Menselijke fouten oorzaak 9 op de 10 Britse datalekken

Analyse CybSafe & GDPR

90 procent van de datalekken werd in 2019 veroorzaakt door menselijke fouten. Dit stelt een analyse van gegevens van het Britse Information Commissioner’s Office (ICO) door het cyber security awareness en data analytics bedrijf, CybSafe.

In 2019 hebben Britse organisaties meer inbreuken op de cyberbeveiliging aan de ICO gemeld dan ooit tevoren. In totaal werden vorig jaar 2.376 meldingen naar de overheidsinstantie gestuurd, tegenover 540 in 2017 en 1.854 in 2018 – het jaar dat de GDPR van kracht werd.

Oorzaak

Van alle meldingen van afgelopen jaar stelde CybSafe vast dat 90 procent kon worden toegeschreven aan fouten van eindgebruikers. Dit is een stijging ten opzichte van 2017 en 2018, toen respectievelijk 61 en 87 procent van de datalekken kon worden gekoppeld aan gebruikersfouten.

CybSafe ontdekte dat phishing de primaire oorzaak was van datalekken in 2019, goed voor 45 procent van alle meldingen. In 2017 werden bij de ICO slechts 16 datalekken gemeld als gevolg van succesvolle phishingaanvallen. In 2018 steeg dit aantal naar 877 phishingmeldingen en in 2019 meldden Britse organisaties een recordaantal van 1.080 phishing-gerelateerde datalekken bij de ICO.

Na phishing was ‘niet-geautoriseerde toegang’ in 2019 de tweede meest voorkomende oorzaak van datalekken, met 791 datalekken die aan de ICO werden gemeld. Andere opvallende oorzaken van datalekken waren 243 meldingen in verband met mal- of ransomware, 64 in verband met verkeerde configuratie van hardware/software en 34 in verband met brute force password attacks.

Statement Oz Alashe

Oz Alashe, CEO van CybSafe, voegde daaraantoe: “Zoals uit onze analyse blijkt, zijn het bijna altijd menselijke fouten die aanvallers in staat stellen toegang te krijgen tot versleutelde kanalen en gevoelige informatie. Medewerkers kunnen allerlei fouten maken die de gegevens of systemen van hun bedrijf in gevaar brengen, vaak omdat ze de kennis of motivatie missen om veilig te handelen, of gewoon omdat ze zich per ongeluk vergissen.”

“Hoewel schokkend, moeten deze statistieken geen negatieve reactie uitlokken. Werknemers vormen natuurlijk een bepaald niveau van risico voor hun werkgevers, zoals blijkt uit onze bevindingen tot nu toe. Toch spelen mensen ook een belangrijke rol bij het helpen beschermen van de bedrijven waarvoor ze werken, en het menselijke risico kan bijna altijd aanzienlijk worden verminderd door veranderingen in het bewustzijn, het gedrag en de veiligheidscultuur van het personeel toe te passen.”

Cyber Security Survey

“Uit de meest recente jaarlijkse Cyber Security Breaches Survey (2022) van de Britse overheid blijkt dat het personeel van iets minder dan een op de vijf bedrijven (17%) in de afgelopen 12 maanden een interne of externe cybersecurity training heeft gevolgd. Op nationaal niveau is er dus duidelijk veel ruimte voor verbetering.”