Klanten worden lang niet altijd geïnformeerd over datalekken

De helft van alle organisaties brengt klanten niet volledig op de hoogte in geval van datadiefstal middels een cyberaanval. Met de GDPR of AVG in aantocht om de transparantie te vergroten, liggen flinke consequenties op de loer voor deze bedrijven. Het op de hoogte brengen van klanten is bij cybercrime geen prioriteit.

Dit blijkt uit het Threat Landscape Report, een jaarlijks onderzoek van CyberArk. Zo’n 63 procent van de respondenten maakt zich zorgen over de veiligheid van de organisatie. Ondanks dat vrij hoge percentage, geeft de helft aan te weinig kennis te hebben van security-beleid of wat hun rol is ten tijde van een aanval.

Dichten van lek heeft prioriteit

Dit vertaalt zich terug in de prioriteiten die men stelt na een aanval, blijkt uit aanvullend Nederlands onderzoek: 68 procent richt zich logischerwijs op het dichten van het lek en 53 procent probeert de aard van de aanval te achterhalen. Slechts 11 procent geeft aan klanten direct in te lichten; het komt daarmee na andere prioriteiten als de directie en medewerkers inlichten, security-systemen updaten, organisatie op gang brengen en reputatie/communicatie beheren.

“We zien helaas vaak dat men probeert de gevolgen van een aanval binnenskamers te houden. Dit gebeurde bijvoorbeeld bij Yahoo en recentelijk bij Uber, maar bij veel meer organisaties. Op het eerste gezicht logisch dat je eerst je eigen zaakjes op orde wilt hebben, maar als gegevens van klanten verloren zijn gegaan, moet je ze op de hoogte brengen. Dat is nu al goed om te doen, maar zal straks na de invoering van GDPR ook simpelweg verplicht zijn op straffe van flinke boetes als het niet gebeurt”, aldus Bart Bruijnesteijn van CyberArk.

Klantrelatie op basis van vertrouwen

Vertrouwen ligt in veel gevallen aan de basis van een klantrelatie en beveiliging speelt daar een belangrijke rol in. Zo’n 44 procent stelt dat ze eerst de security van een mogelijke partner beoordelen voordat ze ermee in zee gaan. Iets meer dan de helft van de organisaties laat derden toe (zoals toeleveranciers) op het netwerk; een kwart van dit verkeer wordt niet gemonitord.

Verder valt op in het onderzoek dat veel mensen nog altijd volharden in slecht wachtwoordbeheer, waarin overigens Nederland positief uit de toon valt. Wereldwijd bewaart 36 procent van de respondenten wachtwoorden in een documentje op de pc, terwijl dit percentage in Nederland op slechts 5 procent ligt. Wachtwoorden op papier bijhouden doet wereldwijd 19 procent; in Nederland een goede 6 procent. In 64 procent van de gevallen wordt een specifieke, beveiligde oplossing gebruikt voor het beheer van de privileged accounts. Op dit vlak scoort Nederland lager; slechts 41% van de Nederlandse respondenten geeft aan dit te doen.