Onderzoek Egress: interne datalekken grote zorg voor 97% IT-leiders

Maar liefst 97% van de IT-leiders geeft aan dat interne data­lekken voor hun een grote zorg zijn. Dat blijkt uit een wereld­wijd onderzoek door Egress, leve­ran­cier van human layer data security-oplos­singen. Ruim driekwart (78%) vermoedt dat werk­ne­mers data onbedoeld in gevaar hebben gebracht in de afgelopen 12 maanden, 75% denkt dat dit opzet­te­lijk is gebeurd. Gevraagd naar de gevolgen van deze data­lekken, geeft 41% aan dat finan­ciële schade de meeste impact heeft.

Egress heeft voor het tweede opeen­vol­gende jaar onderzoek gedaan naar interne data­lekken en daarbij gekeken naar de oorzaken, frequentie en gevolgen hiervan. Daarnaast zijn IT-leiders en werk­ne­mers gevraagd naar data­ri­sico, ‑verant­woor­de­lijk­heid en ‑bezit. Het onderzoek is in januari 2020 uitge­voerd door het onaf­han­ke­lijke onder­zoeks­bu­reau Opinion Matters, waarbij meer de 500 IT-leiders en 5.000 werk­ne­mers zijn onder­vraagd in het Verenigd Konink­rijk, de Verenigde Staten en de Benelux.

 

De resul­taten tonen een serieuze kloof aan tussen het beeld dat IT-leiders hebben van het risico en de oorzaken van een intern lek enerzijds, en het beheer ander­zijds. Het onderzoek laat ook zien dat het voor werk­ne­mers nog steeds niet duidelijk is wie data daad­wer­ke­lijk bezit en wie verant­woor­de­lijk is voor de veilig­heid ervan.

 

Gevraagd naar welke tradi­ti­o­nele secu­ri­ty­toe­pas­singen gebruikt worden om het risico op interne data­lekken te verkleinen, geeft maar de helft van de IT-leiders aan dat er anti­vi­rus­soft­ware wordt ingezet om phis­hing­aan­vallen tegen te gaan. 48% gebruikt e‑mailencryptie en 47% maakt gebruik van veilige samen­wer­kingstools. Meer dan de helft (58%) zegt dat de kans dat een werknemer zelf meldt dat er data op straat ligt groter is dan dat het door detec­tie­sys­temen wordt opgepikt.

 

Volgens Tony Pepper, CEO van Egress, toont het onderzoek aan dat IT-leiders zich neer lijken te leggen bij de onver­mij­de­lijk­heid van interne lekken en geen adequaat risi­co­be­heer voeren. “Hoewel ze het risico van interne data­lekken onder­kennen, hebben IT-leiders vreemd genoeg geen nieuwe stra­te­gieën of tech­no­lo­gieën geïm­ple­men­teerd om dit risico te verkleinen. In feite accep­teren ze een situatie waarin minstens een derde van de werk­ne­mers gegevens in gevaar brengt.”

 

Pepper vervolgt: “De strenge boetes die staan op data­lekken dwingen IT-leiders tot het verbe­teren van hun risi­co­be­heer­stra­tegie door tools te gebruiken waarmee data­lekken voorkomen kunnen worden. Daarnaast is het belang­rijk dat ze risi­co­vec­toren beter in beeld krijgen. Vertrouwen op werk­ne­mers die inci­denten melden is geen accep­ta­bele databeschermingsstrategie.”

 

41% van de werk­ne­mers die per ongeluk gegevens heeft gelekt, geeft aan dat dit veroor­zaakt werd door een phis­hing­mail. Bij 31% was een verkeerde adres­se­ring, bijvoor­beeld via e‑mail, de oorzaak. Dit wordt onder­steund door de uitkomst dat 45% van de respon­denten aangeeft het afgelopen jaar een verzoek te hebben ontvangen om een eerder verstuurde mail als niet-verzonden te beschouwen.

 

Tony Pepper: “Inci­denten waarbij personen per ongeluk gegevens delen met de verkeerde geadres­seerden bestaan al zo lang als er e‑mail bestaat. E‑mail is een funda­men­tele vorm van commu­ni­catie binnen veel orga­ni­sa­ties, waarbij het voordeel van effi­ci­ëntie wordt afgewogen tegen gege­vens­be­scher­mings­over­we­gingen. Regel­matig wordt daarbij de voorkeur gegeven aan effi­ci­ëntie. Er zijn echter tal van tech­no­lo­gi­sche oplos­singen beschik­baar die met behulp van machine learning veel­voor­ko­mende problemen kunnen oplossen. Denk daarbij aan e‑mails die naar de verkeerde personen gestuurd worden, het toevoegen van onjuiste bijlages, fouten door auto-complete en werk­ne­mers die encryptie-oplos­singen onjuist gebruiken. Orga­ni­sa­ties moeten van deze voordelen gebruik­maken zodat e‑mail veiliger wordt.”

 

Het onderzoek toont aan dat misvat­tingen van werk­ne­mers over data-eigendom een negatieve invloed hebben op infor­ma­tie­be­vei­li­ging. Uit de antwoorden van werk­ne­mers blijkt dat 29% van hen zelf of een collega wel eens opzet­te­lijk data heeft gedeeld, wat niet in lijn ligt met het beleid van hun werkgever. Een veront­rus­tend percen­tage van 46% gaf aan dat zij of een collega gegevens heeft meege­nomen bij het wisselen van baan. Iets meer dan een kwart (26%) geeft aan wel eens risico te hebben genomen bij het delen van data omdat ze niet over de juiste bevei­li­gingstoe­pas­singen beschikte.

 

Deze roekeloze bena­de­ring van gege­vens­be­scher­ming kan verklaard worden door de mening van werk­ne­mers over databezit en ‑verant­woor­de­lijk­heid. 41% van de respon­denten is niet van mening dat gegevens exclusief eigendom zijn van de orga­ni­satie en slechts 37% ziet in dat iedereen een verant­woor­de­lijk­heid heeft om data veilig te houden.

 

Tony Pepper licht toe: “Werk­ne­mers willen de gegevens die ze zelf ontwik­kelen of waar ze mee werken ook zelf bezitten. Maar ze willen niet de verant­woor­de­lijk­heid dragen om de gegevens veilig te houden. Dit is een gevaar­lijke combi­natie als het gaat om data­be­scher­ming. Tel daarbij op de neiging om bedrijfs­ge­ge­vens mee te nemen naar een nieuwe baan en de bereid­heid om risico’s te nemen bij het delen van gegevens en het is duidelijk dat er een alar­me­rende situatie is ontstaan voor securityprofessionals.”

 

Uit het onderzoek blijkt eveneens dat hoe hoger een werknemer in rang, hoe noncha­lanter ze tegenover data­lekken staan. 78% van de bestuur­ders en leiding­ge­venden heeft wel eens bewust tegen het bedrijfs­be­leid in data gedeeld, tegenover slecht 10% van admi­ni­stra­tieve medewerkers.

 

Leiding­ge­venden nemen ook het vaakst gegevens mee naar een nieuwe baan – 68% van degenen die bewust brak met data­be­leid deed dat bij het veran­deren van baan, verge­leken met een gemid­delde van 46%.