuurselectie
Overeenkomend met de methodologie van Lagner en Knyphausen-Aufseß ( 2012) zijn verschillende elektronische databases gebruikt, zoals Google Scholar in combinatie met SmartCat, om de gewenste literatuur te zoeken en te verzamelen. Noodzakelijkerwijs zijn ook oudere artikelen, die relevant zijn als citaat of referentie, meegenomen in de selectie.
In de eerste plaats is gezocht naar literatuur die in vooraanstaande, peer-reviewed en wetenschappelijke tijdschriften is gepubliceerd, en meerdere malen is geciteerd. De ranking van het tijdschrift is hierbij buiten beschouwing gelaten, in tegenstelling tot de aanpak van Lagner en Knyphausen-Aufseß (2012). Ten tweede werd gekeken naar literatuur welke in de periode van 2008 tot en met 2018 is gepubliceerd, omdat artikelen ouder dan tien jaar wetenschappelijk minder relevant zijn en de IT stormachtige ontwikkelingen doormaakt. Daarnaast markeert 2008 het beginpunt van de economische crisis in de financiële wereld en het aanbreken van een nieuwe periode, met extra aandacht voor operationele risico’s. Ten derde werden niet-financiële instellingen uitgesloten, omdat het gerefereerde BCBS-framework uitsluitend van toepassing is op financiële instellingen. Tenslotte werden boeken uitgesloten van de selectie, om enige homogeniteit te bewerkstelligen. Vervolgens hebben twee onafhankelijke lezers een kwaliteitsoordeel gegeven over de relevantie van de gevonden artikelen. Na toepassing van deze filters bleven er 18 artikelen over in de selectie, die vervolgens gecategoriseerd zijn (zie Figuur 1 en Tabel 1).
20
Figuur 1-Visuele weergave selectieproces literatuur insider threats, financials, 2008 - 2018
published in journals and peer-reviewed
machine learning
anomaly-based articles
not a review/survey
abstract en conclusion gelezen door 2 onafhankelijke lezers not cloud, not database
36300
9270
921
355
18 8980 bruto artikelen
4.1 Categorisatie literatuur.
Tabel 1-Relevante literatuur
Titel Auteur(s)
Game-theoretic modeling and analysis of insider threats Liu, Wang, en Camp (2008)
Detecting insider threats: Solutions and trends Zeadally, Yu, Jeong, en Liang (2012) Psychosocial modeling of insider threat risk based on behavioral and word use analysis Greitzer, Kangas, Noonan et al. (2013) Modeling human behavior to anticipate insider attacks Greitzer en Hohimer (2011)
System dynamics based insider threats modeling Yang en Wang (2011)
Cyber insider threats situation awareness using game theory and information fusion- based user behavior predicting algorithm
Tang, Zhao, en Zhou (2011)
Online randomization strategies to obfuscate user behavioral patterns Tapiador, Hernandez-Castro, en Peris-Lopez (2012) An adaptive risk management and access control framework to mitigate insider threats Baracaldo en Joshi (2013)
A user behavior prediction model based on parallel neural network and k-nearest neighbor algorithms
Xu, Shen, Liu et al. (2017)
Detecting insider threats using radish: A system for real-time anomaly detection in heterogeneous data streams
Bose, Avasarala, Tirthapura et al. (2017)
22
Insider threat analysis of case-based system dynamics Yang en Wang (2011)
On the possibility of insider threat prevention using intent-based access control (IBAC) Almehmadi en El-Khatib (2014) Insider threat detection using a graph-based approach Eberle, Graves en Holder (2010) Dynamic counter-measures for risk-based access control systems: An evolutive
approach.
Díaz-López, Dólera-Tormo, Gómez-Mármol et al (2016).
Automated insider threat detection system using user and role-based profile assessment.
Legg, Buckley, Goldsmith et al. (2017)
Classification of habitual activities in behavior-based network detection Stiawan, Abdullah en Idris (2010) Behavior-anomaly-based system for detecting insider attacks and data mining Velpula en Gudipudi (2009) Insider threats in a financial institution: Analysis of attack-proneness of information
systems applications
Wang, Gupta en Rao (2015)
5. State of the art
De gevonden artikelen vinden allen hun oorsprong in de categorie “anomaly-based/machine learning-based”, terwijl er daarnaast ook nog twee andere categorieën zijn, de “statistical-based” en de “knowledge-based” systemen. Statistical-based systemen kunnen eenvoudig om de tuin geleid worden door indringers, en het bepalen van de juiste instellingen van de metrics is geen sinecure.
Een andere beperking is dat niet al het gedrag van een variabele stochastisch gemodelleerd kan worden. De knowledge-based systemen gebruiken het voorspelde gedrag en zoeken naar
afwijkingen; zij worden ook wel expert-systemen genoemd. Expert-systemen zijn bedoeld om audit data te classificeren op basis van een set van regels. Zij vormen een robuuste en flexibele manier van detecteren; echter, zij zijn minder geschikt om een goede kwaliteit kennis te ontwikkelen, want ze zijn lastig te onderhouden en kostbaar (Sekar et al., 2002).
De machine learning-based systemen zijn gebaseerd op impliciete en expliciete modellen, die geanalyseerde patronen kunnen rubriceren. Een dergelijke toepassing kan het gebruikte model (deels) aanpassen op basis van verkregen informatie, echter hier zit wel een prijskaartje aan voor de nodige resources. De belangrijkste gevonden toepassingen worden hieronder kort uiteengezet.
System dynamics is een computer ondersteunende aanpak die problemen dynamisch kan oplossen en vertrouwen kan opbouwen in een model. Het past onderlinge afhankelijkheden, gemeenschappelijke interacties, informatieve feedback en circulaire causaliteit toe voor dynamische problemen die voortkomen uit sociale systemen. Een van de belangrijkste hypotheses van system dynamics is dat een model gedrag voorspelt.
Een Bayesian netwerk is een model dat de waarschijnlijkheid van een relatie tussen variabelen codificeert, en wordt in algemene zin gebruikt in combinatie met statistische
toepassingen. Het heeft echter dezelfde nadelen als statistical-based toepassingen, namelijk dat het afhankelijk is van aannames over het gedrag van het doelsysteem.
Markov-modellen komen in twee verschijningsvormen voor: de Markov-chain en de hidden Markov-modellen. Een Markov-chain is een set van statussen die onderling verbonden zijn door specifieke transitiemogelijkheden, en die de topologie en capaciteiten van het model bepalen. Een
“hidden” Markov-model is een systeem dat beschouwd wordt als een Markov-proces, waarbij de statussen en de transities verborgen zijn, en alleen de zogenoemde producties te beschouwen zijn.
Neurale netwerken (oorspronkelijk bedoeld om de operatie van het menselijk brein te stimuleren) worden in het werkveld toegepast om anomalieën te ontdekken, voornamelijk door hun
24
flexibiliteit en vermogen zich aan te passen aan veranderende omgevingen. Een belangrijk nadeel is dat een neuraal netwerk geen verklaring geeft over waarom een bepaalde beslissing is genomen.
Genetische algoritmen worden gecategoriseerd als globale heuristische zoekcriteria, en vormen een specifieke categorie van evolutionaire algoritmes. De technieken komen voort uit de evolutionaire biologie, en gebruiken begrippen zoals erven, muteren, selectie, en recombinatie. Een belangrijk voordeel van deze technieken is dat het systeem geen enkele weet heeft van haar omgeving, flexibel is, en convergeert naar een oplossing door vanuit meerdere gezichtspunten te redeneren.
5.1 Overige technieken
Sociale media
Detectie door gebruik te maken van sociale media is een waardevolle toepassing aan het worden binnen de bestrijding van insider threats. Lee en Lee (2002) stellen in hun onderzoek voor om de technologische mogelijkheden voor het ontdekken van een dreiging van een “insider” te combineren met “social learning theory”. Binnen de “social learning theory” wordt verondersteld dat een persoon een misdaad pleegt wanneer zij of hij in contact is gekomen met een delinquent
persoon (Akers, 2017). Op eenzelfde wijze kan er gekeken worden naar het crimineel gedrag met computers, en werd er onderzoek gedaan naar afwijkend computer-gerelateerd gedrag (Rogers, Smoak & Liu, 2006).
Gedragsanalyse doet onderzoek naar het gedrag van medewerkers (zoekend naar iemand die een voorkeur heeft voor afwijkend, kwaadwillend gedrag) door te kijken naar persoonlijke
voorkeuren, die kwaadwillend gedrag kunnen voorspellen. Shaw, Ruby, en Post (1998) deden onderzoek naar de bedreigingen die voortkomen uit sociale en persoonlijke frustraties, met als belangrijkste bevinding dat er een “revenge syndrom” ontstaat, wat leidt tot de opbouw van rancune jegens autoriteiten. Een persoon met een dergelijk syndroom kan gezien worden als een bedreiging, en als dit gecombineerd wordt met het feit dat medewerkers met een “revenge syndroom” de neiging hebben om hun offline gedrag ook online te laten zien, dan kan er sprake zijn van een interne dreiging (Amichai-Hamburger & Vinitzky, 2010). Door gegevens te gebruiken van sociale media, en deze te laten analyseren door machine-learning toepassingen, kan aangetoond worden dat er een voorspellend verband bestaat tussen uitingen op sociale media en een potentiële interne dreiging voor de onderneming (Kandias et al., 2013).
Graph-based
De laatste decennia hebben veel ondernemingen ingezet op het analyseren van informatie- technologische operaties en processen door gebruik te maken van data mining-technieken, met als doel insider threats en cybercrime te identificeren. De meeste aanpakken zijn statisch van aard geweest en geven een visualisatie weer op een monitor om illegale activiteiten te beoordelen. De recente mogelijkheden om relationele data met data mining te onderzoeken hebben een belangrijke impact gehad op het detecteren van structurele patronen en afwijkingen hiervan. De complexe samenstelling van een heterogene dataset verstrekt potentieel veel en rijke, onderling verbonden data. Een graph-based data-mining aanpak kan worden gebruikt om anomalieën vast te stellen, die leiden tot insider threats. Met het gebruik van een graph-based aanpak wordt onderzoek gedaan naar anomalieën van structurele patronen in data, die een insider threat vertegenwoordigen. De aanpak is gebaseerd op het vinden van patronen die normaal lijken, maar structureel anders zijn.
Gaming theory
Theoretische modellering en analyse gebaseerd op gaming blijken een goede combinatie te vormen voor het opsporen van dreigingen. Alhoewel (Intrusion Detection Systems) IDS zijn
oorsprong vindt in het beschermen tegen buitenstaanders en het identificeren van deze, wordt het steeds vaker toegepast om “insider threats” te herkennen (Cappelli et al., 2006). Dit heeft enigszins succesvol plaatsgevonden, maar toch kleven er nadelen aan het toepassen van IDS, omdat een
“insider” meer bevoegdheden heeft om acties te ondernemen, deze gemakkelijker kan verbergen, en meer kennis heeft van de verdedigingssystemen (Liu et al., 2008). Het gevolg hiervan kan zijn dat er teveel onjuiste meldingen worden gegenereerd, of te weinig juiste meldingen; beide zijn minder effectief, en kostbaar.
Om dit te verhelpen kan er gebruik gemaakt worden van “game-theoretic” modellen. De
“game theory” is een studie naar de strategische interactie tussen twee spelers, waarbij elke speler kiest voor een optimale zet, die wordt gebaseerd op de te verwachten zet van de tegenspeler. Er wordt gebruik gemaakt van een “zero-sum”1 stochastisch spel voor het analyseren en modelleren van de “insider threats”. Het model kan gebruikt worden om de strategie te voorspellen die een
“insider” zal volgen, en om te voorspellen welke actie het beste door de verdediger genomen kan worden (Simon, 2007). Deze paren van acties zijn belangrijk, en vormen een “Nash-equilibrium” (Filar
& Vrieze, 1997). Een equilibrium strategie informeert een organisatie over de wijze waarop zij het beste kan reageren, op basis van de acties van een strategische tegenspeler (Liu et al., 2008). Een zero-sum stochastisch spel tussen een indringer en een system administrator heeft zijn effect
1 Zero-sum is een speltheorie waarbij de som van de winst en het verlies nul is.
26
bewezen in het bestrijden van enkelvoudige “insider threats”. Toekomstige ontwikkelingen liggen mogelijk in het doen van onderzoek naar meerdere “insider threats”, door gebruik te gaan maken van “extensive games”.
Veel van de bovenstaande methoden zijn voor een groot deel afhankelijk van standaard IDS, die altijd te maken hebben met een “false positive rate” en daardoor minder geschikt zijn. Veel game-based methoden gaan ervan uit dat de beslissingen van insiders altijd optimaal en rationeel zijn, en kunnen dus slecht uit de voeten met irrationeel gedrag. Om dit op te lossen hebben Tang, Zhao, en Zhou (2011) in hun onderzoek de extensive game theory en information fusion
gecombineerd op basis van een Dynamic Bayesian Network (DBN), om contextafhankelijkheid te creëren. Information fusion is een proces wat om kan gaan met de associatie, correlatie en combinatie van informatie, die verkregen wordt uit verschillende bronnen en vervolgens in een coherente structuur ondergebracht, zodat ze bewerkt kan worden door algoritmes. De reden hiervoor is dat informatie-technologische oplossingen een veelheid aan componenten bevatten, welke allemaal over hun eigen informatiestroom beschikken, en deze gecombineerd gebruikt zouden moeten worden. Game theory is bij uitstek geschikt om dit te bewerkstellingen (Halpern, 2008).
De tabel met literatuur (Tabel 2) is aangevuld met de primaire technologische oplossing die is gebruikt binnen het onderzoek waarover het artikel rapporteert. Wat hier opvalt is dat gaming en system dynamics een prominente rol spelen wanneer gedrag meespeelt als variabele binnen een model.
Tabel 2-Relevante literatuur
Titel Auteur(s) Gebruikte technologieën
Game-theoretic modeling and analysis of insider threats Liu, Wang, en Camp (2008) Gaming two player stochastic zero sum
Detecting insider threats: Solutions and trends Zeadally, Yu, Jeong, en Liang (2012) Graph-based visualisation Psychosocial modeling of insider threat risk based on behavioral and
word use analysis
Greitzer, Kangas, Noonan et al. (2013) Word use modelling
Modeling human behavior to anticipate insider attacks Greitzer en Hohimer (2011) Motivational factors
System dynamics based insider threats modeling Yang en Wang (2011) System dynamics
Cyber insider threats situation awareness using game theory and information fusion-based user behavior predicting algorithm
Tang, Zhao, en Zhou (2011) Gaming
Online randomization strategies to obfuscate user behavioral patterns Tapiador, Hernandez-Castro, en Peris- Lopez (2012)
Online Action Randomization Algorithms.
An adaptive risk management and access control framework to mitigate insider threats
Baracaldo en Joshi (2013) Role based Access Control and Trust algorithms
A user behavior prediction model based on parallel neural network and k-nearest neighbor algorithms
Xu, Shen, Liu et al. (2017) Neural network and algorithms
Detecting insider threats using radish: A system for real-time anomaly Bose, Avasarala, Tirthapura et al. (2017) Streaming analytics
28
detection in heterogeneous data streams
Insider threat analysis of case-based system dynamics Yang en Wang (2011) System dynamics On the possibility of insider threat prevention using intent-based access
control (IBAC)
Almehmadi en El-Khatib (2014) Human bio signals
Insider threat detection using a graph-based approach Eberle, Graves en Holder (2010) Graph-based Dynamic counter-measures for risk-based access control systems: An
evolutive approach.
Díaz-López, Dólera-Tormo, Gómez- Mármol et al (2016).
Genetic algorithms
Automated insider threat detection system using user and role-based profile assessment.
Legg, Buckley, Goldsmith et al. (2017) Principal Component Analysis
Classification of habitual activities in behavior-based network detection Stiawan, Abdullah en Idris (2010) Rules algorithm and data mining Behavior-anomaly-based system for detecting insider attacks and data
mining
Velpula en Gudipudi (2009) Data mining
Insider threats in a financial institution: Analysis of attack-proneness of information systems applications
Wang, Gupta en Rao (2015) Routine activity theory and survival modeling
Toekomstige ontwikkelingen
De ontwikkeling van “deep learning” biedt een nieuwe mogelijkheden om “insider threats” te detecteren. Door de opbouw van een hiërarchische model structuur (wat overeenkomt met het menselijk brein) extraheert “deep learning” de input data stap voor stap, van het laagste signaal niveau tot het hoger liggende semantische niveau. “Deep learning “verbetert de detectie ratio van
veiligheidsincidenten en voorkomt daarmee verlies voor de onderneming (Zhang, Chen, & Ju, 2018) .
“Deep learning” wordt veel toegepast binnen beeldherkenning, spraakherkenning , en videobeeld herkenning, en nog relatief weinig binnen het toepassingsgebied van “insider threat detection”.
Optimalisatie theorieën zoals dichotomie2 en gulden snede3 vormen een goede theoretische basis voor de gebruikte optimalisatietechnieken. In het kader van de voordelen van “deep learning” met voldoende toepassingen om te leren en een hoge detectie ratio, kan in essentie normaal gedrag en afwijkend gedrag worden geleerd.
“Insider threat” gedrag is zeer gevarieerd, en het heeft weinig zin om dit te modelleren.
Nieuwe varianten van Deep Neural Networks (DNN) en Recurrent Neural Networks (RNN) worden getraind om activiteiten te herkennen die karakteristiek zijn voor een specifieke gebruiker, en om gelijktijdig te kunnen bepalen of dit gedrag normaal is of afwijkend. Afwijkend gedrag wordt vervolgens zichtbaar met de kenmerken die ervoor zorgden dat het als afwijkend werd aangemerkt door het DNN en RNN. Een eenvoudig voorbeeld hiervan is het kopiëren van een grote hoeveelheid data op ongebruikelijke tijdstippen buiten kantoortijden.
Er zijn meerdere toepassingsgebieden waar neurale netwerken worden toegepast, Veeramachananeni et al. (2016) presenteren werk waarbij een DNN gebruikt wordt in een online setting. RNN worden met succes toegepast voor anomaly detection in meerdere domeinen;
Malhotra et al. (2016) hebben RNN toegepast in het domein voor signaalverwerking van
mechanische sensors voor machines en Chuahan et al. (2015) hebben RNN toegepast in het domein elektrocardiogram (ECG) films.
2 Dichotomie is een techniek waarbij een interval verdeeld wordt in twee gelijke subintervallen om zo het aantal verborgen nodes te reduceren.
3 De Gulden Snede is een techniek waarbij een interval verdeeld wordt in twee ongelijk delen, waarvan de verhouding tussen het kleinste deel en het grootste deel hetzelfde is de verhouding tussen het grootste deel en het geheel.
30
5.2 Overige ontwikkelingen
De sectoren finance en business worden het meest getroffen door “insider threats”. Dit kan verklaard worden door hun voorsprong op IT gebied en grote afhankelijkheid van IT in de toepassing van primaire businessprocessen. Een andere verklaring kan gezocht worden in de grote mate van regels van toezichthouders die eisen stellen aan de melding van dergelijke voorvallen. De overige sectoren worden veel vaker in verband gebracht met “outsider threats”, doordat de volledige infrastructuur wordt platgelegd door “ransom ware”. Geopolitieke overwegingen van andere landen kunnen een rol spelen in het uitoefenen van macht over kritische infrastructuren, zoals ziekenhuizen, (kern)energiecentrales en havens.
In de herfst van 2010 stonden de kranten vol met berichtgeving over Stuxnet, als zijnde de
“gamechanger” in “cyberwar”. Stuxnet bleek een complexe variant van een wormvirus te zijn, ontworpen om specifieke aanvallen uit te voeren. Het bezat de mogelijkheid om enkele specifieke systemen aan te vallen, hetgeen was vastgelegd in de code van het programma. Stuxnet wijzigde software op systeemniveau in het hart van de processor en was daardoor in staat om het volledige Iranese nucleaire programma stop te zetten en zelfs te beëindigen. Een ander voorbeeld is Flame, een virus wat ontdekt werd door virusscanner Kaspersky, wat ontworpen was voor
spionagedoeleinden door informatie te stelen over systemen, bestanden, contracten en audiovisuele informatie. Flame werd ingezet tegen de Iranese olie-industrie en de nationale kritische
infrastructuuronderdelen van het land.
Een van de organisaties in Nederland waar een ongekende hoeveelheid geld doorheen gaat is een grote innings- en uitkeringsorganisatie. De organisatie is regelmatig in het nieuws als het gaat om haar eigen IT-voorzieningen, zaken waar elk persoon en elk bedrijf in Nederland direct mee te maken heeft. De organisatie moet de komende jaren 2.9 miljard euro investeren om de ondersteuning van haar primaire processen op IT-gebied te verbeteren en te vernieuwen. Uitgaande van de in de conclusie genoemde cijfers, zou dat inhouden dat er 290 miljoen geïnvesteerd moet worden om dreigingen van binnenuit de organisatie het hoofd te kunnen bieden.
Met de invoering van AVG (Algemene Verordening Gegevensverwerking) ontstaat er een positieve impuls om de processen waar privacygebonden gegevens worden verwerkt nogmaals goed te doorgronden. Doelbinding, dataminimalisatie en bewaartermijn zijn onderwerpen die binnen elke organisatie die gegevens verwerkt aandacht moeten krijgen van de toezichthouder. Het recht om vergeten te worden is een van de fundamentele rechten van deze nieuwe wetgeving.
6. Conclusie
De uitgevoerde literatuurstudie betreft een veelomvattend onderzoek van 355 “peer- reviewed” artikelen met als onderwerp technologische beheersmaatregelen tegen “insider threats”.
De literatuur is gecategoriseerd volgens de volgende rubrieken: “anomaly-based” en “machine learning”, en beslaat de periode van 2008 tot 2018. De gevonden artikelen zijn door twee onafhankelijke lezers beoordeeld, wat heeft geleid tot 18 relevante bijdragen.
De definitie die in deze studie wordt gebruikt voor het begrip “insider threats” is in essentie dat deze dreigingen door vertrouwde en bekende medewerkers veroorzaakt woorden, die hun rechtmatige privileges gebruiken om niet-geautoriseerde acties uit te voeren met als doel wraak te nemen, financiële voordelen te halen of de onderneming ten gronde te richten. Er wordt niet gekeken of de medewerkers dit doelbewust doen of dat dit per ongeluk plaatsvindt.
Kenmerkend voor de gevonden artikelen is dat zij allemaal als basis een technologische oplossing gebruiken die afkomstig is uit de technologische beheersmaatregelen tegen “outsider threats”. Dit kan verklaard worden doordat de bestrijding van deze vorm van bedreigingen vooruitliep op het bestrijden van interne bedreigingen. Een fundamenteel verschil tussen het toepassen van technologische hulpmiddelen voor “outsider threats” en voor “insider threats” is dat de datastroom bij “outsider threats” homogeen van aard is, en bij “insider threats” heterogeen. Dit maakt dat de effectiviteit van de technologische oplossing voor de bestrijding van “outsider threats”
veel minder geschikt is voor de bestrijding van dreiging voortkomend uit “insider threats”.
Het gevolg van bovenstaande conclusie is dat er aanvullende technologische oplossingen worden gezocht om dit probleem te verhelpen. Dit leidt in de onderzoekswereld tot een breed scala aan toepassingen, waarvan de theoretische effectiviteit (soms) wordt bewezen. Echter, veel van de onderzoeken maken gebruik van een gestandaardiseerde test database om de effectiviteit aan te tonen. Het nadeel van deze test database is dat de werkelijke wereld vele malen complexer,
weerbarstiger en uitdagender is. Het is dan ook niet de verwachting dat dergelijke toepassingen het levenslicht zullen zien in een commerciële setting.
In de definitie wordt nadrukkelijk gesproken over niet-geautoriseerde acties, wat een direct verband legt met het menselijk handelen en de psychologische aspecten die daarbij een rol spelen.
Er zijn twee stromingen binnen dit onderzoeksgebied: de eerste kijkt naar bepaalde typen gedragsindicatoren, en de tweede naar verschillende persoonskenmerken. Beide stromingen gebruiken nieuwe technologieën om gegevens te extraheren, die gebruikt kunnen worden bij het
32
voorspellen van mogelijke dreigingen. Er bestaan zelfs onderzoeken waarbij gebruik wordt gemaakt van “eye movement” om afwijkend gedrag te kunnen voorspellen (Almehmadi & El-Khatib, 2014).
“Anomaly-based-” in combinatie met “machine learning”-toepassingen zijn verreweg favoriet als primair onderzoeksgebied voor het voorkomen van dreiging vanuit een “insider”
perspectief.
De belangrijkste bevindingen van dit literatuuronderzoek zijn:
De basis technologische grondslagen voor de tooling die gebruikt wordt om interne dreiging te voorkomen vinden hun oorsprong in de wereld van bedreigingen komende van buiten de organisatie. Deze technologische oplossingen zijn minder geschikt voor het voorkomen van interne dreigingen, vanwege het andere karakter van de te onderzoeken datastromen.
De gebruikte test database om de effectiviteit van de oplossing te meten is een schrale afspiegeling van de werkelijkheid, die vele malen complexer is.
De komst van sociale media maakt het onderzoeksgebied voor onderzoek dat naar de psychologie van de insider kijkt uitgebreider. De grote hoeveelheid aan beschikbare data kan geanalyseerd worden en vervolgens worden gebruikt om voorspellingen te doen over potentiële plegers.
De mogelijkheden om met recente data mining technieken ook logische verbanden te kunnen leggen tussen verschillende datastromen maken het mogelijk om relaties tussen datastromen te ontdekken die relevant kunnen zijn.
De toenemende mate van vrijheid om eigen apparatuur toe te voegen aan de infrastructuur van de onderneming (Internet of Things, Bring Your Own Device) maakt dat de strijd tegen dreigingen van binnenuit de organisatie complexer wordt.
Het uitbesteden van werkzaamheden en infrastructuur aan derden (trusted parties) maakt dat er een nieuwe groep aan medewerkers binnen een onderneming ontstaat die dezelfde rechten kunnen verwerven als een interne medewerker, waardoor een nieuwe vorm van dreiging kan ontstaan.
Ondernemingen worden in toenemende mate geconfronteerd met steeds complexer worden taken om hun IT-security op orde te houden. De dreigingen van binnenuit een organisatie zijn lastig te bestrijden, gegeven het feit dat dit geautoriseerde medewerkers zijn met bepaalde rechten. Over 2017 is een sterke stijging te zien van het aantal interne bedreigingen die waarheid zijn geworden.
De kosten van dergelijke dreigingen lopen op, dus is het gerechtvaardigd om te zeggen dat er meer geld besteed moet worden aan preventie. Een gemiddelde onderneming besteed tussen de 11% en
14 % jaarlijks aan IT-uitgaven, en van dit budget wordt ruim 10% besteed aan security-gerelateerde uitgaven. Hieruit volgt dat de uitgaven voor het voorkomen van insider threats nog lager ligt. Het is dan ook maar de vraag of dit voldoende is. Gezien het feit dat operationele risico’s onderdeel uitmaken van het BCBS-framework, en de toezichthouder eisen stelt aan de rapportage van
operationele risico’s en de toename van operationele risico’s door insiders, kan gesteld worden dat dit de komende jaren nog nadrukkelijker op de bestuurstafel dient te komen.
6.1 Aanbevelingen
Toekomstig onderzoek zou zich kunnen richten op het kwantificeren van kosten die voortkomen uit dreigingen van binnenuit de organisatie en deze vergelijken met de kosten die voortkomen uit dreigingen van buitenaf. Ondanks dat de toezichthouders verplichtingen opleggen ten aanzien van het melden van dreigingen, lijkt het nog er nog steeds op dat lang niet alles boven tafel komt. Het tijdig oplossen van een dreiging is goed nieuws; echter grote krantenkoppen met slecht nieuws hebben invloed op beursgenoteerde ondernemingen, en dat wil men maar al te graag voorkomen.
Bijlagen
Bijlage 1-Subcategorieën van operationele risico’s onderscheiden binnen het BCBS Bron: Wilson (2015)
Category Subcategory Risk
1. External fraud External theft and fraud Robbery, extortion, or embezzlement
Theft of assets
Forgery
Check fraud
Impersonation (i.e., deliberately assuming a client/customer identity)
Fraudulent claims
Systems security Unauthorized appropriation of confidential information
Computer malevolence (e.g., viruses, file destruction, hacking)
2. Internal fraud Internal theft and fraud External theft or fraud events involving an employee
Receipt of bribes or kickbacks
Smuggling
Insider trading for own account Unauthorized activity Transaction intentionally not reported
Unauthorized transaction types
Intentional mismarking of positions
Invalid authorization of exposures or expenditures
Systems security Unauthorized appropriation of confidential information
Computer malevolence (e.g., viruses, file destruction, hacking)
Data theft and disclosure 3. Employment practice and
workplace safety
Employee relations Compensation, benefit, or termination events
Strikes, other organized labor activity events
Employee litigation/staff indemnification Workplace safety Workers’ compensation events (e.g.,
workplace accidents, occupational diseases)
Civil liability (i.e., accidents of customers, partners, or suppliers)
Equality and discrimination Human resources
management
Inappropriate behaviour (i.e., discrimination or harassment)
Inappropriate recruitment, training
36
Inappropriate remuneration policy
Inadequate staff assessment, management of poor performers
Excessive staff turnover
Departure/absence of a key staff resource
Breach of regulations (labor rights, collective conventions)
4. Clients/third party, products, and business practices
Suitability, information disclosure, and fiduciary duty
Fiduciary breaches/guideline violations
Suitability/disclosure issues
Breach of privacy, misuse of confidential information
Overly aggressive sales activities, account churning
Improper business or market practices
Antitrust behaviour, market manipulation
Improper external reporting practices
Improper trade/market practices
Insider trading (for the company’s benefit)
Unlicensed activities
Money laundering activities
Discrimination events to customers or general public
Defective products Inadequate model implementation
Breach of pricing policy
Noncompliant products with internal, external requirements
Inadequate approval of new products/activities
Inadequate processes, complex, sensitive operations
Trade counterparty Nonclient counterparty performance
Miscellaneous nonclient counterparty disputes
Sponsorship exposure Losses incurred due to exceeding client exposure limits (i.e., in asset management, wealth management)
Selection Client fact-finding failures
Insufficient checks prior to contracting Advisory activities Inappropriate performance or advisory
activity 5. Damage to physical
assets
Natural/industrial disasters and malicious damage of property
Natural disaster (floods, earthquakes, windstorms, etc.)
External losses (acts of terrorism, vandalism, etc.)
Industrial disaster losses 6. Business disruption and
system failures
System failures Hardware or telecommunications failures
Software failures
Utility outages/disruptions
