‘Vertrouwen in online beveiliging op laagste niveau ooit, en er wordt te weinig gedaan om dat te verhelpen’

Online beveiliging is een rommeltje, en de gatenkaas bij grote bedrijven neemt steeds meer toe. Organisaties nemen niet genoeg stappen, omdat een groot lek in de beveiliging hen niet genoeg kost, blijkt uit grootschalig internationaal onderzoek van The Internet Society.

Van jaren aan grootschalige datalekken zien we nu de gevolgen, blijkt uit onderzoek van The Internet Society (ISOC). Want de gebruiker verliest steeds meer vertrouwen in het internet, blijkt uit de studie die in 54 landen gedaan werd onder 24.000 respondenten.

’93 procent van de datalekken zijn te voorkomen’, zegt een van de onderzoekers, maar ‘stappen om de kosten van lekken te verzachten worden niet genomen.’ Encryptie of het simelweg niet digitaal opslaan van gegevens zou vaak een goede keuze zijn, maar dit ziet ISOC nog te weinig.

Kostprijs voor lek te laag

Dit heeft er volgens de non-profitorganisatie voor een open internet mee te maken dat ‘het net’ te veel met elkaar verbonden is, waardoor niet één van de stakeholders verantwoordelijk is voor een datalek. ‘We delen een collectieve verantwoordelijkheid met andere stakeholders om onze data als geheel te beveiligen. Dit geldt voor leveranciers, werknemers, overheden en anderen. Als vervolgens een van deze schakels niet goed werkt, is het vertrouwen in de volledige keten verdwenen.’

‘Gebruikers beveiligen zou voor alle organisaties een doel op zich moeten zijn’, zegt ISOC. Maar een van de redenen dat organisaties hier niet genoeg aandacht aan besteden, is dat het hen niet genoeg kost wanneer een lek ontstaat. Dit komt mede doordat organisaties alleen kijken naar wat een lek hen kost, en niet naar de totale prijs. Ze kijken niet naar de kostprijs voor de gebruiker, ‘maar die zouden ze wel mee moeten nemen in hun kostprijsberekening’.

Aanbevelingen

Volgens het onderzoek investeren organisaties wel steeds meer in het voorkomen van een lek, maar is dat nog niet te zien in een daling in het aantal datalekken. Daarom komt het met een aantal aanbevelingen:

1. Zet gebruikers – die het grootste slachtoffer zijn van datalekken – centraal in je oplossing. Neem wanneer de kostprijs van een lek opgeteld worden zowel de kosten van de gebruiker als organisatie mee;
2. Verhoog de transparantie rond de risico’s van datalekken wereldwijd;
3. Databeveiliging moet een prioriteit zijn. Organisaties moeten zich aan de hoogst mogelijke normen gehouden worden;
4. Verhoog de verantwoordingsplicht van organisaties rond datalekken;
5. Verhoog de beloning bij het investeren in beveiliging. Creëer een markt voor betrouwbare en onafhankelijke beoordeling van deze systemen.

Beveiliging internet der dingen is een groot probleem

Fabrikanten van apparaten die verbonden zijn via het internet der dingen moeten zich inmiddels aangesproken voelen wanneer het om digitale beveiliging gaat, zegt ook ISOC. Eind oktober werd een groot deel van het internet in de Verenigde Staten platgelegd door een Ddos-aanval die grotendeels afkomstig was van gehackte beveiligingscamera’s en koelkasten die verbonden waren met het internet. Deze apparaten beschikken vaak nauwelijks over beveiliging, maar de gebruiker kan hier volgens ISOC maar weinig aan doen. Hun houding van ‘je hebt de licentie geaccepteerd, waardoor wij niet meer aansprakelijk zijn’ is niet goed genoeg. ‘Iemand die een babyfoon, een wifi-router of een verbonden auto kan nu op geen manier achterhalen hoe goed hij beveiligd is tegen mogelijke aanvallers.’

Wanneer het om een verbonden auto of apparaat voor de gezondheid gaat, zijn disclaimers niet langer goed genoeg, schrijft ISOC. ‘Een hack kan dan de persoonlijke veiligheid beïnvloeden, mogelijk ten kosten van een ledemaat of leven.’