Zowat alle bedrijven (98%) hebben de afgelopen 18 maanden een datalek gehad. Tweederde had zelfs drie of meer van deze incidenten. Dit blijkt uit een onderzoek van Ermetic, een cloud infrastructuur beveiligingsplatform.
Afgelopen woensdag bracht het cloudbeveiligingsbedrijf een rapport uit over de stand van de cybersecurity in de Verenigde Staten. De bedrijven die zijn onderzocht vallen binnen de volgende branches:
- Bankensector (13%)
- Gezondheidszorg (11%)
- Apothekers (12%)
- Bouwsector (11%)
- Retail (11%)
- Softwareontwikkeling (11%)
- Overige sectoren (31%)
Gebrek aan zichtbaarheid in cloud infrastructuur
Bijna tweederde van de chief information security officers (CISO’s) stelt dat er een gebrek aan zichtbaarheid is in de cloud infrastructuur. Daarnaast zeggen zij dat er inadequaat gehandeld wordt met het geven van toegang.
“Ondanks dat bijna 70% van de bedrijven meer dan 25 uur per week in cloud identity management steekt, toont het onderzoek aan dat 83% minstens één toegangsgerelateerde cloud datalek had”, zegt Shai Morag, CEO van Ermetic. Cloud identity management is de controle op wie er wel en geen toegang heeeft tot bepaalde bestanden en informatie.
Een effectief cloud infrastructuur beveiligingssysteem moet op identiteiten, toegang en privileges focussen om echt te beschermen tegen cybersecurityrisico’s. Veel bedrijven gebruiken commerciële – of zelfs gratis – cloudsystemen om de beveiliging ervan te waarborgen. Deze systemen geven echter niet altijd genoeg inzicht.
Least privilege
De meeste ondervraagde CISO’s (92%) geven aan dat hun organisatie least privilege probeerde in te stellen, maar dat dit niet lukte. Least privilege is een methode die strikt is in welke privileges gebruikers, programma’s en processen krijgen. Hierdoor krijgen gebruikers slechts de informatie te zien die ze nodig hebben. Door toegang tot alle informatie te beperken, beperk je de kans op het lekken van data.
Hoewel de meeste bedrijven probeerden deze methode te implementeren, is het bij de meesten niet gelukt. De helft van de grotere organisaties zegt de implementatie lastig en tijdrovend te vinden. Ze hebben te weinig personeel of expertise in huis, of gebruikten meerdere cloudprogramma’s.
Betrouwbare cloudsystemen
Naast het implementeren van de least privilege methode, zijn er andere stappen die bedrijven kunnen zetten om veilig in de cloud te werken.
Het begint met het gebruik van sterke wachtwoorden en beperkte toegang. Een tweede belangrijke stap is om alleen met veilige en betrouwbare cloudsystemen te werken. Let er bijvoorbeeld op dat de provider geaccrediteerd is met certificaten zoals de ISO 27001 en dat deze geen vreemde ‘kleine lettertjes’ heeft in het contract. Meer tips voor het kiezen van een goede cloudservice vind je op cloudindustryforum.org.
Het helpt hierbij om een strak beleid te hebben over het cloudgebruik. Uit Ermetics onderzoek blijkt dat het beleid nu gefragmenteerd is. Door beslissingen op verschillende niveaus te maken, loopt informatie via verschillende personen. Zoals eerder gezegd, meer mensen met toegang, leidt tot meer kans op problemen.
Bron: ermetic.com, vpngids.nl
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Datalekken gerelateerde berichten
Tien grootste datalekken van 2021
2021 gaat de geschiedenisboeken in als een van de meest roerige jaren ooit op het gebied van cybersecurity en informatiebeveiliging. Het ene datalek was nog maar net achter de rug of het volgende lek diende zich alweer aan. Afgelopen jaar werden tal van bedrijven hiermee geconfronteerd.
Persoonsgegevens van tienduizenden KLM-medewerkers door hack op straat beland
Door een datalek bij pensioenbeheerder 'Blue Sky Group' zijn persoonsgegevens van tienduizenden KLM-medewerkers op straat beland. Het gaat om onder meer namen, polis- en bankrekeningnummers en geldbedragen dat werknemers aan pensioen hadden opgebouwd. De aanvallers wisten via een link in een phishingmail binnen te dringen.
Is er $5K betaald voor de dataset van 700 miljoen Linkedin gebruikers?
Opnieuw heeft er zich een datalek voorgedaan bij LinkedIn. Ditmaal worden persoons- en contactgegevens van 700 miljoen LinkedIn-gebruikers verkocht op het darkweb. LinkedIn zegt de kwestie te onderzoeken, maar benadrukt dat de data is vergaard via scraping.
Datalekken UWV en SVB
Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) meldden ieder afgelopen jaar honderden datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen ging het om post gerelateerde lekken. Beide instanties doen hun best om het aantal fouten terug te brengen.
Documenten opgeslagen bij gemeenten gevoelig voor datalekken
Datalekken zijn helaas dagelijkse realiteit. Er belanden continu gegevens van duizenden, soms wel miljoenen mensen op straat. Dit betekent dat persoonsgegevens door hackers ingezien of gestolen kunnen worden. De consequenties kunnen soms enorm zijn, denk hierbij aan identiteitsfraude.
Er moet nu iets gebeuren om burgers beter te beschermen tegen privacy schandalen
Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, omschrijft de pakkans van bedrijven die de Europese privacyregels aan de laars lappen door de toezichthouder als ‘onder de maat’. De handhaving valt of staat met goede onderzoeken en af en toe ‘een stevige douw’ (een boete). Daar gaat een sterke preventieve werking van uit. “Als je weet dat de autodiefstal niet meer wordt aangepakt door de politie, dan weet je wat er gaat gebeuren. Dat is bij ons ook het geval.”