Gezondheidszorg- en life sciences-sector zorgt voor meeste DLP-overtredingen in de cloud

Data Loss Prevention-policies in de cloud zijn bedoeld om het dataverlies te voorkomen. Zo’n beleid beschrijft hoe omgesprongen moet worden met data om de veiligheid hiervan te waarborgen. Deze policies worden echter met regelmaat overtreden. De gezondheidszorg- en life sciences-sector is verantwoordelijk voor 76,2% van alle DLP-overtredingen in de cloud.

Dit blijkt uit het Autumn 2015 Netskope Cloud Report van Netskope over het gebruik van en trends rondom cloudapplicaties door bedrijven. Van de verschillende gevallen van data waarmee onvoorzichtig is omgesprongen in de gezondheidszorg en life sciences, blijkt beschermde gezondheidsinformatie (protected health information: PHI) in 68,5% onderwerp van policyovertredingen. PHI omvat gevoelige informatie over gezondheidsstatus of gebruik en kosten van gezondheidszorg, die kan worden gelinkt aan specifieke individuen. Persoonsgegevens (personally-identifiable information: PII) zijn in 13,7% van de gevallen onderhevig aan misbruik. De technologie- en IT-dienstensector staat op de tweede plaats voor wat betreft het hoogste aantal overtredingen, met 14,2 procent.

Bedrijven gebruiken meer cloudapps
Het gemiddelde aantal gebruikte cloudapplicaties van bedrijven is gegroeid naar 608 applicaties. Dit is 26% meer dan de 483 applicaties in het Summer 2015 Netskope Cloud Report. De technologie- en IT-dienstensector heeft binnen specifieke sectoren veruit het hoogste aantal applicaties in gebruik, met een gemiddelde van 1.157 applicaties per bedrijf. De gezondheidszorg- en life sciences-sector staat op de tweede plaats met 1.017 cloudapplicaties in totaal.

Opvallend is wel dat 89,9 procent van de gebruikte apps is niet geschikt voor bedrijven. De apps missen belangrijke functies zoals beveiliging, controle en certificering, service-levelovereenkomsten, haalbaarheid op het gebied van wetgeving, financiën en privacy, en verbetering van kwetsbaarheden. Hoewel activiteiten zoals het downloaden en delen van informatie vaak in verband worden gebracht met cloudopslag-apps, komt het lekken van data en blootstelling van gegevens ook vaak voor in belangrijke app-categorieën zoals human resources (HR) en business intelligence. ‘Downloaden’ is de op vier na meest voorkomende activiteit in HR-applicaties en ‘delen’ is de topactiviteit in business intelligence-cloudapplicaties.

DLP-overtredingen per sector
Netskope onderzocht anonieme data binnen het Netskope Active Platform en ontdekte gevoelige informatie met DLP-policyovertredingen opgeslagen in officieel goedgekeurde cloudapplicaties, en onderweg naar of vanaf verschillende officiële en officieuze cloud-apps. In totaal was 9,4 procent van alle onderzochte bestanden in officiële cloud-apps in overtreding met een DLP-regel, in verhouding tot 17,9 procent in het rapport van vorig seizoen. De vermindering in het aantal overtredingen toont aan dat organisaties proactiever worden in het opsporen en beschermen van gevoelige data in de cloud, en daarbij gebruik maken van een combinatie van e-discovery, gegevensversleuteling en geïsoleerde werkstromen.

Wanneer we dieper ingaan op de verschillende soorten overtredingen, blijkt dat PHI-overtredingen de lijst van DLP-policyovertredingen in cloudapplicaties binnen het Netskope Active Platform aanvoeren (68,5%). Volgens de Health Insurance Portability and Accountability Act (HIPAA) zijn achttien categorieën van gevoelige data gecategoriseerd als PHI, inclusief details over zorgverzekeringen en persoonlijke contactinformatie. Gezondheidszorg- en life sciencesbedrijven (27,6% van de gebruikers van het Netskope Active Platform) verantwoordelijk voor een groot deel van het totale aantal DLP-policyovertredingen (76,2%). Retailbedrijven, restaurants en hospitality-bedrijven (6,5% van de Netskope-gebruikers) zijn verantwoordelijk voor 6,7 procent van alle overtredingen.