När brottslingen redan är anställd – insiderhot inom banker

De flesta föreställer sig en bankhackare som någon i ett mörkt rum långt bort, med en skärm full av kod. Verkligheten är ofta en annan. Ibland sitter hotet redan vid ett skrivbord inne på banken, loggar in med sina egna behörigheter och tar det som ingen förväntar sig att en kollega skulle ta. Insiderhot är en av de svåraste säkerhetsutmaningarna banker står inför idag, just för att det handlar om människor som redan har tillgång, redan är betrodda och redan vet exakt var det känsliga finns. Den här artikeln reder ut hur det går till och vad banker faktiskt gör åt det.

Vem är egentligen insiderangriparen – och varför gör de det?

Det finns en farlig föreställning om att den illojale medarbetaren alltid är lätt att känna igen. Att det är personen som klagar högt, som alltid verkar missnöjd eller som aldrig passar in. Forskning och verkliga fall pekar på något helt annat. Insiderangriparen är oftast en ordinär kollega, någon som ingen hade pekat ut, någon som kanske till och med ansågs pålitlig och kompetent.

Tre typer av insiderhot

Inom säkerhetsbranschen brukar man dela in insiderhot i tre huvudkategorier. Den första är den illojale medarbetaren som medvetet stjäl information eller pengar för egen vinning. Den andra är den missnöjde anställde som vill skada organisationen som en form av hämnd, kanske efter en utebliven befordran eller ett konfliktfyllt avsked. Den tredje, och ofta mest förbisedda, är den omedvetne medarbetaren som utan onda avsikter råkar exponera känslig information, exempelvis genom att klicka på fel länk eller skicka ett dokument till fel mottagare.

Inom banker är alla tre typerna relevanta, men det är den första kategorin som orsakar störst ekonomisk skada. En anställd med tillgång till kundkonton, transaktionssystem eller interndata kan under lång tid plocka ut information eller pengar i små mängder utan att väcka uppmärksamhet.

Vad driver någon att gå över gränsen?

Motivet bakom insiderhot är sällan enkelt. Ekonomisk press är en vanlig utlösande faktor. En anställd med spelskulder, en pågående skilsmässa eller ett hus på väg att bli utmätt befinner sig i en psykologisk sits där tröskeln för att göra något olagligt sjunker. Det behöver inte ens handla om stora summor i början. Många fall börjar med ett litet test, ett belopp som är tillräckligt litet för att inte synas, och eskalerar sedan gradvis.

En annan drivkraft är ideologisk eller personlig lojalitet. Det finns dokumenterade fall där bankanställda har läckt kunduppgifter till organiserad brottslighet, inte för pengar utan för att de själva tillhör eller är hotade av samma nätverk. I de fallen är det nästan omöjligt att förutse hotet baserat på beteende eller ekonomiska signaler.

Rekrytering utifrån som en ingång

Ett mönster som blivit allt vanligare är att kriminella nätverk aktivt rekryterar personer som redan arbetar på banker, eller placerar egna kontakter i syfte att ta anställning. Det handlar inte om slumpmässiga tillfälligheter utan om systematisk infiltration. En person kan anställas med falska eller överdrivna meriter, bygga upp förtroende under månader och sedan aktiveras när tillfälle ges. Det gör att hotet inte alltid kommer från en missnöjd veteran utan lika gärna kan komma från en ny medarbetare som aldrig visat ett enda varningstecken.

Så upptäcker banker anställda som är på väg att slå till

Att upptäcka ett insiderhot innan skadan är skedd är en av de svåraste uppgifterna inom bankernas säkerhetsarbete. Det handlar om att hitta avvikelser i ett hav av normal aktivitet, utan att trampa på integriteten hos de tusentals anställda som inte har några som helst onda avsikter.

Beteendeanalys som första försvarslinje

Modern insiderhotdetektering bygger i stor utsträckning på beteendeanalys. Systemen, ofta kallade UEBA vilket står för User and Entity Behavior Analytics, lär sig hur varje enskild anställd normalt beter sig i systemen. Vilka filer de brukar öppna, vilka tider de loggar in, hur många transaktioner de hanterar per dag och vilka system de vanligtvis rör sig i. När beteendet avviker från det etablerade mönstret flaggas det automatiskt för granskning.

Ett exempel kan vara en kundtjänstmedarbetare som plötsligt börjar söka på kundkonton utanför sitt vanliga arbetsområde, eller en ekonomihandläggare som loggar in mitt i natten från en ovanlig enhet. Varje enskild händelse kan ha en oskyldig förklaring, men systemet sätter ihop mönstret och avgör om den samlade bilden är alarmerande.

Tekniska verktyg som används i praktiken

Utöver UEBA-system använder banker en rad andra tekniska lösningar för att minimera insiderrisken:

• Privileged Access Management, som begränsar vilka system en anställd överhuvudtaget kan nå baserat på arbetsroll
• Data Loss Prevention-verktyg som blockerar eller larmar när känslig data försöker lämna organisationen via e-post eller externa enheter
• Loggning och revision av alla åtgärder i känsliga system, så att varje knapptryckning kan spåras i efterhand
• Separering av arbetsuppgifter så att ingen enskild person har tillräcklig behörighet för att genomföra en hel bedräglig transaktion på egen hand
• Regelbundna behörighetsrevisioner där chefer bekräftar att medarbetares systemåtkomst fortfarande matchar deras faktiska arbetsuppgifter

Kombinationen av dessa verktyg skapar flera lager av skydd, men inget av dem är vattentätt på egen hand.

Det mänskliga lagret som tekniken inte ersätter

Teknik kan flagga avvikelser men den kan inte tolka kontext. Därför har många banker investerat i att utbilda chefer och kollegor att känna igen tidiga varningstecken på mänsklig nivå. En medarbetare som plötsligt verkar stressad, som börjar arbeta ovanliga tider utan förklaring eller som uttrycker stark bitterhet mot organisationen kan vara i en riskzon. Det handlar inte om att övervaka varandra utan om att skapa en kultur där avvikande signaler tas på allvar och rapporteras utan rädsla för att ha fel.

Därför är insiderhot svårare att stoppa än externa angrepp

En extern hackare måste ta sig förbi brandväggar, kringgå autentiseringssystem och verka i ett miljö han eller hon inte känner. En insiderangripare börjar redan på insidan. Det är en fundamental asymmetri som gör problemet kvalitativt annorlunda från nästan alla andra säkerhetshot banker hanterar.

Behörighet som vapen

Det som gör insiderhot så svårt att stoppa är att angriparen använder legitima verktyg på ett illegitimt sätt. När en anställd öppnar ett kundkonto gör de exakt samma sak oavsett om syftet är att hjälpa kunden eller att kopiera kontoinformation. Systemet ser ingen skillnad. Det finns inget intrång att detektera, inga felaktiga lösenord, inga suspekta IP-adresser från andra länder. Allt ser normalt ut inifrån.

Förtroendet som gör oss blinda

Banker är beroende av intern tillit för att fungera. Processer skulle bli ohanterliga om varje handling krävde extern verifiering. Det förtroendet är nödvändigt, men det skapar samtidigt blinda fläckar. Chefer tenderar att inte ifrågasätta välkända medarbetare, och kollegor undviker att rapportera misstankar av rädsla för att ha fel eller skada en relation. Den sociala dynamiken på en arbetsplats är i sig ett säkerhetsproblem som ingen teknisk lösning kan lösa helt.

Utredning och bevisföring är en labyrint

När ett insiderhot väl identifieras uppstår nya utmaningar. Att samla tillräckligt med bevis för att agera juridiskt är tidskrävande och komplicerat. Digitala spår måste hanteras enligt strikta protokoll för att hålla i en rättsprocess. Under tiden måste banken balansera behovet av att skydda sig mot risken att den misstänkte medarbetaren varnas och hinner radera spår eller flytta tillgångar. Det är en balansgång som kräver nära samarbete mellan säkerhetsteam, juridik och i många fall externa forensiska experter, och det är en process som sällan går så snabbt som någon önskar.