Ict-afdelingen krijgen steeds vaker te maken met cybercrime gepleegd door de eigen medewerkers van het bedrijf. Dat concludeert accountkantoor Ernst & Young in de ICT Barometer. Uit het onderzoek onder ongeveer zeshonderd managers en directeuren blijkt dat 12 procent last heeft gehad van fraude met gegevens. Bij 10 procent van de ondervraagden is data gestolen.
‘In deze tijden wordt de intern gepleegde cybercrime juist versterkt door personele wijzigingen', zegt onderzoeker Monique Otten. ‘Dat komt door personele wijzigingen en doordat medewerkers onzeker zijn over hun toekomst.' Toch ervaren de respondenten cybercriminaliteit als een externe bedreiging. Bijna driekwart van de ondervraagden zegt dat de bedreigingen vooral van buitenaf komen, zoals spam of virussen.
Digitale criminaliteit is sterk toegenomen in 2009, concludeert het accountskantoor. 42 procent van de respondenten had het afgelopen jaar meer last dan een jaar eerder. Het merendeel van de ondervraagden, 50 procent, ziet geen verschil. 8 procent zag juist een daling.
Bedrijven hebben de meeste last van spamberichten. 52 procent van de respondenten zegt hier wel eens mee te maken te hebben gehad. Ook virussen en malware is een veel voorkomende bedreiging.
Aangifte
Organisaties die slachtoffer worden van cybercriminaliteit, doen in de meeste gevallen een onderzoek in eigen beheer. Een derde van de organisaties met meer dan vijfhonderd medewerkers doet aangifte bij de politie. Gemiddeld doet 18 procent aangifte bij de politie. 12 procent schakelt een onafhankelijk bureau in. Een kwart van de bedrijven onderneemt geen actie.
Wat betreft de de beveiliging, vrezen de respondenten het meest externe opslagmedia, zoals usb-sticks of beschrijfbare cd's en dvd's. Draadloze netwerken is daarna de technologie waarover de ondervraagden zich de meeste zorgen maken. Over de beveiliging van cloud computing is slechts 5 procent bezorgd.
Informatiefraude
Het fenomeen dat medewerkers een grote bedreiging vormen voor de informatieveiligheid van een onderneming is niet nieuw. Evenmin is het feit dat rancuneuze medewerkers na hun ontslag een bedrijf schade berokkenen. Deze schade ontstaat echter niet doordat een antiviruspakket of een firewall niet goed werkt. De oplossing zit hem niet in dergelijke middelen, noch in het vastleggen van procedures. Het gaat om een combinatie van goede processen met de juiste technologie. Het is volstrekt logisch dat iemand die uit dienst gaat, per direct geen toegang meer heeft tot het bedrijfsnetwerk noch tot zijn e-mailbestanden. In de praktijk gaan er echter soms maanden voorbij, voordat een gebruiker wordt verwijderd uit de systemen. Door een koppeling te leggen tussen het computersysteem bij personeelszaken en dat van de IT-afdeling, heeft een aanpassing in het ene systeem een automatische reactie in het andere systeem tot gevolg. In het kort: ‘status werknemer: Uit dienst per…, werknemer heeft geen toegang meer tot bedrijfssystemen’. In de tussenliggende periode kun je overwegen de gebruiksrechten van de werknemer in te perken of zijn handelingen nauwgezet te volgen (te auditen). Dat is behoorlijk impopulair, maar wel behoorlijk gerechtvaardigd gezien de waarde van informatie (er wordt al aan gerefereerd als de nieuwe olie, lees ‘data is the new oil’ uit 2006. http://ana.blogs.com/maestros/2006/11/data_is_the_new.html). Dat maakt het des te verwonderlijker dat de meeste cybercrime met een intern onderzoek afgehandeld wordt. Juist door consequent aangifte te doen, wordt het probleem echt zichtbaar en kunnen de overheden er wellicht toe bewogen worden om hieraan meer aandacht te besteden.
Tom,
Mee eens. Insider threat is een groot probleem; wellicht een groter probleem dan external threat, en dat wordt bevestigd door meerdere onderzoeken. Overigens mis ik ook bij dit soort onderzoeken vaak de kwantitatieve onderbouwing (financiële schade, kosten voor mitigaties etc.).
Ik heb alleen moeite met de bevindingen in dit onderzoek van E&Y. Het zou kunnen dat E&Y zelf ook is verrast door de antwoorden en zelf een ‘draai’ heeft gegeven richting het gewenste resultaat.
Mike, we zitten op dezelfde frequentie. Marktonderzoeken, surveys, etc etc zijn over het algemeen een snashot die een goed beeld zou moeten geven over hoe het onderwerp van onderzoek er voor staat. Helaas blijkt in de real world dat de onderzoeken elkaar tegenspreken. Ik ga liever af op de incidenten en zaken die ik zelf bij klanten tegenkom…voor mij een betere maatstaf. De onderzoeken kunnen wel helpen klanten iets minder tunnelvisie te geven maar het is niet de magic silver bullet om dat te bereiken
Have a good one
Tom