Datalek geen reden klanten te waarschuwen

Dit zijn enkele resultaten van Threat Landscape Report, een jaarlijks onderzoek van CyberArk. “We zien helaas vaak dat men probeert de gevolgen van een aanval binnenskamers te houden," zegt Bart Bruijnesteijn van het bedrijf. Zo’n 63 procent van de respondenten maakt zich zorgen over de veiligheid van de organisatie. Ondanks dat vrij hoge percentage, geeft de helft aan te weinig kennis te hebben van security-beleid of wat hun rol is ten tijde van een aanval.

Deze onwetendheid blijkt uit de prioriteiten die organisaties en mensen stellen na een aanval, blijkt uit aanvullend Nederlands onderzoek door CyberArk. Ruim tweederde (68 procent) “richt zich logischerwijs op het dichten van het lek” en iets meer dan de helft (53 procent) probeert de aard van de aanval te achterhalen.

Binnenskamers houden

Het werk aan deze securityrespons lijkt echter te weinig tijd of aandacht over te laten voor de nazorg naar getroffen klanten toe. “Slechts 11 procent geeft aan klanten direct in te lichten”, meldt CyberArk. Dit informeren komt ná andere prioriteiten zoals: het inlichten van directie en medewerkers, het updaten van securitysystemen, het weer op gang brengen van de organisatie, en het beheren van de eigen reputatie en communicatie.

“We zien helaas vaak dat men probeert de gevolgen van een aanval binnenskamers te houden”, verklaart Bart Bruijnesteijn, pre-sales manager UK & North Europe bij CyberArk. “Dit gebeurde bijvoorbeeld bij Yahoo en recentelijk bij Uber, maar bij veel meer organisaties.” Naar laatstgenoemde 'hackverzwijger' heeft toezichthouder AP (Autoriteit Persoonsgegevens) momenteel een onderzoek lopen.

Dreiging van boetes

“Op het eerste gezicht logisch dat je eerst je eigen zaakjes op orde wilt hebben, maar als gegevens van klanten verloren zijn gegaan, moet je ze op de hoogte brengen. Dat is nu al goed om te doen, maar zal straks na de invoering van GDPR [AVG in het Nederlands - red.] ook simpelweg verplicht zijn op straffe van flinke boetes als het niet gebeurt”, aldus Bruijnesteijn.

De door CyberArk geconstateerde meldingsgebreken en daarachter schuilende onwetendheid stroken met Nederlands onderzoek van eind 2016, uitgevoerd door onderzoeksbureau Pb7 in opdracht van Kaspersky Lab. Het rapport ‘Meldplicht datalekken in de praktijk’ is opgesteld toen Nederland net een jaar de eigen meldplicht datalekken had.

Voorschot en vertrouwen

Het bleek toen al dat veel ondernemingen en instellingen (41 procent) een datalek niet of niet tijdig melden aan toezichthouder AP. Daarnaast wist een kwart (26 procent) niet of ze wel melding hadden gedaan. Het nu door CyberArk gemeten gebrek aan klantenmelding sluit aan op de stand van zaken bij één jaar Nederlandse ervaring met een meldplicht voor datalekken - en daarmee voorschot op de GDPR.

CyberArk benadrukt dat vertrouwen in veel gevallen aan de basis ligt van een klantrelatie, en dat beveiliging daarin een belangrijke rol speelt. Zo’n 44 procent van de nu ondervraagde organisaties stelt dat ze eerst de security van een mogelijke partner beoordelen voordat ze ermee in zee gaan. Iets meer dan de helft van de organisaties laat derden toe (zoals toeleveranciers) op het netwerk; een kwart van dit verkeer wordt niet gemonitord.

Wachtwoorden vaak op papier

Verder valt op in het onderzoek dat veel mensen nog altijd volharden in slecht wachtwoordbeheer, waarin overigens Nederland positief uit de toon valt. Over het algemeen bewaart 36 procent van de respondenten wachtwoorden in een documentje op de pc, in het Nederlandse aanvullende onderzoek was dit onder security-specialisten slechts 5 procent.

Wachtwoorden op papier bijhouden doet wereldwijd 19 procent; in Nederland een goede 6 procent. In 64 procent van de gevallen wordt een specifieke, beveiligde oplossing gebruikt voor het beheer van de privileged accounts; in Nederland is op dat vlak nog wat te verbeteren, want hier doet slechts 41 procent dat.