Maar liefst 97 procent van de IT-leiders geeft aan dat interne datalekken voor hun een grote zorg zijn. Dat blijkt uit een wereldwijd onderzoek door Egress, leverancier van human layer data security-oplossingen. Ruim driekwart (78 procent) vermoedt dat werknemers data onbedoeld in gevaar hebben gebracht in de afgelopen 12 maanden, 75 procent denkt dat dit opzettelijk is gebeurd. Gevraagd naar de gevolgen van deze datalekken, geeft 41 procent aan dat financiële schade de meeste impact heeft.
Egress heeft voor het tweede opeenvolgende jaar onderzoek gedaan naar interne datalekken en daarbij gekeken naar de oorzaken, frequentie en gevolgen hiervan. Daarnaast zijn IT-leiders en werknemers gevraagd naar datarisico, -verantwoordelijkheid en -bezit. Het onderzoek is in januari 2020 uitgevoerd door het onafhankelijke onderzoeksbureau Opinion Matters, waarbij meer de 500 IT-leiders en 5.000 werknemers zijn ondervraagd in het Verenigd Koninkrijk, de Verenigde Staten en de Benelux.
De resultaten tonen een serieuze kloof aan tussen het beeld dat IT-leiders hebben van het risico en de oorzaken van een intern lek enerzijds, en het beheer anderzijds. Het onderzoek laat ook zien dat het voor werknemers nog steeds niet duidelijk is wie data daadwerkelijk bezit en wie verantwoordelijk is voor de veiligheid ervan. Gevraagd naar welke traditionele securitytoepassingen gebruikt worden om het risico op interne datalekken te verkleinen, geeft maar de helft van de IT-leiders aan dat er antivirussoftware wordt ingezet om phishingaanvallen tegen te gaan. 48 procent gebruikt e-mailencryptie en 47 procent maakt gebruik van veilige samenwerkingstools. Meer dan de helft (58 procent) zegt dat de kans dat een werknemer zelf meldt dat er data op straat ligt groter is dan dat het door detectiesystemen wordt opgepikt.
Risicobeheerstrategie
Volgens CEO Tony Pepper van Egress toont het onderzoek aan dat IT-leiders zich neer lijken te leggen bij de onvermijdelijkheid van interne lekken en geen adequaat risicobeheer voeren. “Hoewel ze het risico van interne datalekken onderkennen, hebben IT-leiders vreemd genoeg geen nieuwe strategieën of technologieën geïmplementeerd om dit risico te verkleinen. In feite accepteren ze een situatie waarin minstens een derde van de werknemers gegevens in gevaar brengt.” Pepper vervolgt: “De strenge boetes die staan op datalekken dwingen IT-leiders tot het verbeteren van hun risicobeheerstrategie door tools te gebruiken waarmee datalekken voorkomen kunnen worden. Daarnaast is het belangrijk dat ze risicovectoren beter in beeld krijgen. Vertrouwen op werknemers die incidenten melden is geen acceptabele databeschermingsstrategie.”
Verkeerde adressering en phishingmails grootste oorzaak van onbedoelde datalekken
41 procent van de werknemers die per ongeluk gegevens heeft gelekt, geeft aan dat dit veroorzaakt werd door een phishingmail. Bij 31 procent was een verkeerde adressering, bijvoorbeeld via e-mail, de oorzaak. Dit wordt ondersteund door de uitkomst dat 45 procent van de respondenten aangeeft het afgelopen jaar een verzoek te hebben ontvangen om een eerder verstuurde mail als niet-verzonden te beschouwen.
Tony Pepper: “Incidenten waarbij personen per ongeluk gegevens delen met de verkeerde geadresseerden bestaan al zo lang als er e-mail bestaat. E-mail is een fundamentele vorm van communicatie binnen veel organisaties, waarbij het voordeel van efficiëntie wordt afgewogen tegen gegevensbeschermingsoverwegingen. Regelmatig wordt daarbij de voorkeur gegeven aan efficiëntie. Er zijn echter tal van technologische oplossingen beschikbaar die met behulp van machine learning veelvoorkomende problemen kunnen oplossen. Denk daarbij aan e-mails die naar de verkeerde personen gestuurd worden, het toevoegen van onjuiste bijlages, fouten door auto-complete en werknemers die encryptie-oplossingen onjuist gebruiken. Organisaties moeten van deze voordelen gebruikmaken zodat e-mail veiliger wordt.”
Verkeerd beeld werknemers op eigendom data
Het onderzoek toont aan dat misvattingen van werknemers over data-eigendom een negatieve invloed hebben op informatiebeveiliging. Uit de antwoorden van werknemers blijkt dat 29 procent van hen zelf of een collega wel eens opzettelijk data heeft gedeeld, wat niet in lijn ligt met het beleid van hun werkgever. Een verontrustend percentage van 46 procent gaf aan dat zij of een collega gegevens heeft meegenomen bij het wisselen van baan. Iets meer dan een kwart (26 procent) geeft aan wel eens risico te hebben genomen bij het delen van data omdat ze niet over de juiste beveiligingstoepassingen beschikte.
Deze roekeloze benadering van gegevensbescherming kan verklaard worden door de mening van werknemers over databezit en -verantwoordelijkheid. 41 procent van de respondenten is niet van mening dat gegevens exclusief eigendom zijn van de organisatie en slechts 37 procent ziet in dat iedereen een verantwoordelijkheid heeft om data veilig te houden. Tony Pepper licht toe: “Werknemers willen de gegevens die ze zelf ontwikkelen of waar ze mee werken ook zelf bezitten. Maar ze willen niet de verantwoordelijkheid dragen om de gegevens veilig te houden. Dit is een gevaarlijke combinatie als het gaat om databescherming. Tel daarbij op de neiging om bedrijfsgegevens mee te nemen naar een nieuwe baan en de bereidheid om risico’s te nemen bij het delen van gegevens en het is duidelijk dat er een alarmerende situatie is ontstaan voor securityprofessionals.”
Weinig respect voor data
Uit het onderzoek blijkt eveneens dat hoe hoger een werknemer in rang, hoe nonchalanter ze tegenover datalekken staan. 78 procent van de bestuurders en leidinggevenden heeft wel eens bewust tegen het bedrijfsbeleid in data gedeeld, tegenover slecht 10 procent van administratieve medewerkers. Leidinggevenden nemen ook het vaakst gegevens mee naar een nieuwe baan - 68 procent van degenen die bewust brak met databeleid deed dat bij het veranderen van baan, vergeleken met een gemiddelde van 46 procent. Het volledige onderzoek Egress Global Insider Data Breach bevat een vergelijking tussen het VK, de VS en de Benelux, en biedt inzicht in de antwoorden van respondenten werkzaam in de juridische-, financiële-, overheids- en zorgsector.
18 t/m 20 november 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ...
De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot en met hogere niveaus van...
3 april 2025 (halve dag)Praktische workshop met Alec Sharp [Halve dag] Deze workshop door Alec Sharp introduceert conceptmodellering vanuit een non-technisch perspectief. Alec geeft tips en richtlijnen voor de analist, en verkent datamodellering op c...
10, 11 en 14 april 2025Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikba...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
Deel dit bericht