Jouw collega staat op het punt om een groot datalek, ter waarde van 4.2 miljoen euro, te veroorzaken. We horen je denken, daar kan een collega toch niet verantwoordelijk voor zijn? Toch is dit is de realiteit voor maar liefst 95% procent van de bedrijven wereldwijd die te maken hebben gehad met 1 of meer datalekken in 2021. Een menselijke fout is daarmee verreweg het grootste gevaar voor de dataveiligheid van alle bedrijven ter wereld. En dus ook voor jouw bedrijf.
In dit artikel lees je waarom een fout van jou of je collega de belangrijkste oorzaak is van datalekken wereldwijd, hoe deze fouten eruitzien en wat je eraan kunt doen om deze dure fouten zoveel mogelijk te voorkomen.
Een foutje is snel gemaakt
Uit het 2022 Data Beach Report van Verizon bleek dat 82% van alle datalekken een menselijke component bevatte, waaronder door social engineering-aanvallen, fouten en misgebruik.
Werknemers staan in de frontlinie als het gaat om malware- en virusaanvallen. Maar ook zonder aanval van buitenaf kan het goed mis gaan door bijvoorbeeld een e-mail met persoonsgegevens naar de verkeerde persoon te sturen. De meest voorkomende fouten worden met de beste bedoelingen gemaakt, maar vandaag de dag wel extra hard afgestraft.
Phishing is verreweg de fout die het meeste pijn doet in de portemonnee. Tegenwoordig is men gemiddeld 4.8 miljoen euro kwijt aan een phishing aanval.
We geven je twee voorbeelden van menselijke fouten die wij het meest voorbij zien komen:
Menselijke fout voorbeeld 1: Gevoelige persoonsgegevens naar de verkeerde persoon
Ellen staat op het punt een e-mail te verzenden. In zowel het bericht, als ook in de bijlagen, is privacygevoelige informatie verwerkt. Het bericht is bestemd voor Bastiaan, de boekhouder die specifieke informatie heeft opgevraagd.
Bij het veld van de ontvanger begint ze met het typen van de naam, en wanneer ze bij “Bas..” is drukt ze op enter. Ellen denkt dat het e-mailprogramma de naam Bastiaan automatisch heeft aangevuld, met bijbehorend e-mailadres.
Vervolgens drukt ze op verzenden en is de e-mail verstuurd. Maar wat blijkt? De e-mail is verstuurd naar Bas, van een externe partij waar ze regelmatig e-mailcontact mee heeft. Deze heeft nu alle gegevens ontvangen, die niet voor hem bestemd waren.
Bedenk je eens: Welke gevolgen zou het voor je organisatie hebben als er privacygevoelige gegevens op straat komen te liggen?
Menselijke fout voorbeeld 2: Reageren op een phishing e-mail
Rachid is op kantoor druk bezig met zijn dagelijkse werkzaamheden wanneer er een e-mail van zijn baas in zijn mailbox verschijnt. De onderwerpsregel luidt: ‘dringend verzoek’, dus Rachid opent het bericht. In de e-mail vraagt ‘zijn baas’ of hij een belangrijke factuur snel wil betalen, hij zit zelf de hele dag in een meeting met het hoofdkantoor. Als het niet betaald is voordat de bank sluit, zal de productie vertraging oplopen.
Zonder erbij na te denken opent Rachid de bijlage en doet wat hem gevraagd wordt. De volgende dag verteld Rachid zijn baas dat alles geregeld is wat betreft de betaling. Zijn baas vraagt hem over welke betaling hij het heeft. Op dat moment keert Rachid snel terug naar zijn computer en beseft zich dat het e-mailadres van de betreffende e-mail niet overeenkomt met die van zijn baas.
.png?width=800&name=phishing-growing%20(1).png)
De kosten van dit grapje foutje?
Onlangs is het Cost of a Data breach Report 2022 uitgekomen. Met niet zo best nieuws. In 2022 hebben 83% van de organisaties in de studie te maken gehad met 1 of meer datalekken. De kosten van een datalek? We zeiden het al eerder, gemiddeld 4.2 miljoen euro. Dit is een groei van 2.6% ten opzichte van 2021.
En dan denk je alles gehad te hebben, kun je ook nog een zware boete verwachten van de overheid vanwege het niet naleven van de AVG. De AVG heeft twee categorieën van overtredingen met bijbehorende boetes. In beide gevallen gaat het om flinke bedragen: het gaat om max. 20 miljoen euro of 2-4% van de jaarlijkse wereldwijde omzet.
Tips om datalekken te voorkomen
Het hebben van een IT-afdeling met security & data experts is niet genoeg om fouten te voorkomen. Jouw cybersecurity strijdplan moet verschillende componenten bevatten, van werknemers tot aan technologie. Alleen dan is het mogelijk om een datalek van 4.2 miljoen euro en een boete te voorkomen. Ben jij je strijdplan aan het vormgeven? Laat je inspireren door onderstaande tips!
Voorlichting en training
Goede voorlichting is essentieel als het gaat om het voorkomen van fouten. Voordat jij of een collega op een malafide link klikt, is er in veel gevallen ook iets misgegaan in het voorkomen van een phishing aanval. Het is de verantwoordelijkheid van management en security om iedereen binnen de organisatie voor te lichten op het gebied van phishing. Slechts 1 op de 5 bedrijven heeft haar werknemers getraind in het herkennen van een phishing aanval
E-mail securityoplossing
Er zijn helaas nog teveel bedrijven die geen e-mail security hebben geïnstalleerd. Waarschijnlijk omdat veel bedrijven denken dat de spamfilter hen voldoende beschermt. Door het kiezen van de juiste oplossing kun je berichten beveiligd versturen en ontvangen, zodat privacygevoelige informatie beschermd blijft. Een oplossing die je de mogelijkheid biedt om ná verzending berichten in te kunnen trekken, zal een fout kunnen herstellen.
Maak gebruik van de juiste technieken die inspelen op bewustwording. Als gegevens nog te vaak bij de verkeerde ontvanger terechtkomen, is het noodzakelijk hier nog extra op te checken. Is het mogelijk om vóór verzending nog even te controleren of de juiste ontvanger is geselecteerd? Dan verklein je de kans dat een verkeerde ontvanger onbedoeld je bericht ontvangt.
Machine learning
Stel je voor dat je op een drukke dag even snel een e-mail wil sturen. Tijd om goed op te letten heb je niet, maar dat is geen probleem: je hebt een computer die constant voor je oplet, checkt of de e-mail die je schrijft gevoelige informatie bevat en indien nodig je e-mail van de nodige beveiliging voorziet. Het effect van deze vorm van Machine Learning is dat je als eindgebruiker niet constant bewust hoeft te zijn van e-mailbeveiliging. Iedere keer als je computer vermoedt dat er sprake is van een risico krijg je een notificatie en wordt je e-mail beveiligd verstuurd.
Extra Quick Tips:
- Gebruik een zero trust-beveiligingsmodel om ongeautoriseerde toegang tot gevoelige gegevens te voorkomen. Resultaten van het onderzoek tonen aan dat organisaties met een volwassen zero trust- beveiligingsmodel, 1.4 miljoen euro minder kwijt zijn aan een datalek.
- Bescherm gevoelige gegevens in cloudomgevingen met beleid en encryptie. Met de toenemende hoeveelheid en waarde van gegevens die in cloudomgevingen worden gehost, moeten organisaties stappen ondernemen om de in de cloud gehoste databases te beschermen.
- Gebruik tools die je helpen om je remote werknemers te beschermen en te monitoren.
- Creëer een “incident response” plan om je databeveiligingsmaatregelen te testen en eventueel aan te scherpen.
- Investeer in riskmanagement en bereid je organisatie voor op een eventueel datalek.
Start nu met het kiezen van de juiste e-mail beveiliging
Het kiezen van een e-mailoplossing is niet in een dag gedaan. Want waar heb je als organisatie behoefte aan? En hoe lossen de verschillende e-mailaanbieders dit op? Wij hebben een handige whitepaper gemaakt die je kan helpen bij je keuze!
