Hoe groter de onderneming, hoe groter de kans op datalekken door eigen personeel. Hoewel grote bedrijven een hogere standaard van ict-beveiliging hebben, melden zij sowieso meer incidenten dan kleine bedrijven. Dat concludeert het Centraal Bureau voor de Statistiek in de Cybersecuritymonitor 2018.
Het aantal incidenten waarbij sprake is van onthulling van gegevens door eigen personeel, is relatief groot bij grote ondernemingen. Zo had 21 procent van de bedrijven met meer dan vijfhonderd werknemers in 2016 te maken met data-onthullingen door eigen personeel. Bij kleinere organisaties komen dergelijke interne lekken minder vaak voor of worden deze minder gemeld aan de onderzoekers. Het gaat bijvoorbeeld om 8 procent van de ondernemingen van vijftig tot honderd personeelsleden en om 2 procent van de bedrijven met slechts vijf tot tien mensen in dienst.
Overigens komen incidenten waarbij eigen personeel gegevens onthult, veel minder vaak voor dan andersoortige ict-beveiligingsproblemen. Zo heeft ruim een kwart van alle incidenten betrekking op uitval door storing, bijvoorbeeld door verkeerd geïnstalleerde software. 8 procent kreeg te maken met uitval door een cyberaanval. Ook vernietiging of verminking van data als gevolg van zo’n storing of aanval komt regelmatig voor.
Ict-incidenten in het algemeen
Gemiddeld kreeg 30 procent van de Nederlandse bedrijven in 2016 te maken met een of meerdere ict-incidenten. Dit geldt voor 73 procent van de bedrijven met meer dan vijfhonderd werkzame personen, schrijven de onderzoekers in het rapport. Bij kleinere bedrijven komen incidenten minder vaak voor of worden deze minder vaak gemeld aan de onderzoekers. Zo gaat het om 60 procent van de ondernemingen van vijftig tot honderd personeelsleden, en om 33 procent van de bedrijven met slechts vijf tot tien mensen in dienst.
Het relatief grote aantal ict-incidenten binnen grote organisaties heeft volgens de onderzoekers verschillende oorzaken. Grote bedrijven hebben over het algemeen meer mensen die met een computer werken. Dit maakt de kans dat ergens iets misgaat, groter. Bovendien zal de ict-infrastructuur complexer zijn dan bij een klein bedrijf, vermoeden de onderzoekers. Ze wijzen erop dat het overgrote deel van de incidenten niet moedwillig is veroorzaakt.
Melding van incidenten
Het komt niet vaak voor dat organisaties ict-veiligheidsincidenten melden bij de politie, de Autoriteit Persoonsgegevens (AP), hun bank of een sectoraal, nationaal of ander securityteam. Van alle bedrijven deed in 2016 7 procent een melding. Het zijn vooral de grote ondernemingen met meer dan honderd medewerkers die bij dergelijke instanties meldingen doen.
Meldingen bij de politie blijven meestal vruchteloos, schrijven de onderzoekers. Zo wist de politie vorig jaar amper 5 procent van de gemelde hackmisdrijven op te lossen.
Die kop is natuurlijk geen nieuws. Natuurlijk zijn er meer lekken bij grotere bedrijven: meer medewerkers, meer computers, meer fouten. Het zou pas zinvolle informatie als er wordt gekeken naar het aantal lekken per medewerker.