Menselijke fout wordt trend in GDPR-datalek in 2020

Van menselijke fouten is algemeen gemeld dat ze in 2019 90% van de inbreuken op cybergegevens hebben veroorzaakt. Uit informatie van het Britse Information Commissioner's Office (ICO) blijkt dat beveiligingsexperts geloven dat negen op de tien van de 2376 gerapporteerde cyberinbreuken veroorzaakt zijn door fouten gemaakt door eindgebruikers.

Hoewel die statistiek in één oogopslag kan worden gebruikt om snelle conclusies en generalisaties te trekken, is deze in feite minder nuttig dan hij oorspronkelijk lijkt. In de onbewerkte gegevens die door de ICO worden verstrekt, bestrijkt 'menselijke fout' een grote verscheidenheid aan gevallen - van systeemstoringen tot ongeoorloofde openbaarmaking tot succesvolle phishing- of spearphishing-campagnes. Dus hoewel het zorgt voor een goede pakkende one-liner, is de verklaring van sommige beveiligingsexperts dat negen van de tien inbreuken zijn veroorzaakt door menselijke fouten, nogal informatief.

Wat goed is om te weten, is dat ongeveer 32% van de bevestigde datalekken in het afgelopen jaar een of andere vorm van phishing inhield. Dit aantal kan natuurlijk variëren, afhankelijk van verschillende factoren, maar het is afkomstig uit het Verizon Data Breach Investigations Report (DBIR) van 2019. Volgens dat rapport betrof ongeveer een derde van alle gemelde datalekken phishing van een of ander type.

Rapporten geven ook aan dat ondanks de campagnes en cursussen die gericht zijn op bewustmaking van de kwestie, de wereld in het algemeen jammerlijk onvoorbereid is op dergelijke aanvallen. Een toonaangevende trainingsorganisatie voor cyberbewustzijn merkt in hun Benchmarking-rapport over phishing-per-2020 voor 2020 op dat bijna veertig procent van de gebruikers die geen specifieke training voor cyberbewustzijn volgen, waarschijnlijk ten prooi vallen aan een goed doordachte phishing-aanval.

Dat is een ernstig probleem als je bedenkt dat uit onderzoek blijkt dat 84% van de kleine tot middelgrote bedrijven die iets online te doen hebben, het doelwit zijn van phishing-aanvallen.

Een GDPR-datalekonderzoek uitgevoerd in januari 2020 meldde dat er vanaf 25 mei 2018 tot aan het punt van de enquête 160.921 inbreuken op persoonsgegevens waren geweest in de Europese economische ruimte. Bedrijven die door de gegevensbeschermingsautoriteiten hebben bevestigd dat ze gebruikersgegevens verkeerd hebben behandeld, hebben boetes opgelegd voor een bedrag van 153 miljoen euro. Desondanks, en de dreigende dreiging van een boete die € 20 miljoen of 4% van de wereldwijde jaarlijkse omzet van het bedrijf zou kunnen bedragen, afhankelijk van welke hoger is, zijn bedrijven nog steeds terughoudend om datalekken correct te melden, en IT-beveiligingsexperts schatten dat de honderden van de duizenden inbreuken in de GDPR-statistieken zijn verre van nauwkeurig.

Dus, wat moet je van dit alles maken?

Internetgebruikers moeten zich bewust worden van de gevaren die online op de loer liggen . Het is een goed idee voor zowel reguliere gebruikers als aanbieders van online services om op de hoogte te blijven van de best practices van de IT-beveiligingsindustrie. Bovendien moeten mensen zich ervan bewust worden dat er geen vervanging is voor een solide IT-beveiligingsoplossing, en dat het zonder of met een middelmatige oplossing ernstige gevolgen kan hebben.