Myten om medarbejdere og it-sikkerhed

Som jeg har sagt tidligere ved vi egentlig meget lidt om it-sikkerhedstrusler og man risikerer derfor at tage beslutning på forkerte grundlag. Et godt eksempel er medarbejdersikkerhed.

Spørgeskema undersøgelserne tager fejl
Når man laver interviews og spørgeskema undersøgelser mener ekstremt mange, at interne medarbejdere er årsag til hovedparten af alle sikkerhedshændelser.
I CSI's 2007 undersøgelse kom man f.eks. frem til, at næsten 59% af alle sikkerhedshændelser skyldes interne medarbejdere, dette faldt kraftigt til 44% i 2008 undersøgelsen.

Gartner har for nyligt spurgt næsten 3600 it-folk med gennemsnitlig 9 års erfaring, her oplyser it-folkene, at de mener 75% af hændelserne skyldes medarbejderne.

Jeg tror få sikkerhedsfolk mener, at de eksterne sikkerhedstrusler er løste. Er undersøgelserne så rigtige, eller kan tusindvis af mennesker tage fejl?

Hårde fakta
Undersøgelserne ovenfor har selvfølgelig det til fælles, at de begge bygger på spørgeskemaer, ikke hårde data. Uden at gøre indlægget til en diskussion om spørgeskemaer, så folk tænker med garanti på forskellige ting når de svarer i undersøgelserne.

Ser man på sikkerhedsmetrikker ser man et helt andet billede. Af offentlige tilgængelige metrikker har Verizon udarbejdet en meget interessant rapport med supplerende gennemgang, der bygger på faktiske metrikker (se linket for detaljer). Her er tallene væsentligt lavere. Det viser sig i praksis at kun ca. 20% af alle hændelser skyldes interne medarbejdere.
Reelt er tallet nok endnu lavere, for Verizon undersøger kun store sikkerhedshændelser. Alle de mange små hændelser (hackede hjemmesider, virus infektioner osv.), der typisk ikke bliver anmeldt eller nærmere undersøgt indgår ikke i statistikken.

Hvorfor tror vi interne medarbejdere står for så mange hændelser?
Der er sjældent en enkelt faktor, men hovedårsagen er, at man blander hyppighed sammen med skadevirkning.
I praksis er det langt mere sandsynligt, at en sikkerhedshændelse opstår udefra, men medarbejdere skaber ofte langt mere alvorlige sikkerhedsbrud.

Hvad enten medarbejderen bevidst forsøger at gøre noget, eller hændelsen bare skyldes en række uheldige omstændigheder, så har medarbejderne næsten altid direkte, lovlig adgang til kritisk data. En hacker kan være ugevis eller månedsvis på et netværk uden at falde over de informationer der egentlig er kritiske for en virksomhed, hvorimod langt de fleste medarbejderes kan finde informationen, næsten uden at lede.

Så konsekvensen af sikkerhedshændelser er alvorligere når medarbejdere står bag, men det er absolut ikke ensbetydende med, at de også står for flere hændelser.

Samarbejdspartnere
Verizons undersøgelse ovenfor viste også, at næsten dobbelt så mange sikkerhedshændelser stammer fra samarbejdspartnere i forhold til interne medarbejdere.
I mange tilfælde har samarbejdspartnere lige så meget adgang til data og systemer som interne medarbejdere og det er muligt at nogle deltagere i spørgeskemaundersøgelserne sammenblander hændelser fra interne medarbejdere og samarbejdspartnere.

Noget psykologisk
Det er også muligt der ligger noget psykologisk i troen på hovedparten af hændelserne stammer fra medarbejderne.
Det er måske lettere at forestille sig en sælger tager kundedatabasen med, end det er at forestille sig en kinesisk hacker stjæle virksomhedens regnskabsinformation eller patentinformation, selvom det sidste også sker.
Endelig er der måske også nogle i undersøgelserne der har lært at interne medarbejdere kan udgøre en trussel og derfor forsøger at "svare rigtigt"...

Hyppighed kontra skade
Det er en gammel it-sikkerhedsmyte at interne medarbejdere står for hovedparten af alle sikkerhedshændelser. Det er mere sandsynligt at en hændelse opstår udefra, men medarbejdere medfører oftere større sikkerhedsbrud.

Så udfordringerne er reelle nok, men det er stadigt vigtigt at sikre sig imod trusler fra samarbejdspartnere og eksterne angribere.

Hvad mener du
Hvad er dine erfaringer.
Tager jeg fejl, står medarbejderne for lige så mange sikkerhedshændelser som undersøgelserne siger?