Hoewel datalekken steeds vaker voor krantenkoppen zorgen, ontbreekt vaak informatie over hoe de aanvallers bij de organisatie konden binnendringen. Nieuw onderzoek van Lookout en Ponemon laat zien dat mobiele apparaten een essentieel onderdeel van dergelijke aanvallen kunnen vormen.
Het rapport toont aan dat het economische risico van mobiele datalekken, inclusief de directe operationele kosten enorm is. De potentiële maximale verliezen door niet naleven van de regelgeving en reputatieschade, kan oplopen tot wel 23,4 miljoen euro.
Het laat ook zien dat mobiele datalekken vaker voorkomen dan veel mensen denken. Tweederde (67 procent) van de organisaties stelt reeds datalekken te hebben gehad als gevolg van werknemers die met behulp van hun mobiele apparaten bedrijfsgevoelige en vertrouwelijke informatie opvroegen. Omdat gemiddeld 3 procent van de mobiele apparaten van werknemers geïnfecteerd is met malware, gaat het om meer dan 1.700 besmette mobiele apparaten in een organisatie, die dagelijks verbinden met het bedrijfsnetwerk.
Mobiel beveiliger Lookout, stelde het rapport The Economic Risk of Confidential Data on Mobile Devices in the Workplace op samen met onafhankelijk onderzoeksbureau Ponemon Institute
Het onderzoek is uitgevoerd onder 588 leidinggevenden in IT en beveiliging. De managers zijn werkzaam bij Global 2000 bedrijven. Het onderzoek verkent het risico dat wordt geïntroduceerd door werknemers die steeds grotere hoeveelheden zakelijke gegevens via hun mobiele apparaten opvragen en identificeert de kosten die het gevolg zijn van een mobiel-gerelateerd datalek.
“Het mobiele personeel dwingt bedrijven een werkelijkheid onder ogen te komen, waarin 24/7 toegang tot cloudgebaseerde diensten vanaf iedere mogelijke locatie een basisvereiste is. Werknemers willen flexibiliteit. Ze willen gelijktijdig toegang werkgerelateerde apps als Salesforce en persoonlijke apps als Facebook,” zegt Gert-Jan Schenk, Vice-President van Lookout EMEA. “Wanneer je met leidinggevenden in de IT en de beveiliging praat, dan is hun belangrijkste zorg het vinden van de balans tussen mobiliteit en veiligheid. Het is van essentieel belang dat ze de mobiele veiligheid meteen al goed aanpakken, zeker gezien de financiële consequenties en de gevolgen voor de reputatie wanneer ze dit nalaten.”
Een ander belangrijk punt dat in het rapport naar voren komt, is de enorme onderschatting van de mobiele toegang tot data van werknemers door leidinggevenden in IT en beveiliging. Kijken we bijvoorbeeld naar de klantgegevens, het soort data dat relatief groot risico loopt, dan zien we dat de gemiddelde IT-afdeling denkt dat 19 procent van de werknemers mobiel toegang heeft tot klantgegevens, terwijl 43 procent van de werknemers aangeeft toegang tot die gegevens te hebben. Gezien het feit dat mobiele datalekken tegenwoordig bij de meerderheid van de bedrijven plaatsvinden, introduceert deze zichtbaarheidskloof een onaanvaardbaar risico.
“We zien steeds meer bedrijven waar medewerkers toegang tot gevoelige bedrijfsgegevens en persoonsgegevens hebben via mobiele apparaten. Deze bedrijven moeten de risico’s die hieruit voortvloeien aanpakken en investeren in passende beveiligingsmaatregelen. Uiteraard zijn de kosten die ontstaan naar aanleiding van een datalek afhankelijk van de betrokken organisatie, de aard van de betrokken gegevens en de omvang van het lek. De cijfers gepresenteerd in het rapport van Lookout dat in samenwerking met Ponemon is opgesteld laten zien dat onvoldoende beveiliging van mobiele apparatuur naast juridische, ook ernstige financiële gevolgen kan hebben .” – Frederick Leentfaar, Senior Associate, Taylor Wessing, Amsterdam
De belangrijkste bevindingen uit het rapport The Economic Risk of Confidential Data on Mobile Devices in the Workplace:
- Mobiele toegang tot zakelijke data neemt sterk toe.
- Mobiele toegang tot zakelijke data is met 43 procent toegenomen in 2014-2015.
- 56 procent van de data die toegankelijk is op pc’s, is ook toegankelijk op mobiele apparaten.
- Mobiele datatoegang zal naar verwachting met minimaal 50 procent toenemen in de komende twee jaar.
Terwijl IT nog het mobiele risico probeert te bepalen, zorgen de mobiele apparaten van de werknemers nu al voor kostbare datalekken.
Tweederde (67 procent) van de ondervraagden zegt dat het zeker of waarschijnlijk is dat hun organisatie een datalek heeft gehad als gevolg van werknemers die hun mobiele apparaat gebruikten om toegang te verkrijgen tot de gevoelige en vertrouwelijke informatie van het bedrijf.
Gemiddeld 3 procent van de mobiele apparaten van werknemers zijn besmet met malware, op ieder willekeurig moment in de tijd. In een gemiddeld Global 2000 bedrijf, gaat het dan om meer dan 1.700 besmette apparaten die iedere dag met het wereldwijde netwerk verbinden.
Een gemiddeld bedrijf geeft tot wel €14,7 miljoen per jaar, of €8,43 per geïnfecteerd apparaat uit, om malware-aanvallen te onderzoeken, beheersen en verhelpen.
De meerderheid van de dreigingen wordt echter niet aangepakt. In een gemiddeld bedrijf wordt slechts 26 procent van de apparaten onderzocht, wat betekent dat er op ieder moment meer dan 1.200 geïnfecteerd zijn, maar onopgemerkt blijven.
Als alle 1.700+ met malware geïnfecteerde apparaten zouden worden onderzocht en behandeld, dan kunnen de gemiddelde kosten voor een bedrijf oplopen tot wel €23,4 miljoen.
Mobiele beveiliging is grotendeels een blinde vlek vandaag de dag, maar er zijn tekenen van verbetering.
Slechts 36 procent van de respondenten zegt dat hun organisatie waakzaam is in het beschermen van gevoelige of vertrouwelijke gegevens die zijn opgeslagen of worden opgevraagd op de mobiele apparaten van werknemers.
Een oorzaak kan zijn dat de IT-afdeling de mate van mobiele toegang van werknemers tot zakelijke gegevens enorm onderschat.
Voorbeeld:
IT denkt dat 19 procent van de werknemers mobiele toegang heeft tot klantgegevens, terwijl 43 procent van de werknemers zegt mobiele toegang tot die data te hebben. Met vertrouwelijke of geclassificeerde bestanden, gaat het om 8 procent wat IT denkt, versus 33 procent wat de medewerkers aangeven. Er zijn tekenen dat dit gaat veranderen, nu de budgetten voor mobiele beveiliging naar verwachting met 37 procent gaan groeien in het komende jaar.
