Een blik op datalekstatistieken in 2020

2020 is vanuit alle gezichtspunten een uitdagend jaar gebleken. Met de gezondheidscrisis als gevolg van de COVID-19 pandemie, die de wereldeconomie ontwrichtte en veel sectoren lam legde, was cyberbeveiliging misschien wel het laatste waar iemand aan dacht. Veel kwaadwillende actoren hebben echter van de chaos geprofiteerd om verwoesting aan te richten en te profiteren van de verslapping van de cyberbeveiligingsinspanningen. Als gevolg daarvan was 2020 een stellair jaar voor datalekken en regelgevende boetes.

De overhaaste invoering van wijdverspreid beleid voor werken op afstand in alle bedrijfssectoren creëerde grote gaten in cybersecurity, wat resulteerde in een toename van beveiligingsincidenten. Volgens het cyberbeveiligingsbedrijf Malwarebytes’ Enduring from Home: COVID-19’s Impact on Business Security rapport, werden telewerkers de bron van bijna 20% van de cyberbeveiligingsincidenten in 2020. Van de bedrijven die reageerden op hun enquête, kreeg 24% ook te maken met onverwachte kosten die direct verband hielden met cyberaanvallen en -inbreuken die plaatsvonden als gevolg van thuiswerken.

Het rapport toonde ook een verontrustende trend onder telewerkers om hun persoonlijke apparaten te gebruiken in plaats van de apparaten die ze van het bedrijf hebben gekregen. 27,7% van de respondenten zei dat ze hun persoonlijke apparaten meer gebruikten dan de apparaten die ze van hun werkplek kregen, en nog eens 31,2% gaf toe dat ze soms persoonlijke apparaten gebruikten voor het werk. Slechts 39,1% gebruikte uitsluitend apparaten van het werk om hun taken uit te voeren.

Enkele van de belangrijkste zorgen van de bedrijven met betrekking tot telewerken hadden te maken met apparaten die thuis meer worden blootgesteld, waar onbevoegden er toegang toe kunnen hebben, de moeilijkheid om apparaten te beheren met behulp van middelen voor telewerken, schaduw-IT en een afname van de effectiviteit van IT-ondersteuning die op afstand wordt uitgevoerd. Dit alles in een situatie waarin slechts 61% van de bedrijven hun werknemers van werkapparatuur voorziet en 45% geen veiligheids- en online privacyanalyses heeft uitgevoerd van de softwaretools die zij hebben geïmplementeerd voor de overgang naar thuiswerken.

De belangrijkste oorzaken van datalekken

Volgens het IBM and the Ponemon Institute Cost of a Data Breach report 2020, waarin 3200 personen werden ondervraagd die voor 524 organisaties in 17 landen en regio’s werken, werd 52% van alle datalekken veroorzaakt door kwaadwillende buitenstaanders, nog eens 25% door systeemstoringen en 23% door menselijke fouten. De persoonlijk identificeerbare informatie (PII) van klanten, die 80% van alle inbreuken uitmaakte, was het soort gegevens dat het vaakst verloren ging of werd gestolen. Dit is niet verwonderlijk, aangezien PII vanwege de gevoeligheid ervan de meest waardevolle soort gegevens is. Als gevolg daarvan is het ook het type gegevens dat het vaakst wordt beschermd door regelgeving op het gebied van gegevensbescherming.

Compromised credentials and cloud misconfiguration were responsible for 19% of malicious data breaches, with third-party software vulnerabilities account for another 16%. Menselijke fouten waren ook niet de enige manier waarop werknemers bijdroegen aan datalekken. Kwaadwillende insiders waren de hoofdoorzaak van 7% van de datalekken, terwijl social engineering en phishing-aanvallen die rechtstreeks op werknemers waren gericht, goed waren voor nog eens 17%.

Werknemers bleken in sommige sectoren ook nalatiger te zijn dan in andere. Bovenaan de lijst stond de entertainmentsector, waar 34% van alle datalekken werd veroorzaakt door onzorgvuldige werknemers, gevolgd door de overheidssector en de sector consumentenproducten, waar menselijke fouten verantwoordelijk waren voor 28% van de datalekken. In de gezondheidszorg was nalatigheid van werknemers, ondanks zware regelgeving, verantwoordelijk voor 27% van alle datalekken. Aan de andere kant van het spectrum werd in de transportsector slechts 13% van de datalekken veroorzaakt door menselijke fouten, terwijl dit in de detailhandel en de technische sector 17% was.

GDPR-boetes blijven stijgen

Terwijl de handhaving van sommige gegevensbeschermingsvoorschriften, zoals HIPAA in de VS, vanwege de pandemie is versoepeld, hebben Europese gegevensbeschermingsinstanties hun werk ongehinderd kunnen voortzetten. Dit jaar is een recordaantal boetes opgelegd wegens niet-naleving van de algemene verordening gegevensbescherming van de EU. Tot nu toe zijn er dit jaar 281 boetes uitgedeeld, voor een bedrag van meer dan 162 miljoen euro.

Google werd het zwaarst getroffen: het beroep van Google tegen de boete van 50 miljoen euro van de Franse gegevensbeschermingsautoriteit CNIL werd door het hoogste gerechtshof van het land verworpen en de Zweedse gegevensautoriteit heeft de techgigant nog eens een boete van 7 miljoen euro opgelegd omdat het niet voldeed aan het recht van een individu om te worden vergeten.

In oktober 2020 werd de op een na grootste GDPR-boete ooit opgelegd, van ongeveer 35 miljoen euro, door de Gegevensbeschermingsautoriteit van Hamburg, Duitsland, aan kledingverkoper H&M opgelegd voor het opnemen van vergaderingen met werknemers tijdens welke gevoelige informatie werd onthuld en deze vervolgens intern onder managers te delen.

British Airways kreeg een boete van 22 miljoen euro opgelegd voor het niet voorkomen van een datalek dat 400.000 klanten trof als gevolg van slechte cybersecurity-maatregelen. Marriott kreeg een boete van 20,4 miljoen euro voor het spectaculaire datalek waarbij 83 miljoen gasten werden getroffen en dat het gevolg was van een gebrek aan due diligence na de overname van de Starwood Group, die aan de basis lag van het incident.

Tot besluit

Terwijl bedrijven worden geconfronteerd met de problemen als gevolg van de COVID-19 pandemie, is het essentieel dat zij cyberbeveiliging niet verwaarlozen. Kwaadwillenden zijn altijd op zoek naar mogelijkheden om winst te maken en dit jaar is dat niet anders geweest. Tegelijkertijd hebben de gegevensbeschermingsautoriteiten zich door de huidige omstandigheden weliswaar toegeeflijker getoond, maar zij hebben niet nagelaten om torenhoge boetes op te leggen wanneer grove veronachtzaming van de gegevensbeschermingsvoorschriften werd geconstateerd.

Dit alles toont aan dat cyberbeveiliging, die tot een paar jaar geleden door veel organisaties als een bijzaak werd beschouwd, nu een cruciaal onderdeel van de bedrijfsvoering is geworden en dat er geen tijd meer zal zijn waarin het aanvaardbaar is om er geen aandacht aan te besteden.