Insidertrusler opstår ikke kun ved nyansættelser. De kan også udvikle sig over tid blandt eksisterende medarbejdere. Derfor er det afgørende at have solide kontroller, både ved ansættelsen og løbende gennem ansættelsesforholdet.
Nyt lovkrav fra 1. juli 2025: Critical Entities Resilience-direktivet (CER-direktivet)
Med det nye CER-direktiv, der trådte i kraft den 1. juli 2025, er det nu et lovkrav for virksomheder med tilknytning til kritisk infrastruktur – herunder energi, sundhed, transport og digital infrastruktur – at gennemføre baggrundstjek af medarbejdere. Kravet gælder både nye og eksisterende medarbejdere.
Tre konkrete tiltag, virksomheder bør iværksætte
For at imødegå insidertrusler effektivt kræves en kombination af menneskelige, teknologiske og organisatoriske tiltag, der tilsammen reducerer risikoen.
- Klassificering af roller og ansvar
Anvend en risikobaseret tilgang til at klassificere roller og ansvarsområder blandt medarbejdere. Der kan eksempelvis skelnes mellem lav, mellem og høj risiko baseret på de specifikke funktioner, ansvarsområder og den adgang til fortrolige oplysninger, som forskellige medarbejdergrupper har. Implementér derefter systematiske baggrundstjek som en integreret del af ansættelsesprocessen, og foretag dem løbende ved begivenheder, såsom intern rotation, forfremmelser, eller når der opnås adgang til nye it-systemer.
- Kontinuerlig monitorering af adfærd
Implementér monitorering, der kan være med til at identificere usædvanlige aktiviteter, såsom adgang til data, filoverførsler mv., og reagér hurtigt på mistænkelig adfærd. Tidligere sager viser, at insidertrusler kan opstå gradvist, eksempelvis i forbindelse med økonomisk pres, livsforandringer eller lignende. - Sikkerhedskultur og tillid
Skab en kultur, hvor medarbejdere forstår deres ansvar for informationssikkerhed. Tilbyd regelmæssig træning og awareness-programmer, herunder kendskab til en eventuel whistleblowerordning, så mistænkelig adfærd kan rapporteres trygt.
Kontakt os
Følg PwC
