Onderzoek Egress: interne datalekken grote zorg voor 97% IT-leiders

Egress

Maar liefst 97% van de IT-leiders geeft aan dat interne datalekken voor hun een grote zorg zijn. Dat blijkt uit een wereldwijd onderzoek door Egress, leverancier van human layer data security-oplossingen. Ruim driekwart (78%) vermoedt dat werknemers data onbedoeld in gevaar hebben gebracht in de afgelopen 12 maanden, 75% denkt dat dit opzettelijk is gebeurd. Gevraagd naar de gevolgen van deze datalekken, geeft 41% aan dat financiële schade de meeste impact heeft.

Egress heeft voor het tweede opeenvolgende jaar onderzoek gedaan naar interne datalekken en daarbij gekeken naar de oorzaken, frequentie en gevolgen hiervan. Daarnaast zijn IT-leiders en werknemers gevraagd naar datarisico, -verantwoordelijkheid en -bezit. Het onderzoek is in januari 2020 uitgevoerd door het onafhankelijke onderzoeksbureau Opinion Matters, waarbij meer de 500 IT-leiders en 5.000 werknemers zijn ondervraagd in het Verenigd Koninkrijk, de Verenigde Staten en de Benelux.

De resultaten tonen een serieuze kloof aan tussen het beeld dat IT-leiders hebben van het risico en de oorzaken van een intern lek enerzijds, en het beheer anderzijds. Het onderzoek laat ook zien dat het voor werknemers nog steeds niet duidelijk is wie data daadwerkelijk bezit en wie verantwoordelijk is voor de veiligheid ervan.

Gevraagd naar welke traditionele securitytoepassingen gebruikt worden om het risico op interne datalekken te verkleinen, geeft maar de helft van de IT-leiders aan dat er antivirussoftware wordt ingezet om phishingaanvallen tegen te gaan. 48% gebruikt e-mailencryptie en 47% maakt gebruik van veilige samenwerkingstools. Meer dan de helft (58%) zegt dat de kans dat een werknemer zelf meldt dat er data op straat ligt groter is dan dat het door detectiesystemen wordt opgepikt.

Volgens Tony Pepper, CEO van Egress, toont het onderzoek aan dat IT-leiders zich neer lijken te leggen bij de onvermijdelijkheid van interne lekken en geen adequaat risicobeheer voeren. “Hoewel ze het risico van interne datalekken onderkennen, hebben IT-leiders vreemd genoeg geen nieuwe strategieën of technologieën geïmplementeerd om dit risico te verkleinen. In feite accepteren ze een situatie waarin minstens een derde van de werknemers gegevens in gevaar brengt.”

Pepper vervolgt: “De strenge boetes die staan op datalekken dwingen IT-leiders tot het verbeteren van hun risicobeheerstrategie door tools te gebruiken waarmee datalekken voorkomen kunnen worden. Daarnaast is het belangrijk dat ze risicovectoren beter in beeld krijgen. Vertrouwen op werknemers die incidenten melden is geen acceptabele databeschermingsstrategie.”

Verkeerde adressering en phishingmails grootste oorzaak van onbedoelde datalekken

41% van de werknemers die per ongeluk gegevens heeft gelekt, geeft aan dat dit veroorzaakt werd door een phishingmail. Bij 31% was een verkeerde adressering, bijvoorbeeld via e-mail, de oorzaak. Dit wordt ondersteund door de uitkomst dat 45% van de respondenten aangeeft het afgelopen jaar een verzoek te hebben ontvangen om een eerder verstuurde mail als niet-verzonden te beschouwen.

Tony Pepper: “Incidenten waarbij personen per ongeluk gegevens delen met de verkeerde geadresseerden bestaan al zo lang als er e-mail bestaat. E-mail is een fundamentele vorm van communicatie binnen veel organisaties, waarbij het voordeel van efficiëntie wordt afgewogen tegen gegevensbeschermingsoverwegingen. Regelmatig wordt daarbij de voorkeur gegeven aan efficiëntie. Er zijn echter tal van technologische oplossingen beschikbaar die met behulp van machine learning veelvoorkomende problemen kunnen oplossen. Denk daarbij aan e-mails die naar de verkeerde personen gestuurd worden, het toevoegen van onjuiste bijlages, fouten door auto-complete en werknemers die encryptie-oplossingen onjuist gebruiken. Organisaties moeten van deze voordelen gebruikmaken zodat e-mail veiliger wordt.”’ 

Verkeerd beeld werknemers op eigendom data

Het onderzoek toont aan dat misvattingen van werknemers over data-eigendom een negatieve invloed hebben op informatiebeveiliging. Uit de antwoorden van werknemers blijkt dat 29% van hen zelf of een collega wel eens opzettelijk data heeft gedeeld, wat niet in lijn ligt met het beleid van hun werkgever. Een verontrustend percentage van 46% gaf aan dat zij of een collega gegevens heeft meegenomen bij het wisselen van baan. Iets meer dan een kwart (26%) geeft aan wel eens risico te hebben genomen bij het delen van data omdat ze niet over de juiste beveiligingstoepassingen beschikten.

Deze roekeloze benadering van gegevensbescherming kan verklaard worden door de mening van werknemers over databezit en -verantwoordelijkheid. 41% van de respondenten is niet van mening dat gegevens exclusief eigendom zijn van de organisatie en slechts 37% ziet in dat iedereen een verantwoordelijkheid heeft om data veilig te houden.

Tony Pepper licht toe: “Werknemers willen de gegevens die ze zelf ontwikkelen of waar ze mee werken ook zelf bezitten. Maar ze willen niet de verantwoordelijkheid dragen om de gegevens veilig te houden. Dit is een gevaarlijke combinatie als het gaat om databescherming. Tel daarbij op de neiging om bedrijfsgegevens mee te nemen naar een nieuwe baan en de bereidheid om risico’s te nemen bij het delen van gegevens en het is duidelijk dat er een alarmerende situatie is ontstaan voor securityprofessionals.”

Leidinggevenden tonen weinig respect voor data

Uit het onderzoek blijkt eveneens dat hoe hoger een werknemer in rang, hoe nonchalanter ze tegenover datalekken staan. 78% van de bestuurders en leidinggevenden heeft wel eens bewust tegen het bedrijfsbeleid in data gedeeld, tegenover slecht 10% van administratieve medewerkers.

Leidinggevenden nemen ook het vaakst gegevens mee naar een nieuwe baan - 68% van degenen die bewust brak met databeleid deed dat bij het veranderen van baan, vergeleken met een gemiddelde van 46%.