💼 Management Samenvatting
Insider Risk Policies in Microsoft Purview vormen een krachtige verdedigingslinie tegen bedreigingen van binnenuit, zoals opzettelijke gegevenslekkage door vertrekkende medewerkers, onopzettelijke blootstelling van gevoelige informatie of kwaadaardige activiteiten door gecompromitteerde accounts. Voor Nederlandse overheidsorganisaties die werken met persoonsgegevens, bestuurlijke informatie en andere vertrouwelijke gegevens, zijn Insider Risk Policies onmisbaar om vroegtijdig risicogedrag te detecteren en incidenten te voorkomen voordat ze escaleren tot datalekken of beveiligingsbreuken.
Aanbeveling
IMPLEMENTEER INSIDER RISK POLICIES VOOR PROACTIEVE BEDREIGINGSDETECTIE
Risico zonder
High
Risk Score
8/10
Implementatie
180u (tech: 60u)
Van toepassing op:
✓ M365
✓ Microsoft Purview
✓ Insider Risk Management
✓ Publieke Sector
✓ Overheidsorganisaties
✓ Microsoft Purview
✓ Insider Risk Management
✓ Publieke Sector
✓ Overheidsorganisaties
Bedreigingen van binnenuit vormen een aanzienlijk en groeiend risico voor Nederlandse overheidsorganisaties. Uit onderzoek blijkt dat meer dan dertig procent van alle datalekken wordt veroorzaakt door insiders, zowel opzettelijk als onopzettelijk. Vertrekkende medewerkers die gevoelige informatie meenemen naar een nieuwe werkgever, medewerkers die per ongeluk vertrouwelijke documenten delen via onveilige kanalen, of gecompromitteerde accounts die worden misbruikt door externe aanvallers – allemaal scenario's die kunnen leiden tot ernstige privacyincidenten, reputatieschade en boetes van toezichthouders. Zonder gestructureerde detectie van insider-risico's blijven deze bedreigingen onopgemerkt totdat schade al is aangericht. Voor organisaties die moeten voldoen aan de BIO, NIS2 en AVG is proactieve detectie van insider-risico's niet alleen een best practice, maar een essentiële vereiste om te kunnen aantonen dat passende maatregelen zijn genomen om gegevens te beschermen en incidenten te voorkomen.
PowerShell Modules Vereist
Primary API: Microsoft Graph API, Security & Compliance PowerShell
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Identity.SignIns, ExchangeOnlineManagement
Connection:
Connect-MgGraph, Connect-IPPSSessionRequired Modules: Microsoft.Graph, Microsoft.Graph.Identity.SignIns, ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe Nederlandse overheidsorganisaties Insider Risk Policies ontwerpen, configureren en beheren in Microsoft Purview. We beginnen bij de governance: privacy-overwegingen, wettelijke basis, betrokkenheid van de ondernemingsraad of personeelsvertegenwoordiging en de wijze waarop detectie en onderzoek worden ingepast in bestaande privacy- en securityprocessen. Vervolgens gaan we in op het technische ontwerp: welke policy-templates beschikbaar zijn, hoe triggers worden geconfigureerd (zoals HR-data over vertrekkende medewerkers, DLP-overtredingen of afwijkende activiteitenpatronen), en hoe privacy-preserving features zoals pseudonimisering worden toegepast. We behandelen ook de implementatie: stapsgewijze configuratie van policies, het verbinden van HR-sources, het instellen van waarschuwingsdrempels en de integratie met bestaande security- en complianceworkflows. Tot slot laten we zien hoe u met het bijbehorende script periodiek controleert of policies correct zijn geconfigureerd, actief functioneren en aansluiten op privacy- en beveiligingsvereisten.
Governance, privacy-kader en wettelijke basis
De implementatie van Insider Risk Policies begint niet bij de technische configuratie, maar bij een solide governance- en privacykader. Voor Nederlandse overheidsorganisaties zijn er belangrijke wettelijke en ethische overwegingen die vooraf moeten worden geadresseerd. Insider Risk Management analyseert gebruikersgedrag en activiteiten van medewerkers, wat raakt aan privacywetgeving zoals de AVG en de Wet bescherming persoonsgegevens (Wbp). Dit betekent dat de organisatie expliciet moet kunnen aantonen dat monitoring van werknemersactiviteiten noodzakelijk, proportioneel en legitiem is voor het beoogde doel: het beschermen van vertrouwelijke informatie en het voorkomen van datalekken. Zonder een duidelijk governancekader en privacy impact assessment (PIA) riskeert de organisatie niet alleen ethische bezwaren en conflicten met de ondernemingsraad of personeelsvertegenwoordiging, maar ook potentiële schendingen van privacywetgeving waarbij toezichthouders boetes kunnen opleggen.
Een goed governancekader voor Insider Risk Policies omvat verschillende essentiële componenten. Ten eerste moet er een formeel beleidsdocument zijn waarin wordt vastgelegd dat de organisatie Insider Risk Management inzet, welke doelen hiermee worden nagestreefd (bescherming van vertrouwelijke informatie, preventie van datalekken, compliance met BIO en NIS2), en welke principes worden gehanteerd bij detectie en onderzoek. Dit beleid wordt idealiter ontwikkeld in samenwerking met de Functionaris Gegevensbescherming (FG), de CISO, HR, juridische afdeling en de ondernemingsraad of personeelsvertegenwoordiging. Het beleid beschrijft ook expliciet dat monitoring gericht is op risicogedrag en niet op individuele personen, dat privacy-preserving features zoals pseudonimisering worden toegepast totdat er een gerechtvaardigde reden is voor de-identificatie, en dat alle activiteiten binnen het Insider Risk Management-proces worden gelogd en geaudit.
Ten tweede moet een Privacy Impact Assessment (PIA) worden uitgevoerd die expliciet de privacy-risico's en mitigatiemaatregelen documenteert. De PIA beschrijft welke persoonsgegevens worden verwerkt (activiteitenlogs, e-mailgegevens, bestandstoegang, etc.), voor welk doel (detectie van insider-risico's en preventie van datalekken), op basis van welk juridisch grondslag (gerechtvaardigd belang of wettelijke verplichting onder BIO/NIS2), en welke technische en organisatorische maatregelen worden genomen om privacy te beschermen. De PIA beschrijft ook hoe wordt omgegaan met pseudonimisering (waarbij gebruikersidentiteiten worden verborgen totdat een onderzoek is gestart), wie toegang heeft tot Insider Risk-analyses, hoe lang gegevens worden bewaard, en hoe betrokkenen worden geïnformeerd over monitoring. Deze PIA wordt regelmatig herzien, bijvoorbeeld bij wijzigingen in policies of bij nieuwe privacy-vereisten, en wordt gedeeld met de FG en eventueel met de Autoriteit Persoonsgegevens indien dat nodig is.
Ten derde moet er een duidelijk proces zijn voor betrokkenheid van de ondernemingsraad (OR) of personeelsvertegenwoordiging. In Nederland hebben werknemers rechten onder de Wet op de ondernemingsraden, die vereist dat belangrijke beslissingen over monitoring en beveiliging met de OR worden besproken. Voor overheidsorganisaties zonder OR kan een personeelsvertegenwoordiging of medezeggenschapsraad een vergelijkbare rol vervullen. Het is belangrijk dat deze vertegenwoordiging tijdig wordt geïnformeerd over de plannen voor Insider Risk Management, dat er gelegenheid is voor overleg en bezwaar, en dat de organisatie kan uitleggen waarom monitoring noodzakelijk is en hoe privacy wordt beschermd. Zonder OR-betrokkenheid riskeert de organisatie conflicten, rechtszaken en reputatieschade wanneer monitoring wordt ontdekt zonder medeweten van werknemers. Een transparante aanpak waarbij werknemers worden geïnformeerd over monitoring (bijvoorbeeld via het personeelshandboek, intranet of informatiebijeenkomsten) is niet alleen ethisch correct, maar vermindert ook het risico op juridische geschillen.
Tot slot moet het governancekader processen definiëren voor het beheren van alerts, het starten van onderzoeken en het omgaan met bevindingen. Wie heeft de bevoegdheid om Insider Risk-alerts te bekijken? Wie mag een onderzoek starten en wanneer? Hoe worden HR, juridische afdeling en leidinggevenden betrokken wanneer er serieuze bevindingen zijn? Welke rechten hebben medewerkers wanneer zij worden onderzocht? Deze processen worden vastgelegd in procedures die duidelijk maken dat Insider Risk Management niet bedoeld is om werknemers te controleren of te disciplineren, maar om organisatiebrede risico's te detecteren en te mitigeren. Het governancekader zorgt ervoor dat Insider Risk Policies niet alleen technisch correct zijn geconfigureerd, maar ook ethisch, juridisch en organisatorisch verantwoord worden ingezet.
Policy-ontwerp en technische configuratie
Nadat het governance- en privacykader is vastgesteld, kan de technische configuratie van Insider Risk Policies worden opgestart. Microsoft Purview biedt verschillende policy-templates die aansluiten bij veelvoorkomende scenario's voor insider-risico's. De 'Data theft by departing users'-template richt zich specifiek op medewerkers die binnenkort vertrekken of recent zijn vertrokken, een periode waarin het risico op datalekken significant toeneemt. De 'Data leaks'-template detecteert onopzettelijke of opzettelijke gegevenslekkage naar externe partijen via e-mail, cloudopslag of andere kanalen. De 'Security policy violations'-template identificeert activiteiten die in strijd zijn met beveiligingsbeleid, zoals het omzeilen van DLP-beleid of het gebruik van niet-toegestane applicaties. Daarnaast biedt Purview de mogelijkheid om custom policies te ontwikkelen die zijn afgestemd op specifieke organisatierisico's, bijvoorbeeld policies die focussen op toegang tot zeer gevoelige dossiers of policies die detecteren wanneer medewerkers ongebruikelijk grote hoeveelheden data downloaden.
Het ontwerp van een Insider Risk Policy begint bij het definiëren van triggers die de policy activeren. Voor departing user-scenario's is de HR-data connector essentieel, die informatie over geplande vertrekdata ophaalt uit HR-systemen zoals SAP SuccessFactors, Workday of een ander HRIS. Deze connector maakt het mogelijk om policies te activeren voor medewerkers die binnen negentig dagen voor of na hun vertrekdatum risicogedrag vertonen. Voor andere scenario's kunnen triggers worden geconfigureerd op basis van DLP-overtredingen (wanneer een DLP-policy wordt geschonden, kan dit een Insider Risk-alert genereren), afwijkende activiteitenpatronen (bijvoorbeeld ongebruikelijk hoge volumes aan bestandsdownloads, massale e-mailverzendingen naar externe adressen, of toegang tot gevoelige informatie buiten normale werktijden), of security indicators (zoals aanmeldgedrag dat wijst op accountcompromittering). Het is belangrijk om triggers zorgvuldig te configureren om false positives te voorkomen terwijl echte risico's wel worden gedetecteerd. Een policy die te gevoelig is ingesteld, genereert zoveel alerts dat het SOC wordt overspoeld en belangrijke signalen worden gemist. Een policy die te weinig triggers heeft, mist juist belangrijke risico's.
Privacy-preserving features vormen een cruciaal onderdeel van Insider Risk Policies. Microsoft Purview past standaard pseudonimisering toe, waarbij gebruikersidentiteiten worden verborgen in alerts en analyses totdat een onderzoek wordt gestart. Dit betekent dat analisten risicoprofielen en activiteitenpatronen kunnen analyseren zonder direct te weten om welke persoon het gaat. Alleen wanneer er een gerechtvaardigde reden is om een onderzoek te starten (bijvoorbeeld wanneer een alert een bepaalde risicoscore overschrijdt of wanneer meerdere indicatoren wijzen op serieus risicogedrag), kan een bevoegde functionaris de pseudonimisering opheffen en de identiteit van de betrokkene bekijken. Deze aanpak beschermt de privacy van medewerkers en voorkomt dat onterechte verdenkingen worden geuit op basis van beperkte informatie. De configuratie van privacy-preserving features wordt beschreven in de PIA en moet worden getest om te verifiëren dat pseudonimisering daadwerkelijk werkt zoals bedoeld.
Naast triggers en privacy-features moeten Insider Risk Policies worden geconfigureerd met risicoscore-drempels, waarschuwingsinstellingen en escalatiepaden. Risicoscore-drempels bepalen wanneer een alert wordt gegenereerd: alleen bij hoge risicoscores, bij medium en hoge scores, of bij alle gedetecteerde risico's? Deze drempels worden afgestemd op de organisatiecultuur, de hoeveelheid beschikbare capaciteit voor alert-analyse, en de ernst van potentiële incidenten. Waarschuwingsinstellingen bepalen wie wordt geïnformeerd wanneer een alert wordt gegenereerd (bijvoorbeeld het SOC, de CISO, HR of de leidinggevende van de betrokkene), en via welk kanaal (e-mail, Microsoft Teams, SIEM-integratie). Escalatiepaden beschrijven wanneer alerts worden geëscaleerd naar een hoger niveau, bijvoorbeeld wanneer een risicoscore boven een bepaalde drempel komt of wanneer meerdere alerts wijzen op een georganiseerde bedreiging. Deze configuraties worden gedocumenteerd in het policy-ontwerp en worden regelmatig herzien op basis van ervaringen met false positives, detectienauwkeurigheid en responsetijden.
Gebruik PowerShell-script insider-risk-policies.ps1 (functie Get-InsiderRiskPolicyOverview) – Geeft een overzicht van alle Insider Risk Policies in Microsoft Purview, inclusief configuratie, triggers, risicodrempels en activatiestatus. Ondersteunt zowel lokale debug-tests als live-controles in de tenant..
Stapsgewijze implementatie van Insider Risk Policies
De implementatie van Insider Risk Policies volgt een gestructureerde aanpak die begint bij licentievereisten en eindigt bij operationele borging. Microsoft Purview Insider Risk Management vereist Microsoft 365 E5 Compliance-licenties of Microsoft 365 E5 Security-licenties voor alle gebruikers die worden gemonitord. Daarnaast zijn er specifieke beheerdersrollen nodig: de Insider Risk Management Administrator-rol voor het beheren van policies en settings, de Insider Risk Management Analyst-rol voor het bekijken van alerts en het uitvoeren van onderzoeken, en de Insider Risk Management Investigator-rol voor uitgebreide onderzoekscapaciteiten. Deze rollen worden idealiter toegekend via Privileged Identity Management (PIM) om te voorkomen dat beheerders permanent toegang hebben tot gevoelige werknemersgegevens. Voordat de implementatie start, voert de organisatie een licentie-inventarisatie uit om te verifiëren dat alle relevante gebruikers de juiste licenties hebben, en wordt een rollenstructuur opgezet die aansluit bij het governancekader.
De eerste concrete stap in de implementatie is het verbinden van HR-data sources via de HR-data connector. Deze connector haalt informatie op over medewerkers, functies, afdelingen en vertrekdata uit het HRIS en maakt deze beschikbaar voor Insider Risk Policies. De configuratie van de HR-connector vereist toegang tot het HRIS (meestal via API of een exportbestand), authenticatierechten voor het lezen van HR-data, en een mapping tussen HR-velden en Insider Risk Management-velden. Na het verbinden van de connector wordt de data-import getest om te verifiëren dat informatie correct wordt opgehaald en dat vertrekdata accurate zijn. Het is belangrijk dat HR-data regelmatig worden gesynchroniseerd (bijvoorbeeld dagelijks of wekelijks) om ervoor te zorgen dat Insider Risk Policies altijd over actuele informatie beschikken. De HR-connector wordt geconfigureerd met privacy-overwegingen in gedachten: alleen relevante data worden opgehaald, data worden veilig getransporteerd en opgeslagen, en toegang tot HR-data is beperkt tot bevoegde functionarissen.
Vervolgens worden de eerste Insider Risk Policies geconfigureerd volgens het ontwerp dat eerder is vastgesteld. De implementatie start met een pilot waarbij één of twee policies worden geactiveerd voor een beperkte groep gebruikers, bijvoorbeeld alleen voor vertrekkende medewerkers of alleen voor gebruikers met toegang tot zeer gevoelige informatie. Deze pilotfase maakt het mogelijk om te testen of policies correct functioneren, of false positives acceptabel zijn, en of de workflows voor alert-analyse en onderzoek effectief zijn. Tijdens de pilot worden verschillende aspecten geëvalueerd: worden alerts gegenereerd wanneer verwacht? Zijn risicoscores accuraat? Werken privacy-preserving features zoals bedoeld? Kunnen analisten alerts effectief analyseren en onderzoeken starten wanneer nodig? De bevindingen uit de pilot worden gebruikt om policies bij te stellen, workflows te verfijnen, en eventuele configuratiefouten te corrigeren voordat policies worden uitgerold naar de volledige organisatie.
Na een succesvolle pilot worden policies geleidelijk uitgerold naar de volledige organisatie. Deze uitrol wordt gedaan volgens een gefaseerd plan waarbij eerst policies worden geactiveerd voor hoogrisicogroepen (bijvoorbeeld medewerkers met toegang tot persoonsgegevens, bestuurlijke informatie of financiële gegevens), gevolgd door medium-risicogroepen, en ten slotte voor de volledige organisatie. Tijdens elke fase worden monitoring en evaluatie uitgevoerd om te verifiëren dat policies correct functioneren en dat er geen onverwachte problemen optreden. Parallel aan de technische uitrol worden gebruikers geïnformeerd over Insider Risk Management via intranet, e-mail, of informatiebijeenkomsten. Deze communicatie legt uit waarom monitoring wordt ingezet, hoe privacy wordt beschermd, welke activiteiten worden gemonitord, en wat de rechten van werknemers zijn. Transparante communicatie voorkomt onrust en zorgt ervoor dat werknemers begrijpen dat Insider Risk Management gericht is op organisatiebrede risico's en niet op individuele controle.
Tot slot wordt de implementatie geborgd door het opzetten van periodieke controles en reviews. Het bijbehorende PowerShell-script insider-risk-policies.ps1 kan worden ingezet om regelmatig (bijvoorbeeld maandelijks of per kwartaal) te controleren of policies correct zijn geconfigureerd, of HR-connectors nog functioneren, of privacy-instellingen correct zijn toegepast, en of er geen onverwachte configuratiewijzigingen zijn doorgevoerd. Deze controles worden uitgevoerd door de CISO, compliance officers of security auditors en worden gedocumenteerd voor audit-doeleinden. Daarnaast worden policies periodiek herzien op basis van veranderende risico's, nieuwe bedreigingen, of wijzigingen in organisatieprocessen. Een jaar na de implementatie wordt een post-implementatie review uitgevoerd waarbij wordt geëvalueerd of de beoogde doelen zijn bereikt, of policies effectief zijn in het detecteren van risico's, en welke verbetermaatregelen nodig zijn. Deze review wordt gedeeld met stakeholders, inclusief de FG, HR, en de ondernemingsraad of personeelsvertegenwoordiging.
Monitoring, alerting en onderzoek
Effectieve monitoring van Insider Risk Policies vereist een gestructureerde aanpak voor het analyseren van alerts, het prioriteren van risico's en het uitvoeren van onderzoeken. Wanneer Insider Risk Policies activiteiten detecteren die voldoen aan geconfigureerde triggers, worden alerts gegenereerd met een risicoscore die aangeeft hoe ernstig het potentiële risico is. Deze alerts verschijnen in het Insider Risk Management-dashboard in Microsoft Purview, waar analisten ze kunnen bekijken, analyseren en prioriteren. Het is belangrijk dat analisten zijn getraind in het interpreteren van risicoscores, het onderscheiden van echte bedreigingen en false positives, en het bepalen wanneer een onderzoek moet worden gestart. Zonder goede training en duidelijke procedures kunnen analisten alerts verkeerd interpreteren, belangrijke signalen missen, of onterecht onderzoeken starten op basis van onvoldoende informatie.
Alert-analyse begint met het bekijken van de risicoscore en de onderliggende indicatoren. Een hoge risicoscore (bijvoorbeeld boven 75 op een schaal van 0-100) betekent dat meerdere risico-indicatoren wijzen op serieus verdacht gedrag, zoals een vertrekkende medewerker die grote hoeveelheden gevoelige bestanden downloadt, massale e-mails verzendt naar externe adressen, en probeert DLP-beleid te omzeilen. Een lage risicoscore (bijvoorbeeld onder 30) kan wijzen op normale activiteiten die per ongeluk zijn gedetecteerd, zoals een medewerker die legitiem grote bestanden downloadt voor een project of die e-mails verstuurt naar externe partners als onderdeel van de normale werkzaamheden. Analisten moeten de context begrijpen: wat is de functie van de medewerker? Wat zijn de normale werkzaamheden? Is er een legitieme verklaring voor de activiteiten? Door alerts te analyseren in de context van de werkomgeving kunnen analisten false positives identificeren en focussen op echte bedreigingen.
Wanneer een alert een hoge risicoscore heeft en er geen duidelijke legitieme verklaring is voor de activiteiten, kan een onderzoek worden gestart. Het starten van een onderzoek heft de pseudonimisering op en maakt de identiteit van de betrokkene zichtbaar voor bevoegde onderzoekers. Onderzoeken worden idealiter uitgevoerd door een multidisciplinair team dat bestaat uit security analysts, HR-vertegenwoordigers, en eventueel juridische adviseurs, afhankelijk van de ernst van het incident. Het onderzoeksteam verzamelt aanvullende informatie: welke bestanden zijn gedownload? Naar welke externe adressen zijn e-mails verstuurd? Welke applicaties zijn gebruikt? Zijn er andere verdachte activiteiten? Deze informatie wordt gebruikt om te bepalen of er daadwerkelijk sprake is van een insider-risico of dat er een onschuldige verklaring is. Tijdens het onderzoek worden alle activiteiten gedocumenteerd en worden bevindingen vastgelegd in een onderzoeksrapport. Als er sprake is van een echte bedreiging, worden passende maatregelen genomen, zoals het intrekken van toegangsrechten, het informeren van HR en leidinggevenden, of het starten van een disciplinair traject. Als er geen bedreiging is geconstateerd, wordt het onderzoek gesloten en worden alle betrokkenen geïnformeerd.
Alerting en escalatie moeten zijn geconfigureerd om ervoor te zorgen dat kritieke alerts snel worden opgepikt door de juiste personen. Insider Risk Management kan worden geconfigureerd om automatisch e-mailmeldingen te sturen wanneer alerts worden gegenereerd, met verschillende meldingen voor verschillende risiconiveaus. Voor zeer hoge risicoscores (bijvoorbeeld boven 90) kunnen directe meldingen worden gestuurd naar de CISO, HR-directeur, en eventueel de bestuurder, zodat onmiddellijke actie kan worden ondernomen. Voor medium risicoscores kunnen meldingen worden gestuurd naar het SOC of de security team, die alerts kunnen analyseren tijdens normale werkuren. Daarnaast kan Insider Risk Management worden geïntegreerd met Microsoft Sentinel of andere SIEM-oplossingen, zodat alerts worden gecorreleerd met andere security-telemetrie en kunnen worden opgenomen in grotere security-incidenten. Deze integratie maakt het mogelijk om insider-risico's te koppelen aan externe bedreigingen, zoals wanneer een insider-account wordt gebruikt door een externe aanvaller, of wanneer insider-activiteiten deel uitmaken van een bredere aanvalscampagne.
Gebruik PowerShell-script insider-risk-policies.ps1 (functie Invoke-Monitoring) – Monitort de configuratie en status van Insider Risk Policies, controleert of HR-connectors functioneren, verifieert privacy-instellingen, en rapporteert over policy-activiteit en alert-statistieken..
Compliance en auditing voor Insider Risk Policies
Insider Risk Policies spelen een belangrijke rol in het voldoen aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties. De BIO (Baseline Informatiebeveiliging Overheid) vereist in thema 12.04 dat organisaties monitoring en logging implementeren voor kritieke systemen en processen. Insider Risk Management vormt een concrete implementatie van deze vereiste, waarbij gebruikersactiviteiten worden gemonitord om vroegtijdig bedreigingen te detecteren en incidenten te voorkomen. De BIO benadrukt ook het belang van continue monitoring en het analyseren van security events, wat direct aansluit bij de functionaliteiten van Insider Risk Policies. Voor organisaties die moeten voldoen aan BIO-normen zijn Insider Risk Policies niet alleen een best practice, maar een essentiële controle die aantoonbaar bijdraagt aan de beveiligingspostuur van de organisatie.
De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in verschillende sectoren, vereist in artikel 21 dat organisaties passende technische en organisatorische maatregelen implementeren om cybersecurity-risico's te beheren, inclusief detectie en respons op bedreigingen. Insider Risk Policies vormen een directe implementatie van deze vereiste door vroegtijdig insider-bedreigingen te detecteren en organisaties in staat te stellen proactief te reageren voordat incidenten escaleren. NIS2 benadrukt ook het belang van risicobeheer en continu monitoring, wat perfect aansluit bij de aanpak van Insider Risk Management. Voor Nederlandse organisaties die onder NIS2 vallen, zijn Insider Risk Policies een belangrijk onderdeel van het cybersecurity-risicobeheer en helpen ze organisaties te voldoen aan de detectie- en responsvereisten van de richtlijn.
De AVG (Algemene Verordening Gegevensbescherming) heeft belangrijke implicaties voor Insider Risk Management omdat monitoring van werknemersactiviteiten raakt aan privacyrechten. Organisaties moeten kunnen aantonen dat monitoring noodzakelijk is voor het beoogde doel (bescherming van persoonsgegevens en preventie van datalekken), proportioneel is (niet meer monitoring dan strikt noodzakelijk), en dat passende maatregelen zijn genomen om privacy te beschermen (zoals pseudonimisering en beperkte toegang). De PIA die wordt uitgevoerd voor Insider Risk Policies documenteert deze aspecten en vormt essentieel bewijsmateriaal voor auditors en toezichthouders. Daarnaast moet de organisatie kunnen aantonen dat werknemers zijn geïnformeerd over monitoring (via het personeelshandboek, intranet, of andere kanalen), dat er processen zijn voor het afhandelen van privacyverzoeken van betrokkenen, en dat monitoring wordt uitgevoerd in overeenstemming met privacy-by-design en privacy-by-default principes.
Voor audit-doeleinden is het belangrijk dat alle aspecten van Insider Risk Policies worden gedocumenteerd en bewaard. Dit omvat het governancekader (beleidsdocumenten, PIA, OR-betrokkenheid), de technische configuratie (policy-instellingen, triggers, risicodrempels, privacy-instellingen), de implementatiegeschiedenis (wanneer zijn policies geïmplementeerd, wie heeft ze geconfigureerd, welke wijzigingen zijn doorgevoerd), en de operationele resultaten (aantal alerts, aantal onderzoeken, bevindingen, maatregelen). Deze documentatie wordt bewaard voor minimaal zeven jaar, conform audit-vereisten, en is beschikbaar voor interne en externe auditors. Het bijbehorende PowerShell-script insider-risk-policies.ps1 kan worden gebruikt om periodiek rapportages te genereren over de configuratie en status van policies, wat helpt bij het opbouwen van audit-bewijs. Daarnaast worden periodieke reviews uitgevoerd (bijvoorbeeld per kwartaal of halfjaar) waarbij wordt geëvalueerd of policies nog steeds effectief zijn, of wijzigingen nodig zijn, en of er aanpassingen nodig zijn aan governance-processen. Deze reviews worden gedocumenteerd en vormen onderdeel van de audit-evidentie.
Externe audits van Insider Risk Policies richten zich op verschillende aspecten: is er een duidelijk governancekader? Is de PIA uitgevoerd en actueel? Zijn werknemers geïnformeerd over monitoring? Zijn policies correct geconfigureerd en functioneren ze zoals bedoeld? Worden alerts adequaat geanalyseerd en onderzoeken correct uitgevoerd? Wordt privacy voldoende beschermd? Door vooraf alle aspecten te documenteren, policies te testen, en periodieke controles uit te voeren, kunnen organisaties aantonen dat Insider Risk Management op een verantwoorde en effectieve manier wordt ingezet. Auditors verwachten concrete bewijzen: configuratierapporten, PIA-documentatie, communicatie naar werknemers, onderzoeksrapporten, en bewijs van periodieke reviews. Zonder deze documentatie kunnen organisaties niet bewijzen dat ze voldoen aan compliance-vereisten, wat kan leiden tot negatieve audit-bevindingen en mogelijke sancties van toezichthouders.
Compliance & Frameworks
- BIO: 12.04.01, 12.04.02 - Gebeurtenissen loggen en monitoren, gebruikersactiviteiten monitoren voor detectie van insider-bedreigingen en preventie van datalekken via Insider Risk Policies in Microsoft Purview.
- ISO 27001:2022: A.12.4.1, A.12.4.2, A.12.4.3 - Logging en monitoring van gebeurtenissen, analyse van security events, en detectie van afwijkende activiteiten voor informatiebeveiligingsdoeleinden, geïmplementeerd via Insider Risk Management.
- NIS2: Artikel - Doorlopende risicobeheersmaatregelen, detectie en respons op cybersecurity-bedreigingen, inclusief insider-bedreigingen, via gestructureerde monitoring en alerting van risicogedrag.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Insider Risk Policies configuratie en monitoring
.DESCRIPTION
Controleert en beheert Insider Risk Policies in Microsoft Purview.
Monitort policy-configuratie, HR-connector status, privacy-instellingen en alert-statistieken.
Ondersteunt zowel monitoring als remediation waar mogelijk.
.NOTES
Filename: insider-risk-policies.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-20
Version: 1.0
Related JSON: content/m365/audit-compliance/insider-risk-policies.json
Category: audit-compliance
Workload: m365
Vereisten:
- Microsoft 365 E5 Compliance of E5 Security licentie
- Insider Risk Management Administrator rol voor volledige functionaliteit
- Microsoft.Graph module geïnstalleerd
- ExchangeOnlineManagement module geïnstalleerd
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\insider-risk-policies.ps1 -Monitoring -DebugMode
Voert een lokale debug-run uit zonder verbinding met Microsoft 365 en toont voorbeeldgegevens.
.EXAMPLE
.\insider-risk-policies.ps1 -Monitoring
Haalt live Insider Risk Policies op via Microsoft Graph API en toont een samenvatting.
.EXAMPLE
.\insider-risk-policies.ps1 -GetPolicyOverview
Toont een gedetailleerd overzicht van alle geconfigureerde Insider Risk Policies.
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph, ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een controle uit op Insider Risk Policies configuratie")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Toon een gedetailleerd overzicht van alle Insider Risk Policies")]
[switch]$GetPolicyOverview,
[Parameter(HelpMessage = "Toon welke acties u zou nemen zonder wijzigingen in de tenant")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Voer een veilige lokale test uit zonder verbinding met Microsoft 365")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Insider Risk Policies" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# Verwachte policy-indicatoren voor Nederlandse organisaties
$script:ExpectedPolicyIndicators = @(
"Data theft by departing users",
"Data leaks",
"Security policy violations",
"General data leaks",
"Priority users"
)
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Graph en Security & Compliance.
.DESCRIPTION
Gebruikt Connect-MgGraph en Connect-IPPSSession voor toegang tot Insider Risk Management.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Host "DebugMode: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow
return
}
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray
try {
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context -or -not $context.TenantId) {
Connect-MgGraph -Scopes "Policy.Read.All", "User.Read.All" -NoWelcome -ErrorAction Stop | Out-Null
}
else {
Write-Host " Al verbonden met Microsoft Graph." -ForegroundColor Gray
}
}
catch {
Write-Host " [WAARSCHUWING] Kon geen verbinding maken met Microsoft Graph: $($_.Exception.Message)" -ForegroundColor Yellow
Write-Host " Sommige functionaliteiten zijn mogelijk beperkt." -ForegroundColor Yellow
}
Write-Host "Verbinding maken met Security & Compliance PowerShell..." -ForegroundColor Gray
try {
Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop | Out-Null
Write-Host " Verbinding met Security & Compliance succesvol." -ForegroundColor Green
}
catch {
Write-Host " [WAARSCHUWING] Kon geen verbinding maken met Security & Compliance: $($_.Exception.Message)" -ForegroundColor Yellow
Write-Host " Insider Risk Management functionaliteit vereist Security & Compliance PowerShell." -ForegroundColor Yellow
}
}
function Get-InsiderRiskPolicyOverview {
<#
.SYNOPSIS
Haalt een overzicht op van alle Insider Risk Policies.
.DESCRIPTION
Toont geconfigureerde policies, hun status, triggers en configuratie.
.OUTPUTS
PSCustomObject per policy.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Host "DebugMode: gebruik van voorbeelddata voor Insider Risk Policies.`n" -ForegroundColor Yellow
$examplePolicies = @(
[PSCustomObject]@{
Name = "Data theft by departing users"
Status = "Active"
Enabled = $true
PriorityUsers = @()
Triggers = @("HR connector", "DLP violations")
RiskScoreThreshold = "Medium"
},
[PSCustomObject]@{
Name = "General data leaks"
Status = "Active"
Enabled = $true
PriorityUsers = @()
Triggers = @("DLP violations", "Abnormal activities")
RiskScoreThreshold = "Medium"
}
)
return $examplePolicies
}
$policies = @()
try {
# Opmerking: Insider Risk Management heeft momenteel beperkte PowerShell-ondersteuning
# Microsoft Graph API biedt Insider Risk Management endpoints, maar deze vereisen specifieke rechten
Write-Host "Insider Risk Policies ophalen via Microsoft Graph API..." -ForegroundColor Gray
# Probeer Insider Risk Policies op te halen via Graph API
# Nota bene: De exacte API-endpoints kunnen variëren en vereisen InsiderRisk.Read.All rechten
try {
# Voorbeeld: gebruik van Graph API voor Insider Risk (indien beschikbaar)
# $policiesResponse = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/security/insiderRiskPolicies" -ErrorAction SilentlyContinue
Write-Host " [INFO] Insider Risk Management heeft beperkte PowerShell-ondersteuning." -ForegroundColor Yellow
Write-Host " Gebruik het Microsoft Purview complianceportaal voor volledige policy-beheer." -ForegroundColor Yellow
Write-Host " Navigeer naar: https://compliance.microsoft.com/insiderriskmanagement" -ForegroundColor Cyan
# Voor nu: controleer of verbindingen succesvol zijn
$context = Get-MgContext -ErrorAction SilentlyContinue
if ($context) {
Write-Host " [OK] Verbonden met Microsoft Graph." -ForegroundColor Green
}
return $policies
}
catch {
Write-Host " [WAARSCHUWING] Kon Insider Risk Policies niet ophalen: $($_.Exception.Message)" -ForegroundColor Yellow
Write-Host " Zorg ervoor dat u beschikt over Insider Risk Management Administrator rechten." -ForegroundColor Yellow
return $policies
}
}
catch {
Write-Host " [FOUT] Er is een fout opgetreden: $($_.Exception.Message)" -ForegroundColor Red
return $policies
}
}
function Test-InsiderRiskCompliance {
<#
.SYNOPSIS
Test of Insider Risk Policies correct zijn geconfigureerd.
.DESCRIPTION
Controleert of policies actief zijn, HR-connectors functioneren, en privacy-instellingen correct zijn.
.OUTPUTS
PSCustomObject met compliance-status.
#>
[CmdletBinding()]
param()
$result = [PSCustomObject]@{
ScriptName = "insider-risk-policies.ps1"
Timestamp = Get-Date
IsCompliant = $false
TotalPolicies = 0
ActivePolicies = 0
Findings = @()
Recommendations = @()
}
try {
if ($DebugMode) {
Write-Host "DebugMode: gebruik van voorbeelddata voor compliance-controle.`n" -ForegroundColor Yellow
$result.TotalPolicies = 2
$result.ActivePolicies = 2
$result.IsCompliant = $true
$result.Findings = @(
"Voorbeeld: Twee Insider Risk Policies zijn geconfigureerd",
"Voorbeeld: HR-connector is verbonden",
"Voorbeeld: Privacy-instellingen zijn geconfigureerd"
)
Write-Host " [OK] Debug-controle voltooid (voorbeelddata)." -ForegroundColor Green
return $result
}
Write-Host "Insider Risk Policies compliance-controle uitvoeren...`n" -ForegroundColor Gray
# Haal policies op
$policies = Get-InsiderRiskPolicyOverview
if ($policies -and $policies.Count -gt 0) {
$result.TotalPolicies = $policies.Count
$result.ActivePolicies = ($policies | Where-Object { $_.Enabled -eq $true -and $_.Status -eq "Active" }).Count
Write-Host " Gevonden: $($result.TotalPolicies) Insider Risk Policy(ies)" -ForegroundColor Cyan
Write-Host " Actief: $($result.ActivePolicies) policy(ies)" -ForegroundColor Cyan
# Controleer of minimaal één policy actief is
if ($result.ActivePolicies -ge 1) {
$result.Findings += "Ten minste één Insider Risk Policy is actief geconfigureerd"
}
else {
$result.Findings += "Geen actieve Insider Risk Policies gevonden"
$result.Recommendations += "Configureer en activeer ten minste één Insider Risk Policy in het Purview complianceportaal"
}
# Controleer of er policies zijn voor vertrekkende gebruikers
$departingUserPolicy = $policies | Where-Object { $_.Name -like "*departing*" -or $_.Name -like "*vertrek*" }
if ($departingUserPolicy) {
$result.Findings += "Policy voor vertrekkende gebruikers is geconfigureerd"
}
else {
$result.Recommendations += "Overweeg een policy te configureren voor vertrekkende gebruikers (Data theft by departing users)"
}
}
else {
Write-Host " [WAARSCHUWING] Geen Insider Risk Policies gevonden via PowerShell." -ForegroundColor Yellow
$result.Findings += "Geen Insider Risk Policies gevonden via PowerShell-API"
$result.Recommendations += "Controleer handmatig in het Purview complianceportaal of policies zijn geconfigureerd"
$result.Recommendations += "Zorg ervoor dat u beschikt over Insider Risk Management Administrator rechten"
}
# Controleer verbindingsstatus
$graphContext = Get-MgContext -ErrorAction SilentlyContinue
if ($graphContext) {
$result.Findings += "Verbonden met Microsoft Graph API"
}
else {
$result.Findings += "Niet verbonden met Microsoft Graph API"
$result.Recommendations += "Maak verbinding met Microsoft Graph om Insider Risk Policies op te halen"
}
# Bepaal compliance-status
if ($result.ActivePolicies -ge 1 -and $graphContext) {
$result.IsCompliant = $true
}
else {
$result.IsCompliant = $false
}
Write-Host ""
if ($result.IsCompliant) {
Write-Host " [OK] COMPLIANT: Insider Risk Policies zijn geconfigureerd" -ForegroundColor Green
}
else {
Write-Host " [ATTENTIE] NON-COMPLIANT: Insider Risk Policies vereisen aandacht" -ForegroundColor Yellow
Write-Host " Bekijk de aanbevelingen hieronder voor verbeteracties." -ForegroundColor Yellow
}
return $result
}
catch {
Write-Host " [FOUT] Er is een fout opgetreden tijdens compliance-controle: $($_.Exception.Message)" -ForegroundColor Red
$result.Findings += "Fout tijdens compliance-controle: $($_.Exception.Message)"
$result.IsCompliant = $false
return $result
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert monitoring uit op Insider Risk Policies.
.OUTPUTS
PSCustomObject met monitoring-resultaten.
#>
[CmdletBinding()]
param()
try {
Write-Host "Monitoring uitvoeren voor Insider Risk Policies...`n" -ForegroundColor Cyan
# Voer compliance-controle uit
$result = Test-InsiderRiskCompliance
# Toon bevindingen
if ($result.Findings.Count -gt 0) {
Write-Host "`nBevindingen:" -ForegroundColor Cyan
foreach ($finding in $result.Findings) {
Write-Host " - $finding" -ForegroundColor Gray
}
}
# Toon aanbevelingen
if ($result.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
foreach ($recommendation in $result.Recommendations) {
Write-Host " - $recommendation" -ForegroundColor Yellow
}
}
# Toon policy-overzicht indien beschikbaar
if (-not $DebugMode) {
Write-Host "`nOpmerking:" -ForegroundColor Cyan
Write-Host " Insider Risk Management heeft beperkte PowerShell-ondersteuning." -ForegroundColor Gray
Write-Host " Voor volledige policy-beheer gebruikt u het Microsoft Purview complianceportaal:" -ForegroundColor Gray
Write-Host " https://compliance.microsoft.com/insiderriskmanagement" -ForegroundColor Cyan
}
Write-Host ""
return $result
}
catch {
Write-Host "`n[FOUT] Er is een fout opgetreden tijdens monitoring: $($_.Exception.Message)" -ForegroundColor Red
throw
}
}
function Disconnect-RequiredServices {
<#
.SYNOPSIS
Verbreekt verbindingen met Microsoft services.
#>
[CmdletBinding()]
param()
if ($DebugMode) {
return
}
try {
Disconnect-MgGraph -ErrorAction SilentlyContinue | Out-Null
}
catch {
# Negeer disconnect-fouten
}
try {
Disconnect-ExchangeOnline -Confirm:$false -ErrorAction SilentlyContinue | Out-Null
}
catch {
# Negeer disconnect-fouten
}
}
# Hoofduitvoering
try {
Connect-RequiredServices
if ($GetPolicyOverview) {
Write-Host "Overzicht van Insider Risk Policies ophalen...`n" -ForegroundColor Cyan
$policies = Get-InsiderRiskPolicyOverview
if ($policies -and $policies.Count -gt 0) {
$policies | Format-Table -AutoSize
}
else {
Write-Host " Geen policies gevonden of geen toegang tot Insider Risk Management API." -ForegroundColor Yellow
Write-Host " Gebruik het Purview complianceportaal voor volledige policy-beheer." -ForegroundColor Yellow
}
}
elseif ($Monitoring) {
Invoke-Monitoring | Out-Null
}
else {
Write-Host "Gebruik:" -ForegroundColor Yellow
Write-Host " -Monitoring Voert monitoring uit op Insider Risk Policies configuratie" -ForegroundColor Gray
Write-Host " -GetPolicyOverview Toont een overzicht van alle geconfigureerde policies" -ForegroundColor Gray
Write-Host " -DebugMode Voert een lokale test uit zonder verbinding met Microsoft 365" -ForegroundColor Gray
Write-Host " -WhatIf Toont welke acties zouden worden uitgevoerd zonder wijzigingen te maken" -ForegroundColor Gray
Write-Host ""
Write-Host "Opmerking:" -ForegroundColor Yellow
Write-Host " Insider Risk Management heeft beperkte PowerShell-ondersteuning." -ForegroundColor Gray
Write-Host " Voor volledige policy-configuratie gebruikt u het Microsoft Purview complianceportaal." -ForegroundColor Gray
}
}
catch {
Write-Host "`n[FOUT] Script is gestopt vanwege een onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
if ($_.Exception.InnerException) {
Write-Host " Details: $($_.Exception.InnerException.Message)" -ForegroundColor Red
}
exit 1
}
finally {
Disconnect-RequiredServices
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder Insider Risk Policies blijven bedreigingen van binnenuit onopgemerkt totdat schade al is aangericht. Meer dan dertig procent van alle datalekken wordt veroorzaakt door insiders, zowel opzettelijk als onopzettelijk. Vertrekkende medewerkers die gevoelige informatie meenemen, medewerkers die per ongeluk vertrouwelijke documenten delen, of gecompromitteerde accounts die worden misbruikt – allemaal scenario's die kunnen leiden tot ernstige privacyincidenten, reputatieschade en boetes van toezichthouders. Voor organisaties die moeten voldoen aan BIO, NIS2 en AVG is proactieve detectie van insider-risico's niet alleen een best practice, maar een essentiële vereiste om te kunnen aantonen dat passende maatregelen zijn genomen om gegevens te beschermen.
Management Samenvatting
Insider Risk Policies in Microsoft Purview detecteren vroegtijdig bedreigingen van binnenuit, zoals gegevenslekkage door vertrekkende medewerkers, onopzettelijke blootstelling van gevoelige informatie of kwaadaardige activiteiten door gecompromitteerde accounts. Implementatie vereist een solide governance- en privacykader (inclusief PIA en OR-betrokkenheid), configuratie van policy-templates en triggers, verbinding van HR-data sources, en operationele processen voor alert-analyse en onderzoek. Privacy-preserving features zoals pseudonimisering beschermen werknemersprivacy totdat onderzoeken worden gestart. Het bijbehorende script insider-risk-policies.ps1 monitort de configuratie en status van policies. Insider Risk Policies dragen bij aan compliance met BIO 12.04, NIS2 artikel 21, ISO 27001 en AVG, en zijn essentieel voor organisaties die werken met persoonsgegevens en vertrouwelijke informatie.
- Implementatietijd: 180 uur
- FTE required: 0.5 FTE