Press Release

Eenderde van de organisaties kreeg vorig jaar te maken met zeven of meer datalekken, waardoor 26% meer dan $5 miljoen uitgaf aan juridische kosten voor het procederen over datalekken

Kiteworks, dat wet bescherming persoonsgegevens en naleving biedt voor communicatie over gevoelige content via zijn Private Content Network, heeft zijn 2024 Sensitive Content Communications Privacy and Compliance Report uitgebracht. Dit rapport biedt essentiële inzichten in de huidige stand van zaken rondom communicatie van gevoelige content. Het rapport, gebaseerd op een uitgebreide enquête onder 572 IT-, beveiligings-, risicobeheer- en complianceleiders, onthult aanzienlijke kwetsbaarheden en uitdagingen waarmee organisaties worden geconfronteerd bij het beheren en beveiligen van hun gevoelige informatie.

Onder de belangrijkste bevindingen benadrukt het rapport grote wereldwijde uitdagingen bij het beheren van communicatie over gevoelige content. Wanneer gegevens extern worden verzonden of gedeeld, geeft 57% van de wereldwijde respondenten aan dat ze deze activiteiten niet kunnen volgen, controleren en rapporteren. Niet verrassend is compliance-rapportage een grote uitdaging: 34% van de respondenten genereert audit log-rapporten meer dan acht keer per maand om te voldoen aan interne en externe complianceverzoeken. Deze frequente rapportageverplichting weerspiegelt de voortdurende worsteling om aan strenge regelgeving te voldoen.

Tim Freestone, Chief Strategy and Marketing Officer bij Kiteworks, benadrukt de urgentie om deze kwetsbaarheden aan te pakken: “Ons rapport onthult aanzienlijke gaten die organisaties moeten dichten om hun gevoelige content te beschermen en te voldoen aan steeds strengere regelgeving. De inzichten zijn een oproep tot actie voor bedrijven om hun contentcommunicatiestrategieën te heroverwegen en te investeren in robuuste beveiligingsoplossingen.”

Toename van communicatietools leidt tot risico’s

Het 2024 Kiteworks-rapport benadrukt belangrijke verschuivingen en aanhoudende uitdagingen bij het gebruik van communicatietools voor content. Bijna een derde van de respondenten geeft aan dat hun organisatie afhankelijk is van zes of meer communicatietools voor content. Naast het vergroten van risico’s, vermindert het beheren van deze ‘toolsoep’ de operationele efficiëntie en bemoeilijkt het het genereren van geconsolideerde audit logs.

Het voorkomen van lekken van intellectueel eigendom (IP) en gevoelige geheimen is voor 56% van de respondenten topprioriteit, wat het cruciale belang onderstreept van het beschermen van waardevolle informatie. Daarentegen geven minder organisaties prioriteit aan de impact op merkreputatie (15%) en kostenbesparing (26%). Deze verschuiving wijst op een groeiende focus op de directe risico’s van datalekken en informatieverlies.

Bepaalde sectoren uiten extra zorgen over IP-lekken. In de juridische sector noemt bijvoorbeeld 75% van de respondenten dit als een aanzienlijk risico, wat de afhankelijkheid van vertrouwelijke informatie weerspiegelt. Ook de olie- en gassector, met zijn eigen technologieën en gevoelige data, toont aanzienlijke bezorgdheid over IP-lekken. Deze bevindingen benadrukken de noodzaak van sectorspecifieke strategieën om unieke kwetsbaarheden aan te pakken en het belang van robuuste communicatiepraktijken voor content in alle sectoren te versterken.

Impact van datalekken

Externe kwaadaardige hacks van communicatie over gevoelige content blijven wereldwijd een ernstig risico. 32% van de organisaties meldde vorig jaar zeven of meer datalekken bij communicatie over gevoelige content. Dit is een lichte verbetering ten opzichte van 2023, toen 36% van de organisaties dergelijke lekken rapporteerde. Echter, 9% van de respondenten wereldwijd gaf toe niet te weten of hun gevoelige content was gelekt, wat wijst op een aanzienlijk tekort aan geavanceerde beveiligingsdetectie en reactie op incidenten.

De federale overheid rapporteerde het hoogste aantal lekken, met 17% die aangaf 10 of meer lekken te hebben gehad en nog eens 10% die 7 tot 9 lekken meldde. Verontrustend is dat 42% van de beveiligings- en defensieorganisaties toegaf zeven of meer lekken te hebben gehad, wat de dringende noodzaak van verbeterde beveiligingsmaatregelen in deze sectoren benadrukt.

Geografisch gezien had APAC het hoogste percentage organisaties dat zeven of meer lekken rapporteerde, namelijk 43%. Dit hoge aantal is zorgwekkend gezien de uitgebreide uitwisseling met derden in de regio. De juridische kosten die gepaard gaan met datalekken blijven hoog: 8% van de organisaties maakte vorig jaar meer dan $7 miljoen aan juridische kosten, en 26% rapporteerde kosten van meer dan $5 miljoen. Grotere organisaties, vooral die met meer dan 30.000 medewerkers, hadden nog hogere kosten: 24% rapporteerde juridische kosten van meer dan $7 miljoen.

Het hoger onderwijs kwam naar voren als de meest getroffen sector, met 49% van de respondenten die aangaf vorig jaar meer dan $5 miljoen aan juridische kosten te hebben betaald. Geografisch stonden de Amerika’s bovenaan, met 27% van de organisaties die juridische kosten van meer dan $5 miljoen rapporteerden, terwijl 12% van de EMEA-respondenten onzeker was over de financiële impact.

Organisaties worstelen met risicobeheer door derden

Het beheren van risico’s door derden blijft wereldwijd een grote uitdaging voor organisaties. Het rapport laat zien dat 66% van de organisaties gevoelige content uitwisselt met 1.000 of meer derden, hoewel dit een daling is ten opzichte van 84% in 2023. Deze afname suggereert dat organisaties zich steeds meer bewust worden van de risico’s van uitgebreide interacties met derden en maatregelen nemen om de toegang effectiever te beheersen.
De APAC-regio heeft het grootste aantal verbindingen met derden, waarbij 77% van de organisaties gevoelige content uitwisselt met 1.000 of meer derden. Binnen de sector professionele dienstverlening wisselt 51% van de organisaties gevoelige content uit met 2.500 of meer derden, aanzienlijk hoger dan de volgende sector, het hoger onderwijs, met 47%.

Verontrustend is dat 39% van de organisaties wereldwijd niet in staat is om toegang tot gevoelige content te volgen en te controleren zodra deze hun domein verlaat. Verrassend genoeg gaven cybersecurityprofessionals, vergeleken met IT- en risicomanagementprofessionals, aan meer vertrouwen te hebben in het vermogen van hun organisatie om toegang tot content te volgen en te controleren nadat deze hun domein heeft verlaten (48% zei dat ze driekwart of meer volgen en controleren). Dit probleem is vooral uitgesproken in de EMEA-regio, waar 43% van de organisaties toegeeft het vermogen te verliezen om toegang tot meer dan de helft van hun gevoelige content te volgen en te controleren zodra deze extern wordt gedeeld. Lokale overheidsorganisaties hebben de grootste uitdaging, met 54% die niet in staat is gevoelige content te volgen en te controleren nadat deze de organisatie heeft verlaten, gevolgd door farmaceutische en life sciences-bedrijven met 50%.

Beveiliging van communicatie over gevoelige content behoeft verbetering

Het rapport onderstreept de dringende noodzaak tot verbetering van het beheer van beveiliging van gevoelige content. Slechts 11% van de organisaties vindt dat er geen verbetering nodig is, een aanzienlijke daling ten opzichte van 26% in 2023. Dit wijst op een groeiend bewustzijn van beveiligingsrisico’s en de noodzaak van verbeterde beveiligingsmaatregelen. De behoefte aan aanzienlijke verbeteringen is vooral groot in de professionele dienstverlening, waar 47% van de bedrijven dit erkent, en bij grote organisaties waar meer dan de helft van de respondenten uit bedrijven met 20.001 tot 30.000 medewerkers aangeeft dat er aanzienlijke verbetering nodig is.

Als het gaat om het gebruik van geavanceerde beveiligingstechnologie voor interne communicatie over gevoelige content, geeft slechts 59% van de respondenten aan dit altijd te doen. De EMEA-regio blijft achter, met slechts 53% die consequent geavanceerde beveiligingsmaatregelen gebruikt, vergeleken met 67% in de Amerika’s en 57% in APAC. Deelstaatregeringen lopen hierin voorop, met 71% die consequent geavanceerde beveiligingstechnologieën gebruikt, gevolgd door instellingen voor hoger onderwijs met 65%.

Organisaties geven ook prioriteit aan beveiligingscertificeringen en validatie, waarbij ISO 27001, 27017 en 27018 bovenaan de lijst staan als de belangrijkste certificeringen. Deze worden gevolgd door NIST 800-171/CMMC 2.0. Opvallend is dat 59% van de EMEA-organisaties ISO-certificeringen prioriteert, meer dan andere regio’s. Daarentegen werd IRAP vaker gekozen door APAC-organisaties. De bevindingen weerspiegelen een sterke regionale focus op verschillende beveiligingsstandaarden, afhankelijk van de lokale regelgeving.

Beperkingen in bestandsgrootte vormen extra uitdagingen, vooral in de energie- en nutssector. Ongeveer 34% van de respondenten voert maandelijks meer dan 50 workarounds uit vanwege beperkingen op de bestandsgrootte van e-mail. Voor beheerde bestandsoverdracht en SFTP ondervindt respectievelijk 27% en 31% vergelijkbare beperkingen. Energie- en nutsbedrijven worden aanzienlijk getroffen, met 29% die maandelijks 50 keer of meer problemen met de bestandsgrootte van e-mail ondervindt, en 36% die beperkingen bij beheerde bestandsoverdracht ervaart.

Compliance-uitdagingen blijven bestaan voor gevoelige communicatie

Dit jaar gaf 56% van de organisaties aan dat er verbetering nodig is in compliance management, een aanzienlijke stijging ten opzichte van 32% in 2023. Deze groeiende bezorgdheid weerspiegelt de toenemende complexiteit en strengheid van regelgeving.

Belangrijke compliance-zorgen voor organisaties zijn GDPR en Amerikaanse staatswetten op het gebied van privacy, waarbij 41% van de respondenten elk als hun belangrijkste compliancefocus noemt. Dit sluit aan bij regionale prioriteiten, aangezien een hoger percentage EMEA-organisaties de nadruk legt op GDPR-naleving, terwijl Amerikaanse organisaties zich meer richten op staatsprivacywetten. Leiders op het gebied van risico en compliance noemden GDPR als hun grootste compliancegebied (52%). IT-leiders daarentegen plaatsten Amerikaanse staatswetten inzake gegevensprivacy bovenaan hun prioriteitenlijst (52%).

De frequentie en last van het genereren van audit log-rapporten blijft aanzienlijk. Ongeveer 34% van de organisaties meldt dat ze meer dan acht keer per maand audit logs moeten genereren om te voldoen aan interne en externe complianceverzoeken. Deze taak vergt veel middelen: 31% van de respondenten besteedt jaarlijks meer dan 2.000 personeelsuren aan het samenstellen van deze rapporten. Grotere organisaties hebben een nog grotere last, waarbij 32% van de organisaties met meer dan 30.000 medewerkers jaarlijks meer dan 2.500 uur besteedt aan compliance-rapportage.

Opvallende compliancegaten blijven bestaan in diverse sectoren. Zo geeft slechts 38% van de beveiligings- en defensie-aannemers prioriteit aan CMMC-naleving, wat een aanzienlijk risico vormt gezien de aanstaande handhaving van CMMC 2.0. Niet voldoen aan deze standaarden kan leiden tot het verlies van contracten met het ministerie van Defensie. Deze gaten benadrukken de dringende noodzaak voor organisaties om robuuste compliance-strategieën te prioriteren en te investeren om te voldoen aan veranderende regelgeving en bijbehorende risico’s te beperken.

Organisaties worstelen met dataclassificatie en risicobeoordeling

Organisaties blijven moeite houden met het effectief classificeren van data en het beoordelen van bijbehorende risico’s. Meer dan de helft (51%) van de organisaties meldt dat minder dan 50% van hun ongestructureerde data wordt getagd en geclassificeerd. Dit gebrek aan uitgebreide dataclassificatie brengt aanzienlijke risico’s met zich mee, omdat ongestructureerde data vaak gevoelige informatie bevat die bescherming vereist.

Bovendien geeft 40% van de organisaties aan dat 60% of meer van hun ongestructureerde data tagging en classificatie vereist. Dit onderstreept het groeiende besef van het belang van data management-praktijken bij het beperken van beveiligings- en compliance-risico’s. Hoog-risico datatypes die door respondenten zijn geïdentificeerd, zijn onder andere financiële documenten (55%), intellectueel eigendom (44%) en juridische communicatie (4%). Deze datatypes zijn vaak doelwit van cyberaanvallen en vereisen robuuste beschermingsmaatregelen.

Sectorspecifieke risico’s zijn ook prominent aanwezig. Zo maken energie- en nutsbedrijven zich vooral zorgen over de integratie van generatieve AI (GenAI)-technologieën, waarbij 50% dit als een aanzienlijk risico noemt. Instellingen voor hoger onderwijs richten zich op de bescherming van persoonlijk identificeerbare informatie (PII), met 50% die deze zorg benadrukt. In de zorgsector geeft 58% van de organisaties prioriteit aan de bescherming van beschermde gezondheidsinformatie (PHI).

Als het gaat om datatypes met het grootste risico, rangschikken IT- en risico- en complianceleiders financiële documenten (respectievelijk 56% en 61%) bovenaan hun lijst. Cybersecurityleiders daarentegen plaatsten IP bovenaan hun risicoprioriteiten (51%), gevolgd door financiële documenten (46%).

Deze bevindingen onderstrepen de dringende noodzaak voor organisaties om hun inspanningen op het gebied van dataclassificatie te verbeteren en op maat gemaakte risicobeheerstrategieën te hanteren voor de unieke uitdagingen van hun sector.

Concrete uitkomsten uit het Kiteworks-rapport

Het 2024 Kiteworks-rapport benadrukt de dringende noodzaak voor organisaties om gaten in beveiliging en compliance van communicatie over gevoelige content aan te pakken. Nu het dreigingslandschap zich blijft ontwikkelen, is het essentieel dat bedrijven robuuste strategieën implementeren om hun gevoelige informatie te beschermen.

Patrick Spencer, VP Corporate Marketing en Research bij Kiteworks, benadrukt het belang van privacy en compliance bij communicatie over gevoelige content: “Het rapport van 2024 legt kritieke gaten bloot in hoe organisaties hun gevoelige data beheren en beveiligen. Nu een aanzienlijk aantal organisaties te maken krijgt met meerdere datalekken en moeite heeft om aan compliance-vereisten te voldoen, is het van groot belang dat bedrijven proactieve stappen nemen om hun communicatiestrategieën voor gevoelige content te versterken. De bevindingen van het rapport onderstrepen de noodzaak voor organisaties om uitgebreide oplossingen te implementeren die next-generation digital rights management (DRM)-mogelijkheden bevatten. Door controle te behouden over gevoelige content, zelfs nadat deze extern is gedeeld, kunnen bedrijven risico’s effectief beperken en de privacy en compliance van hun meest waardevolle informatie waarborgen.”

Kiteworks pakt deze uitdagingen aan door een uitgebreid Private Content Network te bieden voor het beheren van communicatie over gevoelige content. Het platform biedt geavanceerde encryptie, beveiligde bestandsoverdracht en compliance management-tools, allemaal geïntegreerd in één platform om de beveiliging en operationele efficiëntie te verbeteren.

Recente next-gen DRM-toevoegingen aan het Kiteworks-platform, SafeEDIT en SafeVIEW, verbeteren de bescherming van gevoelige content verder. SafeEDIT maakt veilige bewerking en samenwerking aan gevoelige documenten mogelijk, waarbij alles wordt gevolgd en gecontroleerd. SafeVIEW biedt een veilige omgeving voor het bekijken van gevoelige content, waarbij ongeautoriseerd kopiëren, printen of delen wordt voorkomen.

Voor alle onderzoeksresultaten en inzichten, download vandaag nog het volledige rapport via https://www.kiteworks.com/sensitive-content-communications-report/.

Voor praktijkinzichten van professionals over het rapport, bekijk of beluister de Kitecast-aflevering via https://www.kiteworks.com/kitecast/kiteworks-2024-survey-report-expert-panel-on-data-privacy-and-security/.

PR Contact

David Schutzman

Schutzman Public Relations
david@schutzmanpr.com