Twee derde van de digitale gegevenslekken bij bedrijven waren vorig jaar te wijten aan slordigheden van de eigen medewerkers of problemen met de informaticasystemen. Dat staat in de achtste editie van de jaarlijkse ‘Cost of data breach study’ van het Ponemon Institute in opdracht van Symantec, marktleider in de bescherming van digitale gegevens.

Cybercriminelen

Een derde van de gegevenslekken is het werk van cybercriminelen. “Externe aanvallers en hun evoluerende methodes vormen een grote bedreiging voor bedrijven, maar de interne gevaren kunnen even destructieve gevolgen hebben”, zegt voorzitter Larry Ponemon van het Ponemon Institute. “In vergelijking met onze eerste studie is het interne risico met 22 procent gestegen.”

Omgang met waardevolle bedrijfsgegevens

Ander recent onderzoek van Symantec toonde aan dat 62 procent van de werknemers er geen graten in ziet om gegevens van de eigen firma buiten de beveiligingsperimeter van het bedrijf te brengen. Uit dat onderzoek bleek ook dat de meeste werknemers nooit gegevens deleten, waardoor die gegevens blootstaan aan lekken.

Kost

De gemiddelde wereldwijde kost per ‘record’ dat gecompromitteerd is door een gegevenslek, is 136 dollar. Een ‘record’ kan gegevens bevatten over klanten, consumenten, werknemers, burgers, patiënten of studenten. De gemiddelde kost van gegevensverlies varieert sterk van land tot land. Die verschillen zijn te verklaren door de soorten gevaren waarmee ondernemingen geconfronteerd worden en de verschillen tussen landen op het gebied van wetgeving rond gegevensbescherming.

Als het lek het gevolg is van een cyberaanval, dan is de kost hoger dan wanneer het lek er gekomen is door interne onachtzaamheid.

Uit het onderzoek blijkt dat de kosten van gegevenslekken 70 procent hoger liggen in sterk gereguleerde sectoren –zoals de gezondheidszorg, de financiële sector en de farmaceutische branche– dan in andere bedrijfstakken.

In welke landen kosten gegevenslanden het meeste geld?

De landen waar gegevenslekken het meeste geld kosten aan de bedrijven die er het slachtoffer van worden, zijn Duitsland en de VS. “Hoe uitgebreider de wetgeving ter bescherming van consumenten, de privacy en computersystemen, hoe hoger de kost vangegevenslekken”, verklaart beveiligingsexpert Tim Van Honsté van Symantec België.

Het onderzoek

Het onderzoek is gebaseerd op de gegevenslekken die in 2012 plaatsvonden bij 277 bedrijven in negen landen: de VS, de Verenigd Koninkrijk, Frankrijk, Duitsland, Italië, India, Japan, Australië en Brazilië.

Beveiligingsbeleid

Uit de ervaringen van bedrijven in de VS, het VK en Frankrijk blijkt dat een beter beveiligingsbeleid resulteert in een daling van de kosten van gegevenslekken. De aanstelling van een chief security officer (CSO), een plan om het hoofd te bieden aan een gegevenslek en het inschakelen van gespecialiseerde consultants leidden in die landen tot een verlaging van de kosten van gegevenslekken.

Andere factoren doen die kosten dan weer oplopen, zoals fouten van een derde partij. Slachtoffers van lekken snel op de hoogte brengen, doet de kost ook stijgen. Het verlies of de diefstal van een toestel met gevoelige gegevens en strenge wetgeving zorgen eveneens voor toenemende kosten van gegevenslekken.

Risico-inschatting

Ondernemingen kunnen zelf hun risico op gegevensverlies inschatten met de ‘data breach risk calculator’ op Symantecs website. Die brengt onder meer de grootte van het bedrijf in rekening, de branche waarin het actief is en het land waarin het gevestigd is.

Aanbevelingen

Symantec formuleert vier aanbevelingen om digitale gegevenslekken te voorkomen, of om de kost van een lek zo laag mogelijk te houden. Ten eerste: geef personeelsleden opleiding over hoe ze moeten omgaan met vertrouwelijke digitale gegevens. Twee: maak gebruik van ‘data loss prevention’-technologie (DLP) die het verlies van gevoelige gegevens voorkomt. Drie: gebruik technologie voor encryptie en authenticatie. En tot slot: maak een plan met de stappen die het bedrijf moet zetten wanneer er een geval van gegevensverlies is.

“Voor ondernemingen met een sterke computerbeveiliging en een plan om te reageren op gegevensverlies is de kost van gegevensverlies 20 procent lager dan voor bedrijven die dat niet hebben”, zegt Tim Van Honsté. “Het belang van een gecoördineerde aanpak is dus duidelijk. Firma’s moeten de gevoelige gegevens van hun klanten beschermen, ongeacht waar die zich bevinden: op een pc, een mobiel toestel, in een computernetwerk of een datacenter.”