Bedrijven verliezen klanten door onbetrouwbare sleutels en certificaten
Cybercriminelen voeren aanvallen uit op encryptiesleutels en digitale certificaten van organisaties. Een groot probleem voor bedrijven, aangezien zij hierdoor in toenemende mate het vertrouwen van klanten verliezen. Als organisaties niet meer worden vertrouwd, verliezen zij klanten en kan zelfs de continuïteit van het bedrijf gevaar lopen.
Dit blijkt uit onderzoek van het Ponemon instituut en beveiligingsbedrijf Venafi onder 2.300 IT-securityprofessionals wereldwijd naar de businessimpact van niet beveiligde digitale sleutels en certificaten. In het onderzoeksrapport ‘2015 Cost of Failed Trust Report’ geven de partijen inzicht in het potentiële verlies van klanten, de financiële gevolgen van niet beschikbare online services, mislukte audits en het risico op inbraken. Ponemon en Venafi stellen dat het online vertrouwen van klanten momenteel op een breekpunt staat.
Verlies van klanten, uitval van systemen en gemiste audits
Als organisaties niet meer worden vertrouwd, verliezen zij klanten en kan zelfs de continuïteit gevaar lopen:
- Verlies van klanten als online vertrouwen wegvalt: 59% van alle respondenten hebben al klanten verloren door onvoldoende beveiliging van sleutels en certificaten die de basis vormen voor online vertrouwen, voor een gemiddelde waarde van $ 15 miljoen per incident.
- Uitval van kritische bedrijfssystemen: de afgelopen twee jaar zijn kritische systemen van de ondervraagde organisaties gemiddeld ruim 2 keer uitgevallen door certificaatproblemen.
- Gemiste audits: de afgelopen twee jaar is er bij de ondervraagde organisaties minstens één SSL/TLS-audit en één SSH-audit mislukt.
Alle IP-toepassingen, variërend van online bankieren en mobiele apps tot en met het Internet of Things, worden beveiligd met digitale sleutels en certificaten. De afhankelijkheid daarvan neemt de komende jaren verder toe door het snelgroeiende gebruik van SSL/TLS, mobiele netwerken, WiFi en VPN’s. Ook de beschikbaarheid-, compliance- en beveiligingsrisico’s worden hierdoor groter. De veiligheidsrisico’s bedragen bij de ondervraagde organisaties de komende twee jaar ruim 46 miljoen euro (53 miljoen dollar) en de compliance- en beschikbaarheidsrisico’s zo’n 6,3 miljoen euro (7,2 miljoen dollar).
Uitdagingen beveiliging en beheer
De IT-securityprofessionals zijn daarnaast gevraagd naar hun uitdagingen bij het beveiligen en beheren van alle sleutels en certificaten. 54% geeft aan niet te weten hoeveel sleutels zij in gebruik hebben en waar deze worden bewaard. Dit percentage ligt hoger dan de 50% die twee jaar geleden in hetzelfde onderzoek naar voren kwam. Security-analisten zijn van mening dat het aantal wordt onderschat. Dezelfde 54% gaf toe dat zij geen policybeleid hebben voor alle sleutels en certificaten. Het Ponemon instituut en Venafi roepen organisaties dan ook op meer aandacht te besteden aan het beveiligeinv an sleutels en certificaten.
“Als bedrijven er onvoldoende in slagen om hun digitale sleutels en certificaten te beveiligen en te beheren, is de kans groot dat zij klanten en omzet verliezen”, zegt Kevin Bocek, Vice President Security Strategy & Threath Intelligence bij Venafi. “Elke organisatie vertrouwt tegenwoordig op het vertrouwen dat sleutels en certificaten dagelijks bieden, ook al is men zich daar niet van bewust. Daarom zouden IT-beveiligers verplicht moeten worden om regelmatige audits uit te voeren naar alle gebruikte certificaten en sleutels en hun expiratiedata. Maar ook beleid te ontwikkelen om informatiediefstal, ongeplande systeemstoringen en mislukte audits te voorkomen.”
Bewuster van risico’s
“Hopelijk maakt dit rapport IT-securityprofessionals en managementteams bewuster van de risico’s die zij lopen als encryptiesleutels en digitale certificaten onvoldoende worden beschermd”, zegt Larry Ponemon, voorzitter en oprichter van het Ponemon instituut. “Sleutels en certificaten worden namelijk steeds breder toegepast en zijn onmisbaar voor het creëren van vertrouwde verbindingen en het beveiligen van online business. Het is duidelijk dat de data een groter beveiligingsprobleem onthult. Als men niet weet waar alle sleutels en certificaten worden gebruikt en beheerd, zijn ze uiteraard niet continu te monitoren en te beschermen. Organisaties die nalaten om ze tijdens de hele levenscyclus geautomatiseerd te beveiligen, verliezen vroeg of laat het online vertrouwen.”
Dossiers
Meer over
Lees ook
Britse cybercrimineel gaat slachtoffer helpen beveiliging te verbeteren
Een man uit de Britse hoofdstad Londen is opgepakt voor betrokkenheid bij een cyberaanval op een organisatie uit het Britse Derbyshire wordt niet vervolgd. De man heeft een deal gesloten met de organisatie die hij heeft aangevallen. De aanvaller gaat het slachtoffer helpen diens IT-beveiliging te verbeteren. De 24-jarige man werd opgepakt door de1
D-Link aangeklaagd door FTC wegens beveiliging van routers en camera's
De Taiwanese fabrikant van netwerkapparatuur D-Link is aangeklaagd door de Amerikaanse Federal Trade Commission (FTC). De FTC stelt dat D-Link routers en IP-camera’s die het levert aan consumenten onvoldoende heeft beschermd om de privacy en veiligheid van klanten te waarborgen. De maatregel van de FTC is onderdeel van een campagne die de organisa1
Qualys en Infoblox bundelen krachten rond vulnerability management, compliance en threat remediation
Infoblox en Qualys, leverancier van cloudbeveiligings- en compliance-oplossingen, gaan een samenwerking aan. Samen voorzien de organisaties klanten van uitgebreid netwerkinzicht om hen te wapenen tegen besmettingen, assetmanagement te automatiseren, bedreigingen sneller aan te pakken en compliance en auditing te vereenvoudigen. Bedrijfsnetwerken worden steeds complexer en maken gebruik van verschillende architecturen, waaronder fysieke, virtuele en private/public clouds. Vanwege de snelle opkomst van het Internet of Things (IoT) verwachten analisten dat er in 2020 34 miljard apparaten met het1