Europese ondernemingen gaan slordig om met bedrijfsgegevens

Ingezonden persbericht

Europese ondernemingen gaan slordig om met bedrijfsgegevens blijkt uit nieuw onderzoek van mcafee

Onderzoek onthult omvang van gegevensverlies in Europa

Amsterdam, 6 januari 2007 - McAfee, Inc. (NYSE: MFE) maakt vandaag de resultaten bekend van nieuw onderzoek waaruit blijkt dat Europese bedrijven in toenemende mate worden blootgesteld aan risico's van binnenuit. Waardevolle en gevoelige bedrijfsgegevens komen door toedoen van eigen personeel herhaaldelijk in de openbaarheid. Daarnaast worden investeringen in nieuwe systemen, die bescherming moeten bieden tegen hackers en andere vormen van externe bedreiging, ondermijnd door het onvermogen tot interne communicatie van beveiligingsbeleid en door slordigheid van het personeel.

Bij het onderzoek, dat in opdracht van McAfeeâ werd uitgevoerd door ICM Research, waren zo'n 600 kantoormedewerkers in heel Europa betrokken en de resultaten schetsen een duidelijk beeld van de vele aspecten van het verschijnsel gegevensverlies. Zo blijkt dat medewerkers steeds vaker vertrouwelijke gegevens mee naar buiten nemen en dat daarbij gebruik wordt gemaakt van methoden die niet door de IT-afdeling te controleren zijn. Daarnaast blijkt er in meer dan één derde van de Europese ondernemingen (37%) geen sprake te zijn van een duidelijk geformuleerd beleid ten aanzien van de omgang met gevoelige documenten. Dit terwijl in gevallen waar wel sprake is structureel beleid, bijna een kwart van het personeel (24%) niet op de hoogte is van die regels.

Hieronder een aantal andere relevante bevindingen uit het onderzoek:

§ Interne stukken en klantgegevens/klantrecords zijn de documenten die op dagelijkse basis het meest frequent uit kantoor worden meegenomen, in elektronische hetzij fysieke vorm. Op de tweede plaats staat financiële bedrijfsinformatie.

§ Steeds vaker wordt gebruikgemaakt van mobiele apparatuur, zoals telefoons en memory sticks, om vertrouwelijke gegevens mee naar buiten te nemen.

§ Ook internetmail en Instant Messaging worden in toenemende mate gebruikt voor overdracht van gevoelige informatie naar bestemmingen buiten de onderneming.

§ Van de kantoormedewerkers in Europa zegt maar liefst 52% bedrijfsgegevens mee te nemen als ze bij hun huidige werkgever zouden vertrekken.

De omvang van gegevensverlies door toedoen van eigen personeel

Het afgelopen jaar kregen uiteenlopende bedrijven zoals Boeing, Ernst & Young en Nationwide te maken met ernstige reputatieschade toen, als gevolg van diefstal van onbeveiligde laptops uit woning of auto van personeelsleden, namen, adressen en sofi-nummers van duizenden medewerkers en klanten op straat kwamen te liggen - een simpele prooi voor allerlei vormen van identiteitsfraude. Ook de Israëlische minister van Binnenlandse Zaken kan sinds vorig jaar meepraten over digitale drama's, want in dat land werden gegevens uit het bevolkingsregister op massale schaal 'gelekt' en op internet gepubliceerd. Dit 'lekken' van betrouwbare informatie betekent een nagenoeg onherstelbaar verlies van vertrouwen van klant of consument en heeft als zodanig ook verstrekkende financiële gevolgen. Recent onderzoek heeft dat opnieuw aangetoond.

En toch heeft het er niet de schijn van dat de noodzakelijke stappen worden ondernomen om iets te doen aan deze gevaren van binnenuit. De gemiddelde Europese kantoormedewerker neemt nog steeds elke week 11 vertrouwelijke documenten mee naar huis. Nederland heeft in die ranglijst, met 19 gevoelige documenten per week, zelfs een bedenkelijke koppositie, op enige afstand gevolgd door Spanje, met 13. De Britten lijken wat dat betreft iets beveiligingsbewuster, want die komen gemiddeld niet verder dan zes stuks per week.

Bedrijfsplannen, financiële informatie, werknemersgegevens en juridische contracten, zo breed is het scala van vertrouwelijke informatie die door kwade opzet of slordigheid van eigen personeel in gevaar wordt gebracht.

Nog een paar cijfers die ondernemers aan het denken zouden moeten zetten: bijna een derde van de in het onderzoek ondervraagde medewerkers (31%) verstuurt in het kader van de normale dagelijkse werkzaamheden financiële bedrijfsinformatie naar personen of instanties buiten de eigen onderneming, terwijl 20% op dezelfde manier omgaat met juridische contracten.

Ook de privacy van medewerkers zelf is allerminst veilig: bijna één vijfde (19%) wisselt persoonlijke gegevens uit met externe contactpersonen en ofschoon de grote meerderheid (92%) onmiddellijk toegeeft dat verantwoord omgaan met vertrouwelijke informatie cruciaal is voor behoud van goede relaties met de klant, stuurt 39% klantgegevens zonder bedenkingen door naar personen en instanties buiten het bedrijf.

E-mail en internet - gemak of gemakzucht?

De e-mailvoorzieningen van een bedrijf blijven het meest gebruikte kanaal voor verzending van informatie naar externe bestemmingen - 86% van de ondervraagden zegt regelmatig interne documenten te versturen via e-mail. Daarnaast wordt in veel gevallen gebruikgemaakt van methoden die voor de IT-afdeling van de organisatie niet of nauwelijks te controleren zijn. Een kwart (26%) van de medewerkers die toegeven bedrijfsinformatie te versturen naar derden, gebruikt daarvoor internetservices als Yahoo Mail of MSN Hotmail, terwijl maar liefst 83% klantgegevens in gedrukte vorm mee naar buiten neemt.

Bijna een kwart (23%) van diezelfde mensen gebruikt IM-services (Instant Messaging) voor externe communicatie van bedrijfsplannen en één op de vijf (20%) heeft die kanalen gebruikt voor verzending van financiële bedrijfsinformatie en spreadsheets.

Toenemend gebruik van verwisselbare opslagapparatuur

Vertrouwelijke informatie verlaat ook steeds vaker het bedrijf via verwisselbare opslagapparatuur zoals de inmiddels beruchte USB-stick. Bijna de helft van alle ondervraagden (45%) neemt op die manier financiële informatie mee naar buiten, terwijl meer dan één derde hetzelfde doet met bedrijfsplannen (38%) en klantgegevens (34%).

De genoemde USB-stick is in die context een populaire keuze geworden. Meer dan een kwart (26%) maakt regelmatig gebruik van memory sticks om informatie mee te nemen. Je zou dan verwachten dat er minstens met enige zorgvuldigheid met die sticks wordt omgegaan, maar niets is minder waar: 15% leent ze regelmatig uit aan anderen.

Ouderwets drukwerk - ook lekker makkelijk

Intussen blijft ook de ouderwetse 'hard copy' een belangrijke rol spelen in het krachtenveld van informatie en bedrijfsrisico. Het is voor IT-afdelingen in de praktijk nauwelijks mogelijk om te volgen wat er wordt afgedrukt en waar die gedrukte informatie blijft, zodat het ook evenmin mogelijk is waar nodig beperkingen op te leggen. Uit het onderzoek blijkt dat een meerderheid van de kantoormedewerkers regelmatig de printer inschakelt voor potentieel gevoelige informatie. Dat geldt voor financiële gegevens (83%), klantgegevens (83%) en voor juridische contracten (87%). Het risico dat die informatie vervolgens in de verkeerde handen valt, wordt er bepaald niet kleiner op door de manier waarop met die gedrukte documenten wordt omgegaan: meer dan de helft van alle kantoormedewerkers (54%) laat na om de vertrouwelijke documenten door de papiervernietiger te halen en één op de tien geeft zelfs toe vertrouwelijke documenten regelmatig in de printerlade te laten liggen.

Opzettelijke diefstal van gegevens

Ook het gevaar van gegevensdiefstal door vertrekkende medewerkers is iets waar Europese ondernemingen dringend stappen tegen moeten ondernemen. Meer dan de helft van de ondervraagden (52%) geeft zonder blikken of blozen toe dat ze 'absoluut' bedrijfsinformatie en bedrijfsdocumenten mee zouden nemen op het moment dat ze bij hun huidige werkgever zouden vertrekken. Franse en Italiaanse werknemers hebben wat dat betreft de minste scrupules, terwijl de Britten opnieuw wat betrouwbaarder uit de bus komen. In het Verenigd Koninkrijk zegt 70% er niet aan te denken bij vertrek gegevens achterover te drukken.

Verlies van gegevens en de wettelijke gevolgen daarvan

Gegevensverlies kan bijzonder ernstige gevolgen hebben voor een organisatie, niet alleen op het gebied van reputatieschade en verlies van consumentenvertrouwen, maar ook in de vorm van gerechtelijke stappen, als er sprake zou zijn van aantoonbare nalatigheid ten aanzien van wettelijke voorschriften als de Gramm-Leach-Bliley Act (GBLA) en de Sabarnes-Oxley Act (SOX). Los daarvan is het openlijk op straat liggen van vertrouwelijke informatie zoals dat de laatste tijd regelmatig is voorgekomen, natuurlijk een open uitnodiging voor hackers en spammers om het bedrijf te infiltreren.

"De meeste ondernemingen doen wat ze kunnen om zich te houden aan de wettelijke voorschriften die bedoeld zijn om verantwoorde en veilige omgang met vertrouwelijke informatie af te dwingen, maar ze zijn zich daarbij niet bewust van de achilleshiel binnen hun eigen organisatie - het personeel," zegt Greg Day, beveiligingsanalist bij McAfee. "En dat terwijl de risico's toch echt ernstig kunnen worden genoemd. Er kan sprake zijn van zware wettelijke sancties en van verlies van intellectueel eigendom. Het achteloos rondsturen van bedrijfsinformatie kan, in het ergste geval, letterlijk leiden tot de ondergang van een bedrijf."

"De resultaten van dit onderzoek laten duidelijk zien dat gegevensverlies van binnenuit een steeds groter gevaar aan het worden is en dat bescherming tegen deze interne risico's net zo belangrijk is als beveiliging tegen externe dreigingen. In onze optiek ligt de oplossing in een combinatie van het bevorderen van bewustzijn onder het eigen personeel en investering in een complete oplossing voor beveiligingsbeheer."

In oktober 2006 nam McAfee Onigma Ltd. over, een aankoop die McAfee de beschikking geeft over extra expertise en nieuwe mogelijkheden om de klant te helpen bij het terugdringen van de risico's van gegevensverlies. Daarnaast werd onlangs het nieuwe McAfee Data Loss Prevention geïntroduceerd, een systeem voor complete tracering van gegevensoverdracht dat verlies van gegevens van binnenuit helpt voorkomen en totale conformering aan wettelijke voorschriften mogelijk maakt.

###

*Het onderzoeksrapport is niet noodzakelijkerwijs in overeenstemming met de eigen opvattingen en standpunten van McAfee. Het rapport en de daarin genoemde cijfers zijn het resultaat van een onafhankelijk onderzoek naar gegevensverlies, uitgevoerd door een onafhankelijke instantie.

Over McAfee, Inc.

McAfee, Inc., marktleider op het gebied van security technology, gezeteld in Santa Clara, California (V.S.) biedt innovatieve en bewezen solutions en services die systemen en netwerken wereldwijd beschermen. Met McAfee's ongeëvenaarde expertise op beveiligingsgebied kunnen particuliere klanten, ondernemingen, (semi)overheidsinstellingen en service providers aanvallen blokkeren, verstoringen vermijden en hun beveiligingsstatus voortdurend bewaken en verbeteren. Meer informatie vindt u op http://www.mcafee.com .

NOTE: McAfee is a registered trademark of McAfee, Inc. and/or its affiliates in the U.S. and/or other countries. McAfee Red in connection with security is distinctive of McAfee brand products. All other registered and unregistered trademarks herein are the sole property of their respective owners. (c) 2007 McAfee, Inc. All rights reserved.

dinsdag 6 februari 2007