IT-beveiligingsrisico’s door eigen medewerkers worden onderschat

Europese bedrijven onderschatten de gevaren en de risico’s van IT-bedreigingen van binnenuit. 43 procent van de werknemers is ervan overtuigd dat zijn organisatie niet vatbaar is voor deze zogenaamde insider threats. Dat terwijl een derde van de werknemers ooit zelf betrokken was bij een IT-beveiligingsincident. Nederlandse bedrijven zijn zich beter bewust van de risico’s; van de Nederlandse organisaties denkt slechts 27 procent dat zijn of haar organisatie niet vatbaar is voor bedreigingen van binnenuit.

Dat blijkt uit onderzoek van leverancier van beveiligingsoplossingen Forcepoint in samenwerking met onderzoeksbureau Atomik Research onder vierduizend kantoormedewerkers in verschillende Europese landen. Onder insider threats verstaat Forcepoint IT-beveiligingsbedreigingen die in een organisatie van binnenuit komen. Daarbij kan het zowel om de eigen medewerkers gaan, als om freelancers, oud-medewerkers en andere mensen met kennis van, of toegang tot de IT-infrastructuur van een organisatie. In 2016 was 67 procent van de Nederlandse bedrijven nog het slachtoffer van een beveiligingsincident dat het gevolg was van een insider threat, zo blijkt uit een eerder onderzoek van Forcepoint en onderzoeksbureau Team Vier.

Gevolg van onwetendheid

In sommige gevallen gaat het bij insider threats om risico’s die voortkomen uit onwetendheid. Zo toont het onderzoek van Forcepoint en Atomik Research aan dat 27 procent niet denkt aan de veiligheid bij het uploaden van data naar de cloud. Ruim een tiende (elf procent) geeft daarnaast aan ooit per ongeluk data aan derden te hebben doorgestuurd, en zeventien procent kreeg te maken met een verloren of gestolen device. Iets meer dan een kwart (26 procent) denkt bovendien dat het delen van logingegevens geen veiligheidsrisico oplevert, of weet dat niet zeker.

Een mogelijke oorzaak voor insider threats als gevolg van onwetendheid is het feit dat 27 procent van de ondervraagde werknemers aangeeft dat zijn of haar werkgever geen beveiligingsbeleid heeft of uitvoert. Vier op de tien (39 procent) zeggen verder dat ze nog nooit een training hebben gekregen op het gebied van databeveiliging. Bijna een kwart (23 procent) van de ondervraagden is niet op de hoogte van de gevolgen die een beveiligingslek kan opleveren, en 22 procent denkt zelfs dat een lek geen financiële gevolgen heeft voor de organisatie, of weet dat niet zeker.

Kwade bedoelingen vormen een serieuze bedreiging

Naast onwetendheid vormen ook insiders met kwade bedoelingen een serieuze bedreiging. Zo geeft veertien procent van de ondervraagde werknemers aan dat hij of zij zou overwegen om inloggegevens te verkopen aan derden. Van deze groep zouden vier op de tien dat zelfs doen voor minder dan 250 euro. Iets minder dan een derde (29 procent) geeft daarnaast aan ooit bewust informatie te hebben doorgestuurd aan onbevoegden, en vijftien procent nam ooit bedrijfskritische informatie mee naar een nieuwe werkgever.

“Insiders hebben vaak toegang tot gevoelige gegevens en een beveiligingslek als gevolg van een insider threat kan verwoestende gevolgen hebben voor een organisatie, zowel op financieel gebied als voor de reputatie”, zegt Tim Hoefsloot, Regional Director bij Forcepoint. “Daar komt bij dat in mei 2018 de General Data Protection Regulation ingaat. Deze Europese regelgeving stelt zeer strenge eisen aan de bescherming van data en kan leiden tot torenhoge boetes als het misgaat. Bedrijven doen er daarom verstandig aan risico’s van binnenuit de organisatie serieus te nemen en voorzorgsmaatregelen te nemen om de risico’s en gevolgen van insider threats zoveel mogelijk te verkleinen.”