Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Top 15 risico’s op blootstelling van privégegevens voor 2023
Top 15 risico's op blootstelling van privégegevens voor 2023

Top 15 risico’s op blootstelling van privégegevens voor 2023

by Patrick Spencer updated maart 7, 2023 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

De drang om digitale transformatie te omarmen, blijft organisaties blootstellen aan aanzienlijke beveiligings- en nalevingsrisico’s. Om digitale transformatie-initiatieven in goede banen te leiden, hebben overheden en internationale standaardisatie-instellingen diverse regelgeving ingevoerd om de wet bescherming persoonsgegevens 2018 te waarborgen. Bedrijven voelen daardoor steeds meer druk om te voldoen. Uit een onderzoek van PwC eerder dit jaar blijkt dat regelgeving rondom gegevensbescherming en privacy zwaarder op het gemoed van bestuurders drukt dan welk ander gevolg van digitale transformatie dan ook. In hetzelfde onderzoek werden nalevings- en regelgevingsrisico’s en cyberrisico’s (beide 35%) aangewezen als hun grootste zorg, boven diverse andere risico-gerelateerde kwesties.

Data sprawl is een belangrijke oorzaak van de zorgen van bestuurders over nalevings- en regelgevingsrisico’s. De hoeveelheid data blijft exponentieel toenemen en is verbonden aan data-gedreven businessmodellen die in vrijwel elke sector en elke afdelingsfunctie voorkomen. Data, en met name privé-inhoud, werd traditioneel on-premises opgeslagen en gedeeld via handmatige processen. Tegenwoordig is privé-inhoud naar de cloud gemigreerd, waardoor deze toegankelijker is en eenvoudig gedeeld kan worden vanaf elk apparaat of locatie. Hierdoor is privé-inhoud helaas ook gevoeliger voor ongeautoriseerde toegang, zowel kwaadwillig als per ongeluk, dan ooit tevoren.

Risico’s op het gebied van gegevensprivacy, beveiliging en naleving

Risico’s op het gebied van blootstelling aan gegevensprivacy zorgen voor een evolutie in naleving van regelgeving en cyberbeveiliging. Overheden reageren op deze risico’s door te reguleren hoe organisaties privégegevens verzenden, delen, ontvangen en opslaan. Organisaties wenden zich op hun beurt tot technologieën om het beheer van beveiliging en naleving te stroomlijnen en automatiseren.

Nu organisaties hun strategieën en programma’s voor risicobeheer cyberbeveiliging heroverwegen en aanpassen voor het komende jaar, heeft ons team het 2023 Forecast on Managing Sensitive Content Exposure Risks Report samengesteld. We spreken jaarlijks met duizenden organisaties en hebben uit die gesprekken diverse voorspellingen verzameld die IT-, beveiligings-, risico- en complianceleiders kunnen inzetten om beveiligingsgaten en prioriteiten in hun risico op blootstelling aan gegevensprivacy te identificeren. Hieronder volgt een kort overzicht van de risico’s en voorspellingen die in het rapport worden uitgelicht.

Groei in communicatie van gevoelige inhoud

De hoeveelheid privégegevens die wordt verzonden en gedeeld, blijft exponentieel groeien. De markt voor bestandsoverdracht zal naar verwachting toenemen met een samengesteld jaarlijks groeipercentage (CAGR) van 28,1% tot en met 2027, terwijl de markt voor beheerde bestandsoverdracht (MFT) naar verwachting zelfs sneller zal groeien in dezelfde periode met een CAGR van 28,3%. Ook zal het e-mailverkeer blijven toenemen—met een verwachte groei van 12% tussen 2020 en 2023, ondanks de toename van instant messaging en samenwerkingsplatforms.

Nu er meer privégegevens worden uitgewisseld—zowel binnen organisaties als met derden—zal meer van die data worden onderschept en gecompromitteerd. Onderschepping is slechts één risicofactor. Hoe privégegevens worden ontvangen en opgeslagen zijn andere risicogebieden. Organisaties hebben daarom een communicatieplatform voor gevoelige inhoud nodig dat een defense-in-depth beveiligingsaanpak gebruikt, met meerdere beveiligingslagen om privé-informatie te beschermen tegen kwaadwillende cybercriminelen en vijandige staten. Dit omvat de mogelijkheid om verzonden e-mails en gedeelde inhoud terug te trekken die per ongeluk naar de verkeerde ontvanger zijn gestuurd.

Deze risicofactoren zijn voor 2023 onder te verdelen in twee voorspelde gebieden:

  1. Het delen van gevoelige data is risicovol, maar een zakelijke vereiste
  1. Onveilige e-mailuitwisseling van gevoelige inhoud blijft een aanzienlijk risico

Risico op cyberaanvallen neemt toe

Het doel van veel cyberaanvallen is het verkrijgen van privé-inhoud, gevoelige informatie zoals persoonlijk identificeerbare informatie (PII), beschermde gezondheidsinformatie (PHI), intellectueel eigendom (IP), financiële documenten, juridische adviezen en productieschema’s. Cyberaanvallers die deze privé-inhoud stelen, kunnen deze op diverse manieren te gelde maken—gijzelen voor losgeld, gebruiken voor chantage, verkopen op het dark web of aanbieden aan concurrenten. Bedrijven die privédata blootstellen, krijgen te maken met publieke vernedering en merkschade.

Ons Forecast Report benoemt vier verschillende gebieden voor 2023:

  1. Multitenant cloudhosting biedt cyberaanvallers vruchtbare grond. Voor een paar duizend dollar kunnen kwaadwillenden een cloudinstantie aanschaffen bij Microsoft en andere softwareleveranciers. Vervolgens kunnen ze in een sandbox-omgeving kwetsbaarheden opsporen en complexe exploits ontwikkelen om gevoelige inhoud te onderscheppen terwijl deze door de software supply chain beweegt. Als reactie hierop zal het gebruik van single-tenant hostingoplossingen, zoals die met FedRAMP Autorisatie, met toegewijde servers die geïsoleerd zijn van andere huurders, in 2023 meer aandacht krijgen.
  1. Derden in de toeleveringsketen vergroten het risico. Uit ons onderzoek blijkt dat organisaties duizenden externe leveranciers, aannemers, juridische adviseurs en andere partijen hebben die toegang hebben tot, verzenden, delen, ontvangen en opslaan van privé-inhoud. De meeste organisaties zijn traag met het invoeren van risicobeheerpraktijken om privé-informatie die met derden wordt gedeeld te beschermen. Organisaties die gevoelig zijn voor budgetten zullen in 2023 vaker naar partners in de toeleveringsketen kijken, ondanks het inherente risico.
  1. De as van vijandige staten blijft groeien. Door de oorlog tussen Rusland en Oekraïne en andere factoren het afgelopen jaar, is er veel gesproken over cyberaanvallen vanuit vijandige staten. Recent onderzoek van Mandiant voorspelt dat het stijgende aantal aanvallen op kritieke infrastructuur in 2023 een probleem zal blijven, en dat de meerderheid van deze aanvallen afkomstig zal zijn van een as van vijandige staten—Noord-Korea, Rusland, China en Iran. Privé-inhoud is een belangrijk doelwit voor hen, en organisaties moeten waakzaam blijven bij de bescherming ervan.
  1. Cyberaanvallers worden complexer—en gevaarlijker. Cybercriminaliteit is inmiddels een miljardenindustrie. Goed gefinancierde criminele organisaties en vijandige staten maken gebruik van geavanceerde technologieën zoals kunstmatige intelligentie (AI) en machine learning (ML) om hun aanwezigheid maanden- of zelfs jarenlang te verhullen en hun sporen uit te wissen nadat ze terabytes aan gevoelige inhoud hebben gestolen.

Risicobeheer cyberbeveiliging evolueert om risico’s van blootstelling aan privédata aan te pakken

Organisaties passen hun strategieën voor risicobeheer cyberbeveiliging aan om technologische, financiële en procesmatige vooruitgang van cyberaanvallers bij te benen. Dit zien we bijvoorbeeld bij de Amerikaanse federale overheid met nieuwe standaarden en verplichtingen zoals het Executive Order 14028 van het Witte Huis en daaropvolgende memo’s over zero trust en Cybersecurity Maturity Model Certification (CMMC) voor leveranciers van het Department of Defense (DoD).

Ons 2023 Forecast Report benoemt zes cybersecuritygebieden die organisaties in 2023 zullen omarmen om gevoelige inhoud te beheren:

  1. Content-gedefinieerde zero trust en het private content network. De meeste organisaties hebben zero trust geïmplementeerd voor hun netwerkperimeter en event identity & access management. Zoals hierboven aangegeven, is inhoud het doelwit van veel cyberaanvallen, en organisaties realiseren zich dat dezelfde zero-trustprincipes ook op inhoud moeten worden toegepast. Dit leidt tot het private content network: een speciaal platform dat digitale communicatie van gevoelige inhoud beveiligt met content-policy zero trust.
  1. Least-privilege access en authenticatie. 11% van de initiële infectievectoren is het gevolg van gestolen inloggegevens, volgens het laatste M-Trends Report van Mandiant. Als reactie hierop gebruiken veel organisaties multi-factor authentication om diefstal van inloggegevens voor netwerk- en applicatietoegang tegen te gaan. Dit moet ook worden uitgebreid naar toegang tot inhoud.
  1. Meer bedrijven kiezen voor exclusief eigendom van hun encryptiesleutels. Veel eindklanten beheren hun encryptiesleutels slechts gedeeltelijk, waardoor opsporings- en veiligheidsdiensten, advocaten en andere partijen de eindklant kunnen omzeilen en cloudproviders kunnen dagvaarden voor hun encryptiesleutels. Organisaties zullen daarom op zoek gaan naar leveranciers die exclusief eigendom van encryptiesleutels bieden—zodat alleen de eindklant toegang heeft tot zijn data.
  1. Beperken van kwetsbaarheden in externe bibliotheken en software. Het aantal gepubliceerde Common Vulnerabilities and Exposures (CVE) in 2022 is nu al 35% hoger dan in 2021. Aangezien een aanzienlijk deel van software uit open source bestaat, moeten organisaties continu hun software supply chain beoordelen. Organisaties zullen daarom zoeken naar aanbieders die security hardening en meerdere beveiligingslagen toepassen om de CVSS-ernst van open-sourcekwetsbaarheden te verlagen.
  1. AI wordt breder ingezet om afwijkingen te detecteren in data sharing en transfers. AI biedt vrijwel eindeloze mogelijkheden binnen het cybersecuritylandschap, waaronder geavanceerde detectie en bescherming van gevoelige inhoud. Organisaties kunnen AI inzetten binnen communicatie van gevoelige inhoud en security operations center (SOC)-tools om afwijkend gedrag rond privé-inhoud te detecteren (zoals pieken in toegang, verzendingen, delingen, enz.) en real-time waarschuwingen naar beveiligingsteams te sturen.
  1. Organisaties richten meer middelen op security hardening en integratie van beveiligingsinvesteringen. IT-, beveiligings-, risico- en compliance-teams werken effectiever en efficiënter wanneer zij Threat Intelligence en compliancegegevens kunnen samenbrengen in één overzicht. Organisaties verminderen cyberrisico’s aanzienlijk wanneer ze antivirusmogelijkheden, content disarm and reconstruction (CDR), preventie van gegevensverlies (DLP) en advanced threat protection (ATP) kunnen integreren in het platform of de tools waarmee communicatie van gevoelige inhoud wordt beheerd.

Regulering van de digitale uitwisseling van privédata

Gegevensbeheer wordt nu gezien als een fundamentele basis van risicobeheer. Organisaties moeten de juiste tracking en controles hebben om privé-inhoud te beschermen tegen cyberbedreigingen en om naleving van een groeiende lijst aan regelgeving en standaarden aan te tonen. De volgende drie voorspellingen sluiten onze lijst voor 2023 af:

  1. Bijblijven met nieuwe en uitgebreide regelgeving voor gegevensprivacy. Volgens de laatste telling hebben meer dan 80 landen wereldwijd een vorm van wet bescherming persoonsgegevens 2018. De Health Insurance Portability and Accountability Act (HIPAA) reguleert privacy van gegevens met betrekking tot PHI. FISMA, GLBA, PCI DSS (Payment Card Industry Data Security Standard) en anderen stellen eisen aan de bescherming van financiële informatie en PII. De GDPR van de EU was een van de eerste die privacy van gegevens op regionaal niveau reguleerde. In de VS was de CCPA (California Consumer Privacy Act) de eerste wetgeving op dit gebied. Vier extra staten hebben vergelijkbare wetgeving aangenomen die in 2023 van kracht wordt. Als gevolg van deze en andere privacywetten moeten organisaties op zoek naar oplossingen met uitgebreide beveiligingscontroles en mogelijkheden voor compliance tracking en rapportage.
  1. Geofencing van privédata-uitwisseling zal toenemen. Privédata die binnen specifieke rechtsbevoegdheden en tussen rechtsbevoegdheden wordt gedeeld, moet worden beschermd en beheerd. Geofencing moet worden ingezet om ongeautoriseerd verzenden en delen van privé-inhoud zoals PII en PHI tussen rechtsbevoegdheden te voorkomen. Dit omvat het blokkeren van verzendingen, delingen en ontvangsten en het gebruik van datasoevereiniteitscontroles die individuele bestanden en mappen beperken tot opslag in het thuisland van de data-eigenaar.
  1. Adoptie van beste practices voor cybersecuritycontroles en -raamwerken. De invloed van cybersecurityraamwerken zoals ISO 27001, NIST CSF en SOC 2 zal blijven groeien in reikwijdte, en hun adoptie zal daarmee gelijke tred houden. Naarmate organisaties het risico op blootstelling van gevoelige inhoud beoordelen, zullen ze steeds vaker gebruikmaken van cybersecurityraamwerken.

Risico’s van blootstelling van gevoelige inhoud beperken met Kiteworks

Het risico door cybercriminaliteit en nalevingsregelgeving is nog nooit zo groot geweest. De snelle volwassenwording van data-analyse en -wetenschap en de toename van toeleveringsketens brengen het delen en overdragen van data naar de voorgrond van veel digitale transformatie-initiatieven. Dit zijn bedrijfskritische ondernemingen die competitieve voordelen bieden—van operationele efficiëntie tot mogelijkheden voor omzetgroei.

Maar omdat de meeste cyberaanvallen gericht zijn op het onderscheppen van privédata, gevolgd door overheids- en branchepartijen die reguleren hoe organisaties die data beschermen, zal het risico blijven groeien. Wij geloven dat een content-gedefinieerde zero trust-aanpak, waarbij contentbeleid wordt toegepast op communicatie van gevoelige inhoud in de vorm van een private content network (PCN), het antwoord is op deze uitdagingen. Kiteworks PCN verenigt uw communicatie van gevoelige inhoud op één platform om die inhoud privé te houden, terwijl u naleving kunt aantonen via robuuste tracking en controles.

Bekijk ons volledige 2023 Forecast Report, woon ons webinarpanel met drie topgasten bij en meer op onze 2023 Forecast Report-webpagina.

Veelgestelde vragen

Risicobeheer cyberbeveiliging is een strategische aanpak waarmee organisaties potentiële bedreigingen voor hun digitale bezittingen, zoals hardware, systemen, klantgegevens en intellectueel eigendom, identificeren, beoordelen en prioriteren. Dit omvat het uitvoeren van een risicobeoordeling om de meest significante bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, bijvoorbeeld met preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om nieuwe bedreigingen en organisatorische veranderingen mee te nemen. Het uiteindelijke doel van risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, en is daarmee een cruciaal onderdeel van het totale risicobeheer van elke organisatie.

De belangrijkste onderdelen van een risicobeheerprogramma voor cyberbeveiliging zijn risicodetectie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en evaluaties.

Organisaties kunnen cyberbeveiligingsrisico’s beperken met verschillende strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bij het detecteren en elimineren van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan minimaliseert de schade tijdens een cyberincident en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot helpt naleving van industriestandaarden en regelgeving, zoals Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST)-standaarden, organisaties verder bij het beperken van cyberbeveiligingsrisico’s.

Een risicobeoordeling is een cruciaal onderdeel van risicobeheer cyberbeveiliging. Hierbij worden potentiële bedreigingen en kwetsbaarheden geïdentificeerd, wordt de mogelijke impact en waarschijnlijkheid van deze risico’s beoordeeld en worden ze geprioriteerd op basis van ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt onmiddellijke dreigingsdetectie en -respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cybersecuritystandaarden en regelgeving, zodat organisaties snel kunnen inspelen op eventuele non-compliance. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvorming ondersteunt over middelen, risicobeheerstrategieën en beveiligingsmaatregelen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks