Ondanks het bewustzijnvan de AVG gaat er vrijwel geen dag voorbij waarop er geen datalek in het nieuws is – en de gevolgen lijken alleen maar groter te worden. Het recente rapport ‘Cost of a Data Breach’ door IBM en Ponemon berekende dat de gemiddelde schade van een datalek met 1,5 procent is gestegen naar 3,92 miljoen dollar.
Ciso’s werken hard aan een oplossing van dit probleem, maar weten inmiddels ook niet goed meer waar ze de sleutel hiervoor kunnen vinden. Goed begrijpen waarom datalekken nog steeds voorkomen is een logisch startpunt van deze zoektocht. Maar wanneer er mensen zijn betrokken, blijken zaken minder zwart-wit te zijn dan je op het eerste oog zou verwachten.
Waarom-vraag beantwoorden
Er is veel aandacht en analyse besteed aan het type en de frequentie van datalekken, maar er is maar weinig focus op de vraag waarom een datalek ontstaat. Wanneer het gaat om cyberaanvallen of kwaadaardige datalekken kunnen we vrij snel motivaties bedenken, zoals financieel of politiek gewin, sabotage van concurrentie of eenvoudigweg emotie (bijvoorbeeld wraakgevoelens). De link tussen deze motivaties en de acties die hier het gevolg van zijn, mogen dan onwenselijk zijn – ze zijn tegelijkertijd ook verklaarbaar.
Wanneer het gaat om niet-kwalijke datalekken veroorzaakt door werknemers, wordt het complexer om zulke heldere motivaties aan te wijzen. Maar alleen door het waarom achter een datalek te begrijpen, kunnen er maatregelen worden genomen om het risico erop te verkleinen.
Daarom is er recentelijk een onderzoek uitgevoerd in samenwerking met onderzoeksbureau Opinion Matters, waarbij meer dan vijfhonderd cio’s en it-leidinggevenden in zowel de Verenigde Staten als Groot-Brittannië werden ondervraagd. Vrijwel alle respondenten (95 procent) maakten zich zorgen over de dreiging van binnenuit. En een meerderheid erkende dat ze vermoedden dat hun werknemers bedrijfsgegevens aan risicovolle situaties hadden blootgesteld in de afgelopen twaalf maanden, of dat nou per ongeluk (79 procent) of opzettelijk (61 procent) was.
Daarnaast hebben we meer dan vierduizend werknemers dezelfde vragen gesteld en daar komt een heel ander beeld uit naar voren: 92 procent zegt niet per ongeluk data te hebben gelekt en 91 procent geeft aan niet opzettelijk een datalek te hebben veroorzaakt.
Zo’n duidelijk contrast laat zien dat werknemers ofwel niet willen toegeven dat ze onzorgvuldig met data zijn omgegaan, ofwel zich er niet bewust van zijn.
Het probleem van onbewust data lekken is een precaire discussie. Het is niet alleen een zaak van bijvoorbeeld niet weten dat ze gevoelige data met de verkeerde personen hebben gedeeld. Het draait ook om de vraag of werknemers vinden dat ze recht hebben op toegang tot bepaalde informatie en gemachtigd zijn om deze gegevens bijvoorbeeld uit een beveiligde omgeving te halen. Want ook op die manier ontstaat een lek, bijvoorbeeld wanneer een werknemer contactgegevens van klanten meeneemt naar een nieuwe werkgever.
Uit het onderzoek blijkt dat bijna een derde van de werknemers (29 procent) ervan overtuigd is dat zij het recht hebben om data te bezitten van een bedrijf waar ze hebben gewerkt, en 60 procent is niet van mening dat de organisatie het exclusieve bezitsrecht heeft op deze data. Vooral jongeren zien data als gemeengoed: in de leeftijdscategorie 16-24 jaar gaf 33 procent aan dat organisaties bedrijfsdata exclusief bezitten, tegenover 51 procent van de respondenten van 65 jaar en ouder.
Bewustzijn en voorlichting zijn favoriet wanneer het gaat om de aanpak van niet-kwaadaardige lekken binnen de organisatie. Een stevige fundering van bewustzijn rondom cybersecurity kan vervelende situaties als gevolg van nalatigheid voorkomen. Werknemers kunnen eveneens worden bijgespijkerd in het onderwerp databezit, bijvoorbeeld in welke data in bezit van het bedrijf blijft wanneer een werknemer vertrekt. Een dergelijke voorlichting is met name van belang voor de nieuwe generaties van ‘social savvy’ werknemers, die in hun privéleven makkelijker omgaan met het delen van persoonlijke gegevens.
Maar met voorlichting alleen gaan organisaties het niet redden, fouten maken blijft immers menselijk.
Technologie kan helpen
Respondenten in het onderzoek die aangaven verantwoordelijk te zijn voor een datalek is ook gevraagd wat hiervan de oorzaak was. De meest genoemde redenen: fouten door snelheid (48 procent), werken onder hoge druk (30 procent) en vermoeidheid (29 procent). De meest genoemde redenen voor bewuste datalekken: het niet beschikken over de juiste tools om data veilig te delen (55 procent) en het meenemen van data naar een nieuwe baan (23 procent).
Dit inzicht helpt ons te begrijpen welke rol technologie speelt in het voorkomen van datalekken. Nieuwe machine learning- en graph database-technologieën maken het mogelijk om het moment te identificeren waarop de kans groter wordt dat werknemers de fout ingaan, per ongeluk of expres. Zo kunnen gebruikers en toezichthouders snel worden gewaarschuwd dat er een lek zou kunnen ontstaan, en kan dit zelfs voorkomen worden.
De inzet van deze technologie verkleint niet alleen de kans op een lek, maar ook de mogelijke impact ervan. Uit het eerder aangehaalde onderzoek ‘The Cost of a Data Breach’ blijkt dat beveiligingstechnologieën zoals encryptie en data loss prevention software zorgen voor lagere schadeposten bij een datalek. Encryptie heeft de grootste impact, met een schadevermindering van gemiddeld 360.000 dollar. Automatisering van security, waarbij technologieën zoals machine learning en analytics worden ingezet, leidt tot een afname van gemiddeld 2,5 miljoen dollar per datalek.
Geen nieuwe millenniumbug
Iemand die dagelijks bezig is met cybersecurity kan de AVG-wetgeving en de gevolgen niet negeren. Maar hoe verder mensen afstaan van een ciso en zijn securityteam, hoe lager het bewustzijn is voor de wetgeving. Het probleem is echter dat de AVG daar geen rekening mee houdt: de wet geldt voor iedereen, en over een goede bescherming van data valt niet te onderhandelen.
Zoals blijkt uit onderzoek, is er geen wondermiddel beschikbaar waarmee datalekken definitief gestopt kunnen worden. Dat geldt zeker voor lekken die worden veroorzaakt door werknemers, in al hun complexiteit. Maar de AVG heeft het afgelopen jaar bewezen dat datalekken niet de nieuwe millenniumbug zijn – ciso’s moeten werknemers blijven voorlichten en voorzien van het juiste gereedschap waarmee non-compliance wordt voorkomen. Om dit te bereiken, moeten ciso’s de problemen aanpakken die werknemers ervaren bij het delen van data. Wanneer ciso’s er niet 100 procent op kunnen vertrouwen dat personeel de juiste beslissingen neemt, moeten ze kijken naar welke technologieën die beslissing het best in hun plaats kan nemen.