57 procent van de Nederlandse werknemers van 21 tot 32 jaar kiest ervoor om beleidsregels te breken als deze gaan over het beperken van het zakelijke gebruik van privétoestellen (bring your own device, byod), cloudopslagdiensten en ‘wearable devices’. Wereldwijd gaat het om 51 procent. Dit blijkt uit onderzoek van securityleverancier Fortinet onder 3200 werknemers uit twintig verschillende landen. Fortinet concludeert dat Generatie Y de hakken in het zand zet tegen bedrijfsbeleid rond privétechnologie op de werkvloer.
Het onderzoek bekijkt hoe Generatie Y omgaat met het overtreden van beleidsregels van het gebruik van privétoestellen, persoonlijke cloudopslagdiensten en nieuwe, ‘slimme’ gebruiksvoorwerpen, zoals smart watches, Google Glass en auto’s met internetverbinding. Uit het onderzoek blijkt een toename van 42 procent in de bereidwilligheid om gebruiksregels te overtreden ten opzichte van een soortgelijk onderzoek dat Fortinet vorig jaar uitvoerde. Het nieuwe onderzoek beschrijft ook in hoeverre Generatie Y het slachtoffer is van cybercrime op hun privétoestellen, in hoeverre men bekend is met bedreigingen en de veelvoorkomende gewoonte van deze groep om bedrijfsinformatie op te slaan in persoonlijke cloudaccounts.
Overtreding is sterke trend
Ondanks de positieve instelling van de respondenten over het feit dat hun werkgever voorziet in een byod-beleid, en 45 procent van hen van mening is dat dit hen ‘krachtiger’ maakt (37 procent in Nederland), zegt 51 procent van hen dat zij elke beleidsregel zouden overtreden die het gebruik van privétoestellen verbiedt op het werk of voor werkdoeleinden. In Nederland komt dit aantal neer op 57 procent.
Deze bereidheid om maatregelen te negeren die tot doel hebben om zowel de werknemer als de werkgever te beschermen, komt ook terug op andere vlakken van privégebruik van it. Zo zegt 36 procent van de respondenten die een eigen, persoonlijke cloudopslagdienst, zoals DropBox, gebruikt voor werkdoeleinden, dat zij regels die dit willen voorkomen zouden overtreden. In Nederland is dit ietsje minder, namelijk 33 procent. Wat betreft nieuwe producten die mode, accessoires en gebruiksvoorwerpen combineren met (internet)technologie, zoals Google Glass en slimme horloges, is bijna de helft, namelijk 48 procent wereldwijd (maar 35 procent in Nederland) van de respondenten bereid om beleidsregels te overtreden die het zakelijke gebruik daarvan willen beperken.
Wearable devices
Naast draagbare computers zoals smartphones en tablets komen er ook steeds meer ‘slimme’ producten die draagbaar zijn, in de zin van de Engelse term ‘wearable’. Voorbeelden hiervan zijn horloges en brillen, maar ook kleding en andere gebruiksvoorwerpen, met internetverbinding en communicatietechnologie. De vraag hoe lang het zal duren voordat dergelijke producten gemeengoed worden op het werk of voor werkdoeleinden, antwoordt 16 procent van de respondenten ‘nu’ en nog eens 33 procent van hen ‘zodra deze producten goedkoper worden’.
In Nederland zijn we iets behoudender en zijn de percentages respectievelijk 8 procent en 32 procent. Slechts 8 procent van alle deelnemers, en 13 procent in Nederland, denkt niet dat deze producten ooit gemeengoed worden op de werkvloer.
Persoonlijke clouddiensten
Maar liefst 89 procent van de deelnemers aan het onderzoek heeft een privéaccount bij tenminste één cloudopslagdienst. In Nederland heeft 74 procent van de ondervraagden een privé cloudaccount. Daarvan heeft 41 procent een account bij DropBox, wereldwijd ligt dat op 38 procent. Wereldwijd gebruikt 70 procent het privéaccount voor werkdoeleinden, in Nederland slechts 41 procent. Eén op de acht van hen bevestigt dat zij werkgerelateerde wachtwoorden in deze accounts opslaan, 16 procent van hen slaat financiële gegevens op, 22 procent bedrijfskritische, privacygevoelige documenten zoals contracten en bedrijfsplannen (18 procent in Nederland) en 33 procent van hen slaat klantengegevens op in de persoonlijke cloudopslagdienst. In Nederland is dit slechts 8 procent.
Bijna een derde (32 procent) van de gebruikers van cloudopslagdiensten zegt dat zij de cloud volledig vertrouwen voor het opslaan van hun privégegevens, terwijl slechts 6 procent de clouddiensten wantrouwt. In Nederland zijn deze cijfers respectievelijk 21 procent en 14 procent.
Gevolgen aanvallen
Op de vraag of hun toestellen ooit zijn aangevallen door cybercriminelen of malware en wat de gevolgen daarvan waren, antwoordt ruim 55 procent van de respondenten dat er een aanval heeft plaatsgevonden op hun persoonlijke pc of laptop (43 procent in Nederland). Ongeveer de helft van deze aanvallen had negatieve gevolgen, zoals verlaagde productiviteit of verlies van privé- of bedrijfsgegevens.
Aanvallen vinden veel minder plaats op smartphones (19 procent wereldwijd en 14 procent in Nederland), en zorgen maar een beetje meer voor extra verlies van data of productiviteit, dan bij het verlies van pc’s en laptops. Dat is verrassend aangezien veel meer respondenten de verantwoordelijkheid hebben over een smartphone dan over laptops of pc’s. Hetzelfde percentage geldt voor tablets (19 procent wereldwijd en 13 procent in Nederland), maar met een grotere impact, aangezien 61 procent (47 procent in Nederland) van deze aanvallen ingrijpende gevolgen had.
Werkgever niet inlichten
Een van de verontrustende bevindingen van het onderzoek is dat 14 procent van de respondenten zegt dat men de werkgever niet op de hoogte zou brengen als er inbreuk werd gemaakt op een privétoestel dat men zakelijk gebruikt. In Nederland scoren we nog hoger, maar liefst 27 procent van onze jonge werknemers zouden in dit geval hun werkgever niet op de hoogte stellen.
Het onderzoek keek ook naar de ‘bekendheidniveaus’ voor verschillende beveiligingsrisico’s. Daaruit blijkt dat er twee tegenovergestelde extremen zijn: volledige onwetendheid en volledige bekendheid. Het gebied daartussen bestaat uit gemiddeld 27 procent van de respondenten met een minimale kennis van de risico’s (33 procent in Nederland). Op vragen over bedreigingen zoals apt’s, DDoS, botnets en pharming, lijkt 52 procent helemaal niet bekend te zijn met dergelijke bedreigingen (71 procent in Nederland). Voor de it-afdelingen is er dus nog veel werk te verzetten om betere voorlichting te geven over de bedreigingen en de gevolgen daarvan.
Byod verbetert bekendheid
Het onderzoek wijst ook op een directe correlatie tussen byod-gebruik en bekendheid met de risico’s. Hoe vaker byod voorkomt, hoe beter het personeel de risico’s begrijpt. Dit is een positieve bevinding voor organisaties die overwegen of/wanneer men beleidsregels, tegelijkertijd met risicotrainingen, wil invoeren.
Achterhoedeschermutselingen. Het gevecht om controle te houden over informatie en gedrag van medewerkers is een verloren gevecht.
Organisaties zullen moeten gaan wennen aan vergaande transparantie op elk gebied. Stel jezelf de vragen: Wat betekent het als straks vrijwel alles direct op straat ligt? Waaruit bestaat dan nog onze voorsprong? Is kennis nog macht? En als macht en kennis geen voorsprong meer geven, wat dan nog wel?
De toekomst is aan organisaties die empatischer en leniger zijn. Die zich onderscheiden door het inleven in mensen en hun behoeften. Die bij implementatie bewegelijk en razendsnel zijn.
De toekomst is aan organisaties die er voor zorgen dat informatie over hun handelen voortdurend outdated is.
De reacties op dit stuk geven precies het probleem weer. Net doen alsof security voor een werknemer een belangrijk issue is. Nee dus, totaal niet interessant.
Wordt wakker dames en heren beveiligers. Werknemers en managers worden afgerekend op productie. Op zoveel mogelijk lettertjes, code, contracten, testgevallen enzovoorts produceren per uur. Juist in tijd waarin werknemers meer en meer onder druk staan om maar meer te presteren voor vaak ook nog minder beloning zal beveiliging ze dus aan hun reet roesten. Elk middel dat kan helpen om een beetje te helpen in het makkelijker tot resultaat komen wordt aangegrepen. Betrapt worden op het overtreden van een beveiligingsregeltje kom je tenslotte vaak nog wel mee weg, onvoldoende productie halen, das dodelijk voor je carrière.
Zolang beveiligingsexperts deze hele eenvoudige basisregel niet begrijpen zal beveiliging dweilen met de kraan open blijven.
Deze uitslag verbaast me niks, net als de meeste lezers. De oudere garde van nu voelt zich al snel verantwoordelijk voor wat ze doen of laten. Maar generatie Y is niet zo ver. Ze zijn wel sterk in “what’s in for me” en vertellen wat je wilt horen, maar niet in het dragen van verantwoordelijkheid. Daarbij komt dat generatie Y weliswaar met ICT gadgets en nieuwe media zijn opgegroeid en die gewoon vindt. Maar die zijn al jaren zo gebruiksvriendelijk, dat men nog amper hoeft te begrijpen hoe e.e.a. technisch werkt en wat de eventuele gevaren zijn. De ICT kennis van generatie Y wordt vaak sterk overschat, vooral door henzelf. Ze weten snel wat de nieuwe mogelijkheden zijn, maar niet wat onbedoeld ook kan gebeuren. Logisch, want het zijn doorgaans ook geen ICT’ers.
Helaas helpt het personeelsbeleid van bedrijven ook al niet om een gevoel van onderlinge en wederzijdse verantwoordelijkheid te creëren; integendeel. En als zowel baas/bedrijf als medewerker hun verantwoordelijk niet aanvoelen, dan gaat het goed mis. Gevoelige data liggen dan ook om de haverklap op straat; veel vaker dan de pers meldt. Ze kunnen niet elk incident weten en melden. En dan hebben we het nog niet eens over wat de NSA en hun (private) concurrenten kunnen doen mede dankzij BOYD.
Zo’n onveilige situatie moet je als ICT- en als algemeen manager nooit accepteren. Het management moet zorgen voor een helder en logisch BYOD beleid en voor de mogelijkheid van sancties bij overtreding van het BOYD beleid invoeren. Als ik met mijn auto of leasebak te snel of roekeloos rijdt, dan moet ik ook de boete of de schade betalen.
Uiteraard mag de manager bij overtreding van het BOYD beleid pas gaan wijzen en eventueel straffen als hij/zij het BOYD beleid zelf ook goed geregeld heeft (en naleeft). En dat is zelden het geval.
Dus (ICT-)managers, begin bij uzelf.
Zoals wel vaker kan ik me prima vinden in de visie van NumoQuest.
Ik ben zoiemand die idd wat anders wil dan de meeste mensen willen.
Wordt mij dat niet geboden prima maar dan heb je niet zo heel veel aan mij.
Ik kan dit echter goed technisch onderbouwen.
Iemand die gebruik maakt van een tablet of een slimme telefoon waarvan hij/zij van de onderliggende technologie geen enkel benul heeft kan dit hoogst waarschijnlijk niet.
Zoals Henri terecht aangeeft als je aan een volkomen vreemde organisatie toestemming verleent om de essentiele beveiliging van je systeem te beinvloeden zelfs zonder dat je geinformeerd wordt waarom, waneer en hoe dat gebeurd dan zul je er wellicht ook weinig problemen mee hebben je bankgegevens even in een emailtje naar mij toe te sturen, Heus mijn buurjongetje van acht zal er heel zorgvuldig mee omspringen !
Wim Aalbers, wat een heerlijk prikkelende reactie!
Stof tot nadenken!
deejaa, ook jouw reactie kan ik waarderen.
@ Deeja
You prove my point exactly…. dank je…. Maar… zoals ik het doorgaans stel, de hele discussie ‘an sich’ kan mij een beetje gestolen worden. Als professionals zich al niet kunnen houden aan de meest basale principes van het IT proces, namelijk eerst even goed nadenken waar je mee bezig bent ipv de mooiste dingen van de daken te gillen, moet je dat vooral doen.
Ik hoef namelijk de rekeningen niet te betalen wanneer het mis gaat.
@Pascal
Dank ;O)