Deze week werd bekend dat Twitter geraakt was door een hack. Daarbij is een flink aantal Twitter-accounts van bekende personen en instanties overgenomen. Onder andere de accounts van Bill Gates, Barack Obama, Kanye West, Elon Musk, Uber en Apple zijn misbruikt om andere Twitter-gebruikers te misleiden om Bitcoin-betalingen te doen. Alhoewel het onderzoek nog gaande is, lijkt het erop dat de hack mogelijk is gemaakt door een medewerker van Twitter. Een ‘inside job’ dus. Dat drukt ons weer even met de neus op de feiten: hoe goed we onze collega’s en medewerkers ook vertrouwen – we kunnen onze ogen niet sluiten voor bedreigingen van binnenuit.
Omgekocht
In het geval van Twitter zijn er aanwijzingen dat een medewerker is omgekocht om hackers te helpen de oplichtingstruc uit te voeren. Er wordt nog onderzocht of de Twitter-medewerker zelf achter de knoppen van de overgenomen accounts is gaan zitten, of dat hij de hackers toegang heeft gegeven tot een tool die binnen Twitter wordt gebruikt.
Twitter is niet het eerste techbedrijf dat te maken heeft met kwaadwillende medewerkers. Facebook heeft bijvoorbeeld al eens te maken gehad met medewerkers die hun autorisaties misbruikten om vrouwen lastig te vallen. Snapchat en Myspace hebben te kampen gehad met medewerkers die gebruikers bespioneerden door hun autorisaties en tools te misbruiken.
Dat er af en toe eens een gebrouilleerde medewerker bij ‘big tech’ zit die misbruik maakt van de mogelijkheden die hij of zij heeft, zal u niet verbazen. Op het eerste oog lijkt de kans toch groter dat iemand die in de anonimiteit van zo’n grote corporate werkt misbruik van zijn of haar positie maakt, dan een medewerker bij een kleine organisatie waar iedereen elkaar kent. Maar zulke misstanden zijn niet voorbehouden aan corporates of ‘big tech’. Ze kunnen zich overal voordoen – en omdat kleinere organisaties vaak ook minder ‘checks and balances’ hanteren, kunnen misstanden onopgemerkt blijven.
Misbruik door insiders
Voor misbruik door insiders zijn verschillende motieven denkbaar. In de Twitterzaak leek het erop dat de medewerker in kwestie was omgekocht. In andere gevallen kan sprake zijn van een andere vorm van persoonlijk gewin. Of er is sprake van een ruzie of misverstand, waarna de betreffende medewerker (of inmiddels ex-medewerker) wraak wil nemen. Maar misbruik kan ook voortkomen uit verveling, nieuwsgierigheid of onkunde. Of het kan gaan om een medewerker die onder druk wordt gezet of die wordt bedreigd, en daardoor feitelijk geen andere keuze heeft dan misbruik te plegen.
Insider threats
Denk dus nog eens kritisch na of u de risico’s rond ‘insider threats’ voor uw organisatie goed in beeld hebt. De kans bestaat namelijk dat er snel over dit onderwerp heen is gestapt, omdat de medewerkers elkaar kennen en te vertrouwen zijn. Dat uw medewerkers en collega’s goede mensen zijn, betekent echter niet dat er geen misstanden kunnen plaatsvinden. Het loont dus om regelmatig de procedure voor het toekennen, aanpassen en intrekken van autorisaties tegen het licht te houden, en om toegekende rechten te controleren. Het kan ook nuttig zijn om toegang tot en wijzigingen van informatie te loggen. Afhankelijk van de informatie en bijbehorende risico’s kan het nuttig of nodig zijn om die logs regelmatig te analyseren. Werk met op naam gestelde accounts in plaats van accounts die door meerdere personen worden gebruikt. En zo zijn er nog wel wat maatregelen te bedenken. Welke maatregel wel en niet passend is, hangt af van de risico’s voor uw organisatie. Maar vergeet niet: uw medewerkers hebben recht op privacy – óók wanneer u hun gegevens verwerkt voor veiligheidsdoeleinden. Het is dus altijd zoeken naar de juiste balans.