‘Helft van de organisaties licht klant niet volledig in over datadiefstal’

Abonneer je gratis op Techzine!

De helft van alle organisaties brengt klanten niet volledig op de hoogte in geval van datadiefstal na een cyberaanval. Dat blijkt uit het Threat Landscape Report, een jaarlijks onderzoek van CyberArk. Het bedrijf ziet dat het op de hoogte brengen van klanten bij cybercrime geen prioriteit is.

CyberArk geeft dan ook aan dat er flinke consequenties op de loer liggen voor deze organisaties, aangezien de aankomende General Data Protection Regulation-regelgeving transparantie moet vergroten. Van de respondenten maakt 63 procent zich zorgen over de veiligheid van de organisatie. Ondanks dit vrij hoge percentage, beweert de helft te weinig kennis te hebben van security-beleid of wat hun rol is ten tijde van een aanval.

Dit vertaalt zich terug in de prioriteiten die men stelt na een aanval: 68 procent richt zich op het dichten van het lek en 53 procent probeert de aard van de aanval te achterhalen. Slechts 11 procent licht de klanten direct in. Het komt daarmee na andere prioriteiten als de directie en medewerkers inlichten, security-systemen updaten, organisaties op gang brengen en reputatie en communicatie beheren.

Belang van inlichten

Het bedrijf omschrijft enkele bekende voorbeelden waarbij aanvallen binnenskamers gehouden werden: Yahoo en Uber. CyberArk vindt het logisch dat organisaties eerst hun eigen zaakjes op orde willen hebben, maar geeft wel aan dat klanten op de hoogte gebracht moeten worden indien hun gegevens verloren zijn gegaan. Dat is nu al goed, maar zal na invoering van GDPR op 25 mei verplicht zijn. Dan volgen er immers flinke boetes als het niet gebeurt.

Bovendien ligt in veel gevallen vertrouwen aan de basis van een klantrelatie. Beveiliging speelt daar een belangrijke rol in. Zo’n 44 procent stelt dat ze eerst de security van een mogelijke partner beoordelen voordat ze ermee in zee gaan. Iets meer dan de helft van de organisaties laat derden toe op het netwerk. Een kwart van dit verkeer wordt niet gemonitord.