Tanium, leverancier van unified endpoint management en beveiliging ontwikkeld voor veeleisende IT-omgevingen, heeft onderzoek gedaan naar de status van endpoint security na invoering van AVG-wetgeving in 2018. Het onderzoek wijst uit dat, twee jaar na invoering van deze wet, grote uitgaven niet leiden tot verbeterde compliancy. Ondanks miljoeneninvesteringen in compliance programma’s, ontdekt meer dan 94% fundamentele IT-zwakheden die bedrijven kwetsbaar laten voor inbreuken en wettelijke boetes. Daarnaast lijkt het werken op afstand, tenminste gedeeltelijk, een nieuwe realiteit te worden, wat de relevantie van dit onderzoek en de uitkomsten daarvan nogmaals onderstreept.
Aan het wereldwijde onderzoek, uitgevoerd door Vanson Bourne, deden meer dan 750 IT-leiders van grote organisaties mee, waarvan 100 Nederlanders. Nederlandse bedrijven gaven aan dat de introductie van AVG en andere data privacy-wetgeving heeft geleid tot significante investeringen in IT-security en -operations. In Nederland ging het afgelopen jaar om een bedrag van gemiddeld 39 miljoen euro. Hierbij gaf 90% van de respondenten aan dat zij geïnvesteerd hebben in het trainen van hun werknemers. Daarnaast zegt 74% dat zij nieuw talent hebben aangenomen en 80% heeft geïnvesteerd in nieuwe software of services. 70% van de respondenten heeft nieuwe software of services aangeschaft zodat ze data kunnen lokaliseren en 68% heeft dit gedaan om data te lokaliseren en te categoriseren.
Daarnaast heeft 79% van de organisaties gemiddeld 124 miljoen euro apart gezet voor een cyberaansprakelijkheidsverzekering. Zo hopen zij voorbereid te zijn op de gevolgen van een datalek.
Het werken op afstand, wat miljoenen mensen wereldwijd tegenwoordig doen, heeft tevens gezorgd voor nog meer blinde vlekken in welke endpoint daarvoor gebruikt worden. Dit kan leiden tot non-compliancy-situaties wanneer deze apparaten niet goed beschermd en mogelijk zelfs besmet zijn.
Meer uitgaven leiden niet tot het oplossen van visibility-uitdagingenDe Tanium-studie ontdekte enorme visibility gaps in de IT-omgevingen van de meeste bedrijven voor het ontstaan van de pandemie. Uit dit onderzoek kwam naar voren dat maar liefst 96% van de IT-besluitvormers endpoints ontdekte in hun IT-omgeving waar zij voorheen geen weet van hadden. Daarnaast geeft 77% van de CISO’s aan dat zij op dagelijkse, wekelijkse of maandelijkse basis nieuwe endpoints ontdekken.
Gezien de behoefte aan duidelijk inzicht en rapportage om te voldoen aan privacy-regulering, zorgen visibility gaps voor twijfel aan corporate AVG-initiatieven. Gebrek aan inzicht en controle van endpoints is volgens 35% de grootste uitdaging om te voldoen aan compliance.
Wat is de oorzaak van visibility gaps?
Een meerderheid (94%) van de Nederlandse respondenten geeft aan dat er fundamentele zwakheden binnen hun bedrijf bestaan die hen ervan weerhouden een duidelijk beeld te krijgen van hun IT-ecosysteem. Massaal thuiswerken en het gebruik van persoonlijke apparaten kunnen deze problemen verergeren en de corporate attack surface vergroten.
Om een duidelijk beeld te kunnen vormen is inzicht in endpoints essentieel en is het van belang om het aantal visibility gaps zo klein mogelijk te houden. Visibility gaps ontstaan en worden vaak verergerd door de volgende situaties:
- Het gebruik van te veel verouderde tools binnen het bedrijf (32%);
- Een gebrek aan eenheid tussen IT, operations en security teams (31%);
- Slechte IT-hygiëne (30%);
- Legacy systemen die geen actuele informatie bieden (30%);
- Gebrek aan middelen om IT-omgevingen effectief te managen (23%);
- Schaduw IT (21%).
Uit dit onderzoek kwam ook naar voren dat Nederlandse bedrijven gemiddeld 43 verschillende security en operationele tools gebruiken voor het managen van hun IT-omgevingen. Dit beperkt de effectiviteit van de al verzuilde teams nog verder en creëert onnodige complexiteit.
Andere uitdagingen die Nederlandse bedrijven tegenkomen als ze controle proberen te houden over hun IT-omgevingen zijn: het werken met data die niet actueel of up-to-minute is (59%), het gebrek aan coördinatie tussen IT security en operations teams (48%) en het gebruiken van tools of het toevoegen van omgevingen (bijvoorbeeld cloud-omgevingen) door werknemers zonder toestemming van IT-afdelingen (47%).
Tech-leiders maken zich zorgen over de gevolgen
Het invoeren van AVG wetgeving is slechts het begin van een nieuw complex tijdperk van strenge data privacy-maatregelen. Ondanks het uitstellen van grote boetes vanwege de pandemie, is het nog steeds een vereiste dat bedrijven persoonlijke data onder de meest strenge beveiliging opslaan en verwerken. Het lange termijn plaatje is duidelijk: meer verantwoordelijkheid en toezicht.
Organisaties die niet in staat zijn om data die via endpoints loopt te beheren en beveiligen lopen serieuze risico’s wat betreft bedrijfsresultaten en de corporate reputatie. Zo geven IT-leiders in dit onderzoek aan dat onvolledig inzicht in endpoints hun bedrijf kwetsbaarder kan maken voor cyberaanvallen (54%), ervaringen van gebruikers kan aantasten (40%), risk assessments kan bemoeilijken (34%), een merk kan beschadigen (29%), een effect kan hebben op klantloyaliteit (28%) en kan leiden tot non-compliancy boetes (13%).
Respondenten onthulden verder een valse zelfverzekerdheid als het gaat om het voldoen aan compliancy regels. 90% zegt dat zij er zeker van zijn dat zij alle nodige informatie over een datalek met regulators kunnen delen binnen 72 uur. Echter geeft slechts 21% aan dat zij de volledige controle hebben om de computing-apparatuur op het netwerk van hun organisatie direct inzichtelijk te krijgen. Dit vertrouwen lijkt misplaatst – een enkel gemist endpoint kan een schending betekenen van compliancy wetgeving.
Wytze Rijkmans, Regional Vice President bij Tanium zegt hierover het volgende, “terwijl het bemoedigend is om te zien dat organisaties investeren om aan de juiste zijde van data privacy wetgeving te blijven, laat ons onderzoek zien dat hun goede werk ondermijnd kan worden door onvoldoende aandacht te besteden aan basisprincipes van IT.
Ongeacht wanneer het tot boetes komt, hebben bedrijven nog steeds de plicht persoonlijke data te beschermen. Veel organisaties lijken in de val te lopen door te denken dat het spenderen van een significante som geld aan AVG genoeg is om direct compliant te zijn. Echter, zonder volledig inzicht in en controle over hun IT-middelen, laten ze de deur op een kiertje staan voor cybercriminelen. Onze studie laat zien dat Nederlandse bedrijven in het afgelopen jaar gemiddeld 39 miljoen euro hebben geïnvesteerd aan het compliant maken van hun organisatie, en veel van hen toch nog steeds niet voldoen aan de juiste wetgeving.”
“Technology leaders moeten meer focussen op de basisprincipes van unified endpoint security en management om te zorgen voor een snelle reactie bij incidenten en verbeterde besluitvorming. De eerste stap moet het opzetten van real-time inzicht van deze endpoints zijn: dit is een cruciale voorwaarde om IT-hygiëne te verbeteren, voor effectief risicomanagement en om compliance te verbeteren. Nu veel teams vanuit huis werken, vaak met hun eigen apparaten, is dit belangrijker dan ooit.”
Het volledige rapport kan hier gelezen worden.