97 procent van de IT-leiders in organisaties noemt interne datalekken als een grote zorg. Dat blijkt uit onderzoek in opdracht van Egress, leverancier van security-oplossingen. 78 procent van de respondenten uit het onderzoek vermoedt dat werknemers data onbedoeld in gevaar hebben gebracht in de afgelopen 12 maanden, 75 procent denkt dat dit opzettelijk is gebeurd. 41 procent geeft aan dat financiële schade het meest ernstige gevolg is van interne datalekken.
Egress heeft voor het tweede opeenvolgende jaar onderzoek gedaan naar oorzaken, frequentie en gevolgen van interne datalekken. Daarnaast kregen IT-leiders en werknemers vragen over datarisico, -verantwoordelijkheid en -bezit. Het onderzoek is in januari 2020 uitgevoerd door het onderzoeksbureau Opinion Matters, waarbij meer de 500 IT-leiders en 5.000 werknemers zijn ondervraagd in het Verenigd Koninkrijk, de Verenigde Staten en de Benelux.
Serieuze kloof
De resultaten schetsen volgens Egress een serieuze kloof tussen het beeld dat IT-leiders hebben van het risico en de oorzaken van een intern lek enerzijds, en het beheer anderzijds. Het onderzoek laat ook zien dat het voor werknemers nog steeds niet duidelijk is wie data daadwerkelijk bezit en wie verantwoordelijk is voor de veiligheid ervan.
De helft van de IT-leiders stelt dat er antivirussoftware wordt ingezet om phishing-aanvallen tegen te gaan en zo het risico op interne datalekken te verkleinen. 48 procent gebruikt e-mailencryptie en 47 procent veilige samenwerkingstools. 58 procent zegt dat de kans dat een werknemer zelf meldt dat er data op straat ligt, groter is dan dat het door detectiesystemen wordt opgepikt.
Geen adequaat risicobeheer
Volgens Tony Pepper, CEO van Egress, lijken IT-leiders zich neer te leggen bij de onvermijdelijkheid van interne lekken en voeren geen adequaat risicobeheer. "In feite accepteren ze een situatie waarin minstens een derde van de werknemers gegevens in gevaar brengt. De strenge boetes die staan op datalekken dwingen IT-leiders tot het verbeteren van hun risicobeheerstrategie door tools te gebruiken waarmee datalekken voorkomen kunnen worden. Daarnaast is het belangrijk dat ze risicovectoren beter in beeld krijgen. Vertrouwen op werknemers die incidenten melden is geen acceptabele databeschermingsstrategie.”
41 procent van de werknemers die per ongeluk gegevens heeft gelekt, noemt een phishingmail als oorzaak. Bij 31 procent was een verkeerde adressering, zoals via e-mail, de oorzaak.
Misvattingen van werknemers over data-eigendom hebben een negatieve invloed op informatiebeveiliging. 29 procent van de werknemers zelf of een collega heeft wel eens opzettelijk data gedeeld, wat niet in lijn ligt met het beleid van hun werkgever. 46 procent gaf aan dat zij of een collega gegevens hebben meegenomen bij het wisselen van baan. 26 procent geeft aan wel eens risico te hebben genomen bij het delen van data omdat ze niet over de juiste beveiligingstoepassingen beschikten.
Roekeloze benadering gegevensbescherming
Deze volgens Egress 'roekeloze' benadering van gegevensbescherming kan verklaard worden door de mening van werknemers over databezit en -verantwoordelijkheid. 41 procent van de respondenten is niet van mening dat gegevens exclusief eigendom zijn van de organisatie. Slechts 37 procent ziet in dat iedereen een verantwoordelijkheid heeft om data veilig te houden.
Uit het onderzoek blijkt verder nog dat, dat hoe hoger een werknemer in rang is, hoe nonchalanter ze tegenover datalekken staan. 78 procent van de bestuurders en leidinggevenden heeft wel eens bewust tegen het bedrijfsbeleid in data gedeeld, tegenover slecht 10 procent van administratieve medewerkers.
Leidinggevenden nemen ook het vaakst gegevens mee naar een nieuwe baan: 68 procent van degenen die bewust brak met databeleid, deed dat bij het veranderen van baan, vergeleken met een gemiddelde van 46 procent.
