'Bedrijven onderschatten IT-beveiligingsrisico’s door eigen medewerkers'

Europese bedrijven onderschatten de gevaren en de risico’s van IT-bedreigingen van binnenuit. 43 procent van de werknemers is ervan overtuigd dat zijn organisatie niet vatbaar is voor deze zogenaamde insider threats. Nog eens drie op de tien zijn niet helemaal zeker van hun zaak. Dat terwijl een derde van de werknemers ooit zelf betrokken was bij een IT-beveiligingsincident. Dat blijkt uit onderzoek van Forcepoint en onderzoeksbureau Atomik Research onder vierduizend kantoormedewerkers in verschillende Europese landen.

Forcepoint-300x98 Onder insider threats verstaat Forcepoint IT-beveiligingsbedreigingen die in een organisatie van binnenuit komen. Daarbij kan het zowel om de eigen medewerkers gaan, als om freelancers, oud-medewerkers en andere mensen met kennis van, of toegang tot de IT-infrastructuur van een organisatie. In 2016 was 67 procent van de Nederlandse bedrijven nog het slachtoffer van een beveiligingsincident dat het gevolg was van een insider threat, zo blijkt uit een eerder onderzoek van Forcepoint en onderzoeksbureau Team Vier. Overigens lijken Nederlandse organisaties zich beter bewust van de gevaren van insider threats; hier denkt slechts 27 procent dat zijn of haar organisatie niet vatbaar is voor bedreigingen van binnenuit.

Gevolg van onwetendheid

In sommige gevallen gaat het bij insider threats om risico’s die voortkomen uit onwetendheid. Zo toont het onderzoek van Forcepoint en Atomik Research aan dat 27 procent niet denkt aan de veiligheid bij het uploaden van data naar de cloud. Ruim een tiende (elf procent) geeft daarnaast aan ooit per ongeluk data aan derden te hebben doorgestuurd, en zeventien procent kreeg te maken met een verloren of gestolen device. Iets meer dan een kwart (26 procent) denkt bovendien dat het delen van logingegevens geen veiligheidsrisico oplevert, of weet dat niet zeker.

Een mogelijke oorzaak voor insider threats als gevolg van onwetendheid is het feit dat 27 procent van de ondervraagde werknemers aangeeft dat zijn of haar werkgever geen beveiligingsbeleid heeft of uitvoert. Vier op de tien (39 procent) zeggen verder dat ze nog nooit een training hebben gekregen op het gebied van databeveiliging. Bijna een kwart (23 procent) van de ondervraagden is niet op de hoogte van de gevolgen die een beveiligingslek kan opleveren, en 22 procent denkt zelfs dat een lek geen financiële gevolgen heeft voor de organisatie, of weet dat niet zeker.

Ook kwade bedoeling een serieuze bedreiging

Naast onwetendheid vormen ook insiders met kwade bedoelingen een serieuze bedreiging. Zo geeft veertien procent van de ondervraagde werknemers aan dat hij of zij zou overwegen om inloggegevens te verkopen aan derden. Van deze groep zouden vier op de tien dat zelfs doen voor minder dan 250 euro. Iets minder dan een derde (29 procent) geeft daarnaast aan ooit bewust informatie te hebben doorgestuurd aan onbevoegden, en vijftien procent nam ooit bedrijfskritische informatie mee naar een nieuwe werkgever.

“Insiders hebben vaak toegang tot gevoelige gegevens en een beveiligingslek als gevolg van een insider threat kan verwoestende gevolgen hebben voor een organisatie, zowel op financieel gebied als voor de reputatie”, zegt Tim Hoefsloot, Regional Director bij Forcepoint. “Daar komt bij dat in mei 2018 de General Data Protection Regulation ingaat. Deze Europese regelgeving stelt zeer strenge eisen aan de bescherming van data en kan leiden tot torenhoge boetes als het misgaat. Bedrijven doen er daarom verstandig aan risico’s van binnenuit de organisatie serieus te nemen en voorzorgsmaatregelen te nemen om de risico’s en gevolgen van insider threats zoveel mogelijk te verkleinen.”

Meer over
Lees ook
Nieuw rapport Barracuda laat zien dat cybercriminelen hun aanvalstactieken snel aanpassen

Nieuw rapport Barracuda laat zien dat cybercriminelen hun aanvalstactieken snel aanpassen

Barracuda heeft de vijfde editie van zijn spearphishing rapport gepubliceerd, dat laat zien hoe cybercriminelen snel inspelen op actuele ontwikkelingen en voortdurend nieuwe tactieken inzetten.

Bedrijven maken zich zorgen over phishing en identiteitsdiefstal

Bedrijven maken zich zorgen over phishing en identiteitsdiefstal

Ruim de helft (52%) van 300 ondervraagde IT- en cybersecurityprofessionals maakt zich zorgen over phishing en identiteitsdiefstal. Verder krijgt ruim een derde (38%) te maken met ongeautoriseerde apparatuur en toegang tot applicaties en data. Dat zijn twee resultaten uit de door Pulse Secure en de CyberRisk Alliance gepubliceerde Cybersecurity Res1

Acronis Cyberthreats Report: 2021 wordt het “jaar van de afpersing”

Acronis Cyberthreats Report: 2021 wordt het “jaar van de afpersing”

Acronis, wereldwijd leider op het gebied van cyberbescherming, heeft het 2020 Acronis Cyberthreats Report uitgebracht met een uitgebreide analyse van het dreigingslandschap van 2020 en prognoses voor 2021. Gezien de uitdagingen op het gebied van databescherming, die nog flink zijn toegenomen door het thuiswerken tijdens de coronacrisis, waarschuwt1