Omgaan met insider threats

Publicaties en rapporten

Insider threats

Groeien

Insiders kunnen een aanzienlijk cybersecurityrisico vormen voor uw organisatie. De impact van een insider threat kan verwoestend zijn. In tegenstelling tot cyberaanvallen van buitenaf, opereren insiders van binnenuit de organisatie. Een insider is een onzichtbare vijand die geautoriseerde toegang kan misbruiken om schade te veroorzaken. Hoe kun jij met deze onzichtbare vijand omgaan? We vroegen het aan de voorzitters en vicevoorzitters van de ISAC’s waarbij het NCSC betrokken is. In deze publicatie delen we hun inzichten en good practices.

Omgaan met insider threats (PDF, 473 kB, 21-11-2025)

Download

Doelgroep:
Dit document is bedoeld voor CIO’s, CISO’s, BVA’s en risicomanagers die zicht en grip willen krijgen op insider threats en betrokken zijn bij het opzetten van een
insider risicobeleid.

Het probleem van insider threats

Kwaadwillende insiders kunnen grote gevolgen hebben voor de digitale veiligheid van uw organisatie. Uit onderzoek van Ponemon blijkt dat incidenten met insiders geregeld voorkomen, het organisaties gemiddeld 77 dagen kost om een incident met een insider volledig onder controle te krijgen en de kosten daarbij aanzienlijk kunnen oplopen.

Andere gevolgen van een incident met een kwaadwillende insider, zoals een breuk in onderling vertrouwen op de werkvloer, zijn moeilijk geldelijk uit te drukken maar raken ook uw organisatie.

Niet alle insiders zijn kwaadwillend

In deze publicatie richten we ons specifiek op kwaadwillende insiders, maar er bestaan ook andere categorieën van insider threats. Zo bestaat er ook de onbewuste insider. Dat is een persoon die, door onoplettend handelen, zijn organisatie onbewust blootstelt aan een cyberdreiging. Een andere categorie van insiders zijn personen die bewust regels negeren. Ze kiezen er bewust voor om bepaalde beveiligingsrichtlijnen te negeren om, bijvoorbeeld, efficiënter te kunnen werken. Ze handelen daardoor onzorgvuldig, maar hebben niet direct kwade intenties tegenover de organisatie waarvoor ze werken. Deze twee andere vormen van insiders behandelen we niet expliciet in deze publicatie, maar verdienen wel de aandacht bij een insider risicobeleid.

Een multidisciplinaire aanpak

Het vraagstuk omtrent insider threats raakt aan verschillende professionele disciplines, zoals fraudepreventie en organisatiepsychologie. In deze publicatie benaderen we insider threats vanuit een cybersecurityperspectief, toch is het raadzaam om in uw insider risicobeleid ook

deze andere invalshoeken op insider threats mee te nemen. Een goede aanpak in het omgaan met insider threats is daarmee ook multidisciplinair.

Gehanteerde definities en methode

De definities in dit document over insider threats zijn overgenomen van het NCSC-UK. Hierbij is een insider “elke persoon die geautoriseerde toegang heeft of eerder kennis heeft gehad van de middelen van de organisatie, inclusief mensen, processen, informatie, technologie en faciliteiten”.

Insiders betreffen dus niet alleen de medewerkers van een organisatie, maar ook andere (tijdelijke) werknemers zoals personeel van partnerorganisaties, dienstverleners of leveranciers.

Een insider threat is “een persoon die de intentie heeft om schade aan een organisatie toe te brengen.” We behandelen daarmee insider threats vanuit een intentioneel perspectief.

Toepassing van het NIST-raamwerk

Dit document is opgebouwd volgens het NIST-raamwerk. In de afzonderlijke hoofdstukken behandelen we de functies uit het raamwerk en kijken daarmee naar preventieve en reactieve cybersecurity aspecten van het omgaan met insider threats.

Het vraagstuk omtrent insider threats, de bijbehorende definities en het NIST-raamwerk vormden de basis voor een workshop die het NCSC op 21 november 2023 heeft uitgevoerd met cybersecurityexperts van Nederlandse organisaties.

Het doel van deze sessie was om good practices ten aanzien van insider threats te identificeren. Dit document is een resultaat van die sessie.