Gegevensdiefstal groeit uit tot een plaag

Een ruime meerderheid gelooft dat zijn organisatie inbraken en lekken kan vinden. Maar dat is achteraf. Voorkomen is een hele andere zaak. Want slechts 37 procent is er van overtuigd dat zijn organisatie in staat is inbraken in de systemen te voorkomen. Wél heeft tweederde de spullen in huis om het lekken van gevoelige of geheime informatie te kunnen beheren. Dat wordt dan vooral gedaan met behulp van tools voor toegangsbeheer, secure network-oplossingen en encryptie van gegevens.

Te duur
Daar een meerderheid de tools voor het voorkomen van inbraken te duur vindt, verlaten de meesten het beleid en de standaard procedures en leggen zich toe op het nauwlettend in de gaten houden van de medewerkers die met gevoelige data werken.
Voor de IT’ers is het feit dat ze de inbraken niet kunnen voorkomen erg frustrerend. “Ze hebben er de tools en de middelen niet voor maar ze krijgen wel de verantwoordelijkheid ervoor in de schoot geworpen”, stelt onderzoeker Larry Ponemon.
Amerikaanse organisaties worden in toenemende mate geteisterd door datadiefstallen. Vooral laptops volgestouwd met data zijn favoriet bij dieven. Volgens Ponemon heeft 81 procent van de Amerikaanse bedrijven dit jaar te maken gehad met diefstal van laptops. Zo werden vorige maand een laptop gestolen bij een kantoor van Unisys waarop de gegevens staan van 38.000 veteranen die behandeld zijn in klinieken voor deze veteranen. Unisys heeft een beloning uitgeloofd van 50.000 dollar voor het terugvinden ervan. Uit de auto van een Amerikaanse overheidsmedewerker werd deze zomer een laptop gestolen met alle gegevens van 133.000 inwoners van Florida. Maar het blijft niet bij het stelen van laptops of USB-sticks. Diverse creditcardbedrijven en banken zijn al eerder getroffen door inbraken waarbij de financiële gegevens van miljoenen klanten werden gestolen.

Verantwoordelijkheid
Dat de IT’ers de hulpmiddelen niet hebben om de diefstallen en inbraken te voorkomen is voor hen extra vervelend omdat er zeker in de VS inmiddels een trend is te bespeuren waarbij de verantwoordelijk geachte ICT’ers ontslagen worden als gegevens zijn gestolen. Zo zegde twee weken geleden de ICT-topman van AOL haar baan om die reden op en werden twee top IT-ers bij de Ohio University ontslagen. In Europa komen de data-diefstallen in mindere mate voor dan in de VS. Dat heeft een paar redenen. Belangrijk hierbij is dat de EU veel meer hamert op privacy. Daardoor zijn er veel meer beperkingen bij het verzamelen van persoonlijke gegevens, waardoor er doodgewoon veel minder gegevens zijn om te stelen.
Daar komt nog bij de meeste Europese bedrijven veel betrouwbaardere identificatiemethodes gebruiken dan die in de VS gebruikelijk zijn. Het helpt ook heel veel dat Europeanen weinig zien in een nationaal identificatienummer waarmee men zich identificeert. Daarmee wordt veel schade voorkomen als dergelijke nummers gestolen worden.
Maar hoe groot de problemen in Europa werkelijk zijn, is eigenlijk niet goed duidelijk. Amerikanen zijn als gevolg van diverse wetten verplicht dergelijke gegevensdiefstallen te melden. Zo’n verplichting bestaat momenteel niet in Europa en veel bedrijven zien het als slecht voor hun imago om datadiefstallen bekend te maken.

Vrees
Ook GovCert heeft er geen cijfers over. Een woordvoerster laat echter wel weten dat de vrees van de ondervraagde Amerikaanse IT’ers “terecht” is. En een vergelijkbare ongerustheid is ook goed voorstelbaar bij hun Nederlandse collega’s. “Zeker IT’ers bij organisaties die geen uitgekiende beveiligingsbeleid hebben, maken zich terecht zorgen. De risico’s nemen toe.” Zij doelt daarmee op de toename van phishing-acties en inbraken. “Een groot deel van de Nederlandse bedrijven is zich inmiddels wel bewust van die gevaren en neemt maatregelen. Maar er zijn er zeker nog die er niet genoeg aan doen.” Inmiddels hebben om die reden alle ministeries bij GovCert aangesloten. “Daarmee hebben ze veel risico’s uitgesloten. En steeds meer andere overheidsorganisaties zoals provincies en gemeentes sluiten zich aan bij ons.”