57 procent van de Nederlandse werknemers van 21 tot 32 jaar kiest ervoor om beleidsregels te breken als deze gaan over het beperken van het zakelijke gebruik van privétoestellen (bring your own device, byod), cloudopslagdiensten en ‘wearable devices’. Wereldwijd gaat het om 51 procent. Dit blijkt uit onderzoek van securityleverancier Fortinet onder 3200 werknemers uit twintig verschillende landen. Fortinet concludeert dat Generatie Y de hakken in het zand zet tegen bedrijfsbeleid rond privétechnologie op de werkvloer.
Het onderzoek bekijkt hoe Generatie Y omgaat met het overtreden van beleidsregels van het gebruik van privétoestellen, persoonlijke cloudopslagdiensten en nieuwe, ‘slimme’ gebruiksvoorwerpen, zoals smart watches, Google Glass en auto’s met internetverbinding. Uit het onderzoek blijkt een toename van 42 procent in de bereidwilligheid om gebruiksregels te overtreden ten opzichte van een soortgelijk onderzoek dat Fortinet vorig jaar uitvoerde. Het nieuwe onderzoek beschrijft ook in hoeverre Generatie Y het slachtoffer is van cybercrime op hun privétoestellen, in hoeverre men bekend is met bedreigingen en de veelvoorkomende gewoonte van deze groep om bedrijfsinformatie op te slaan in persoonlijke cloudaccounts.
Overtreding is sterke trend
Ondanks de positieve instelling van de respondenten over het feit dat hun werkgever voorziet in een byod-beleid, en 45 procent van hen van mening is dat dit hen ‘krachtiger’ maakt (37 procent in Nederland), zegt 51 procent van hen dat zij elke beleidsregel zouden overtreden die het gebruik van privétoestellen verbiedt op het werk of voor werkdoeleinden. In Nederland komt dit aantal neer op 57 procent.
Deze bereidheid om maatregelen te negeren die tot doel hebben om zowel de werknemer als de werkgever te beschermen, komt ook terug op andere vlakken van privégebruik van it. Zo zegt 36 procent van de respondenten die een eigen, persoonlijke cloudopslagdienst, zoals DropBox, gebruikt voor werkdoeleinden, dat zij regels die dit willen voorkomen zouden overtreden. In Nederland is dit ietsje minder, namelijk 33 procent. Wat betreft nieuwe producten die mode, accessoires en gebruiksvoorwerpen combineren met (internet)technologie, zoals Google Glass en slimme horloges, is bijna de helft, namelijk 48 procent wereldwijd (maar 35 procent in Nederland) van de respondenten bereid om beleidsregels te overtreden die het zakelijke gebruik daarvan willen beperken.
Wearable devices
Naast draagbare computers zoals smartphones en tablets komen er ook steeds meer ‘slimme’ producten die draagbaar zijn, in de zin van de Engelse term ‘wearable’. Voorbeelden hiervan zijn horloges en brillen, maar ook kleding en andere gebruiksvoorwerpen, met internetverbinding en communicatietechnologie. De vraag hoe lang het zal duren voordat dergelijke producten gemeengoed worden op het werk of voor werkdoeleinden, antwoordt 16 procent van de respondenten ‘nu’ en nog eens 33 procent van hen ‘zodra deze producten goedkoper worden’.
In Nederland zijn we iets behoudender en zijn de percentages respectievelijk 8 procent en 32 procent. Slechts 8 procent van alle deelnemers, en 13 procent in Nederland, denkt niet dat deze producten ooit gemeengoed worden op de werkvloer.
Persoonlijke clouddiensten
Maar liefst 89 procent van de deelnemers aan het onderzoek heeft een privéaccount bij tenminste één cloudopslagdienst. In Nederland heeft 74 procent van de ondervraagden een privé cloudaccount. Daarvan heeft 41 procent een account bij DropBox, wereldwijd ligt dat op 38 procent. Wereldwijd gebruikt 70 procent het privéaccount voor werkdoeleinden, in Nederland slechts 41 procent. Eén op de acht van hen bevestigt dat zij werkgerelateerde wachtwoorden in deze accounts opslaan, 16 procent van hen slaat financiële gegevens op, 22 procent bedrijfskritische, privacygevoelige documenten zoals contracten en bedrijfsplannen (18 procent in Nederland) en 33 procent van hen slaat klantengegevens op in de persoonlijke cloudopslagdienst. In Nederland is dit slechts 8 procent.
Bijna een derde (32 procent) van de gebruikers van cloudopslagdiensten zegt dat zij de cloud volledig vertrouwen voor het opslaan van hun privégegevens, terwijl slechts 6 procent de clouddiensten wantrouwt. In Nederland zijn deze cijfers respectievelijk 21 procent en 14 procent.
Gevolgen aanvallen
Op de vraag of hun toestellen ooit zijn aangevallen door cybercriminelen of malware en wat de gevolgen daarvan waren, antwoordt ruim 55 procent van de respondenten dat er een aanval heeft plaatsgevonden op hun persoonlijke pc of laptop (43 procent in Nederland). Ongeveer de helft van deze aanvallen had negatieve gevolgen, zoals verlaagde productiviteit of verlies van privé- of bedrijfsgegevens.
Aanvallen vinden veel minder plaats op smartphones (19 procent wereldwijd en 14 procent in Nederland), en zorgen maar een beetje meer voor extra verlies van data of productiviteit, dan bij het verlies van pc’s en laptops. Dat is verrassend aangezien veel meer respondenten de verantwoordelijkheid hebben over een smartphone dan over laptops of pc’s. Hetzelfde percentage geldt voor tablets (19 procent wereldwijd en 13 procent in Nederland), maar met een grotere impact, aangezien 61 procent (47 procent in Nederland) van deze aanvallen ingrijpende gevolgen had.
Werkgever niet inlichten
Een van de verontrustende bevindingen van het onderzoek is dat 14 procent van de respondenten zegt dat men de werkgever niet op de hoogte zou brengen als er inbreuk werd gemaakt op een privétoestel dat men zakelijk gebruikt. In Nederland scoren we nog hoger, maar liefst 27 procent van onze jonge werknemers zouden in dit geval hun werkgever niet op de hoogte stellen.
Het onderzoek keek ook naar de ‘bekendheidniveaus’ voor verschillende beveiligingsrisico’s. Daaruit blijkt dat er twee tegenovergestelde extremen zijn: volledige onwetendheid en volledige bekendheid. Het gebied daartussen bestaat uit gemiddeld 27 procent van de respondenten met een minimale kennis van de risico’s (33 procent in Nederland). Op vragen over bedreigingen zoals apt’s, DDoS, botnets en pharming, lijkt 52 procent helemaal niet bekend te zijn met dergelijke bedreigingen (71 procent in Nederland). Voor de it-afdelingen is er dus nog veel werk te verzetten om betere voorlichting te geven over de bedreigingen en de gevolgen daarvan.
Byod verbetert bekendheid
Het onderzoek wijst ook op een directe correlatie tussen byod-gebruik en bekendheid met de risico’s. Hoe vaker byod voorkomt, hoe beter het personeel de risico’s begrijpt. Dit is een positieve bevinding voor organisaties die overwegen of/wanneer men beleidsregels, tegelijkertijd met risicotrainingen, wil invoeren.
Het is verbazingwekkend hoe weinig men bewust is van risico’s. Uit het onderzoek blijkt m.i. dat persoonlijke bevrediging belangrijker is dan bedrijfsveiligheid.
Het geeft inderdaad te denken over het verantwoordelijkheidsgevoel van de werknemers. Wanneer werkgevers net zo makkelijk met persoonlijke gegevens om zouden gaan is Leiden in last, maar andersom wordt het niet als probleem gezien.
Maar ook het beleid van de werkgevers kan vraagtekens oproepen. Met mijn thuis PC kan ik mijn zakelijke e-mail (incl attachments) bekijken. In sommige gevallen houdt dat in dat ik documenten (tijdelijk) lokaal opsla om te kunnen reviewen / aan te passen. Wil je als werkgever niet dat je documenten op zo’n manier bij mensen thuis op systemen komen, zul je ook daar over na moeten denken.
We hebben te maken met (jongere) generaties verwende mensen, die de beschikking hadden en hebben over “anything, anywhere, anyplace”. (Een deel van) onze generatie is daar rijk mee geworden. De rest vond het goed, probeerde bij te blijven of doet wanhopig pogingen daartoe. De continu voortrazende smartphone – en tablet hypes zijn daar een goed voorbeeld van.
Als jij alles hebt, altijd overal bij kon en communicatief gezien altijd bereikbaar was op een door jou gekozen manier via een door jou gekozen device (als een soort personal statement) dan laat je je niet van de wijs brengen als bij een werkgever wordt geconfronteerd met rare regeltjes over het gebruik van jouw spullen. Wat denkt die wel?
Het zal wellicht niet lang duren voor de eerste rechtszaak wordt aangespannen door een werknemer die het recht opeist om zijn eigen spullen te gebruiken. Of juist door een werkgever die werknemers wil verbieden dat juist niet te doen. Misschien is een van beide al voorbij gekomen, ik kan wat gemist hebben.
De andere kant van de medaille is ook aan de orde: werknemers die, hoewel uitgerust met tablets en smartphones, eisen dat ze in hun vrije tijd met rust gelaten worden… door hun werkgever: http://www.parool.nl/parool/nl/30/ECONOMIE/article/detail/3388755/2013/02/05/Duitse-werknemers-eisen-recht-op-onbereikbaarheid.dhtml
Bedrijven zouden er beter aan doen om middelen aan te bieden die BYOD wel mogelijk maken, ipv tijd te steken in het controleren of mensen geen bedrijfskritische informatie meenemen op onveiligie manieren. Biedt ze een veilige manier aan en de bereidheid om dit te gebruiken zal vele malen groter zijn dan door het te verbieden en te hopen dat mensen hier naar luisteren. De risico’s zijn te groot om het niet goed te regelen.
Men neme een Android device en men probeert te twitteren via de browser op dat device….. dat is niet mogelijk… je gaat naar de Play Store en zoekt op Twitter. Men klikt op installeren en de play store zegt Twitter heeft toegang nodig tot: (lijstje met applicatie rechten waaronder)
Uw accounts
Accounts maken en wachtwoorden instellen, accounts op het apparaat gebruiken, accounts toevoegen of verwijderen
Come again?!?
Als je op dit soort rechten accoord geeft moet je wel heel erg vertrouwen op de App bouwer!
M.a.w. weet wat je doet 🙂
In mijn oren klinkt het eerder alsof de security dusdanig open staat dat er voldoende resources worden aangeboden om dit soort “overtedingen” te accepteren.
“als ik niemand in mijn woning wil toelaten, dan is het ook mijn verantwoordelijkheid om de nodige ingangen van sloten en overage passende beveiliging te voorzien”
Ik had in mijn laatste opinie iets geschreven over ‘Shadow IT’ waar nogal wat opmerkelijke reacties op kwamen, dat ik een flut artikel geschreven had bijvoorbeeld. Opinie sloot ik trouwens af met: History doesn’t repeat itself, but it rhymes – Mark Twain
Stoute gebruikers zijn tenslotte helemaal geen nieuw fenomeen want toen ze desktops kregen deden ze ook al dingen die tegen het beleid waren, bijvoorbeeld illegale software installeren. Iets wat eerder gemitigeerd werd door ze minder rechten te geven maar bij BYO dus niet werkt en omdat ze hiermee vaak met dezelfde credentials de bedrijfsresources benaderen installeert illegale software zich nu vanzelf zonder dat gebruikers het weten. In de vorm van malware zoals we konden leren met Citadel en waar Rick Gevers een mooi rapport over heeft geschreven: http://dl.surfright.nl/Citadel-malwareonderzoek_Pobelka_botnet.pdf
Dat BYO tot een hoger bewustzijn van de risico’s leidt is trouwens complete onzin, berouw komt namelijk altijd na de zonde. En als ik me niet vergis blijkt uit cijfers dat bijna 3/4 van de gebruikers in Nederland zich er helemaal niet druk om maakt. Ook niet echt verrassend als ik naar security index van Unisys kijk waar nog een groot vertrouwen in de overheid uit lijkt te spreken.
Ewout, wat een prachtig rapport! Geweldig.
Over je verwijzing naar mijn reactie ga ik niet in, dat is allang uitgekauwd.
Het is in ieder geval duidelijk dat er een schone taak ligt bij ieder bedrijf al zijn medewerkers te trainen.
Interessant artikel, als “jongere” generatie kan ik me hier prima in vinden. De vraag is natuurlijk wel in hoeverre BYOD nog waarde heeft als het de veiligheid van de bedrijfsdata in gevaar brengt.
Zoals het artikel al suggereert hoeft er geen actie vanuit de (meeste) gebruikers verwacht te worden. Het ligt dus voor de hand dat de IT afdeling na moet denken over een oplossing voor dit vraagstuk. Persoonlijk zie ik deze oplossing liggen in de “containerisatie” van bedrijfsapplicaties en data. Waarbij de bedrijfsdata gesplitst wordt van de gebruikers data. Door middel van van een juiste afbakening en beveiliging blijft het voor het bedrijf mogelijk om vanuit een secure omgeving te werken zonder in de private space van de gebruiker te zijn. Hierdoor kan gebruik gemaakt worden van de beschikbaar gestelde hardware, met ruimte voor de gebruiker en veiligheid voor het bedrijf.
Mocht een gebruiker het bedrijf verlaten dan kan simpelweg de toegang tot deze container ontzegd worden en is daarmee de data veilig gesteld.
Allereerst ga ik hier vol ongeloof met mijn hoofd schudden. Wat voor een flutberedeneringen worden er hier naar voren gebracht.
Byod en regie
Byod is een zaak van de organisatie/ondernemer die beleid en gereedschappen voor productie ter beschikking stelt aan een werknemer. Hoe een roganisatie of ondernemer dat inregelt is volkomen een zaak van de betreffende. Het hyperige gedoe rond het byod verhaal is een gotspe. Het is niet de werknemer die bepaald waar hij/zij behoefte aan heeft maar de regisseur. Een ieder die daar anders over wil denken moet zichzelf eens af gaan vragen of die wel begrijpt wat gezond ondernemerschap is.
Voor daar even mijn bescheiden en eenvoudige mening over dat hele byod verhaal.
Google glass, smartwtach, auto met internet connectiviteit
Een beetje ondernemer gaat er eerst eens rustig voor zitten voor die uberhaubt gaat nadenken over implementatie van peripherals die gewoon vragen om ‘smart crime’. Een ieder die daar anders over denkt, moet zichzelf maar eens afvragen of die wel enig begrip en besef heeft van veilig en gedegen IT inzet en onderhoud.
Overtreding Byod beleid
Als dit artikel al iets aan toont dan is het dat je bij mij als ‘regisseur’ niet moet aankomen met hoe jij je werkplek als werknemer ingeregeld zou willen zien. Dat is iets wat ik als ‘regisseur’ uit maak en de ‘boundries’ daarvan neer leg. Zo eenvoudig is dat.
Is dat een zaak van onderhandeling? Diegene die mij hiervan probeert te overtuigen probeert mij iets te verkopen waar enorme gevaren en nadelen voor mij als ondernemer aan hangen. U dacht dat ik een dergelijke discussie dan zou aan gaan?
Laten we even terug keren naar de realiteit en rede. Dit soort onderzoeken zijn alleen voor alsnog gebaseerd op aannames en hypotheses. Niet op de huidige stand van zaken.
Voor wat mijn stuivertje hier waard is…