
Inzichten over gegevensbeveiliging en naleving uit IBM’s 2024 Cost of a Data Breach Report
Kosten van datalekken stijgen met 10% in het afgelopen jaar
Het 2024 Cost of a Data Breach Report van IBM werpt licht op de toenemende financiële en reputatieschade van datalekken en biedt essentiële inzichten voor bedrijven wereldwijd. Nu cyberbedreigingen zich blijven ontwikkelen, laat het rapport een zorgwekkende stijging van de kosten van datalekken zien, die jaar-op-jaar met 10% zijn gestegen. Dit wordt veroorzaakt door factoren zoals shadow data, de toenemende integratie van Generative AI (GenAI) in bedrijfsprocessen en de groeiende complexiteit van het beheren van gevoelige content over meerdere platforms. Deze bevindingen benadrukken de dringende noodzaak voor organisaties om robuuste gegevensbeveiligingsmaatregelen te nemen om hun bezittingen te beschermen en te voldoen aan regelgeving.
Het rapport benadrukt dat de toename van shadow data—onbeheerde, ongestructureerde data die op diverse locaties is opgeslagen—een aanzienlijke uitdaging vormt en bijdraagt aan langere levenscycli van datalekken en hogere kosten. Tegelijkertijd introduceert de integratie van GenAI nieuwe kwetsbaarheden, omdat gecompromitteerde AI-modellen kunnen leiden tot onbedoelde blootstelling van gevoelige informatie. Nu persoonlijke datalekken bijna de helft (46%) van alle incidenten uitmaken, moeten bedrijven de bescherming van klantgegevens prioriteit geven om zware financiële sancties en verlies van consumentenvertrouwen te voorkomen.
Kiteworks biedt uitgebreide oplossingen voor deze urgente problemen en voorziet organisaties van de tools die ze nodig hebben om gevoelige data te beveiligen, te voldoen aan compliance vereisten en de risico’s van moderne cyberbedreigingen te beperken. Door gebruik te maken van de geavanceerde beveiligingsfuncties en de hardened virtual appliance van Kiteworks, kunnen bedrijven de kans op datalekken verkleinen, hun merkreputatie beschermen en langdurige operationele veerkracht realiseren.
Toename van Shadow Data en de impact op kosten van datalekken
Het concept van shadow data is uitgegroeid tot een belangrijk aandachtspunt in het huidige digitale landschap, vooral vanwege de grote rol ervan bij datalekken.
Wat is Shadow Data?
Shadow data verwijst naar onbeheerde en vaak niet-getraceerde data die op diverse locaties binnen het netwerk van een organisatie wordt opgeslagen. Deze data bevindt zich doorgaans buiten de formele data management policies en toezicht, waardoor het extra kwetsbaar is voor datalekken. Verontrustend genoeg ontdekte IBM dat één op de drie (35%) datalekken nu shadow data betreft, wat de omvang van dit probleem onderstreept. Daarnaast leidt diefstal van shadow data tot 16% hogere kosten per datalek. Het 2024 Kiteworks Sensitive Content Communications Privacy and Compliance Report benadrukt de ernst van deze uitdaging en laat zien dat 57% van de organisaties niet in staat is om externe contentverzendingen en -delen te traceren, te controleren of te rapporteren. Dit gebrek aan toezicht brengt aanzienlijke governance risico’s met zich mee, omdat de kans toeneemt dat data wordt gecompromitteerd zonder dat de organisatie hiervan op de hoogte is.
Uitdagingen bij het beheren van Shadow Data
Het beheren van shadow data is bijzonder uitdagend, vooral vanwege het ongestructureerde karakter en de diverse omgevingen waarin het zich bevindt, zoals cloud- en on-premises systemen. De verspreide aard van shadow data maakt het lastig om deze te beveiligen, te traceren en te controleren, wat leidt tot verlengde levenscycli van datalekken. Volgens het IBM-rapport duren datalekken waarbij shadow data betrokken is 26,2% langer om te identificeren en in te dammen, wat de impact op organisaties vergroot. Deze verlengde tijdlijn verhoogt niet alleen de financiële kosten van een datalek, maar vergroot ook de kans op boetes en reputatieschade.
Beveiligings- en compliance risico’s van gecompromitteerde GenAI-data
Nu Generative AI (GenAI) sectoren blijft transformeren, brengt de integratie ervan in bedrijfsprocessen zowel kansen als uitdagingen met zich mee. Organisaties in diverse sectoren zetten GenAI in voor uiteenlopende toepassingen, van automatisering van klantenservice tot geavanceerde data-analyse. Met deze snelle adoptie komen echter aanzienlijke beveiligings- en compliance risico’s, vooral wanneer gevoelige data wordt verwerkt.
Toenemend gebruik van GenAI in het bedrijfsleven
GenAI wordt in een ongekend tempo omarmd, waarbij bedrijven er steeds meer op vertrouwen om efficiëntie te verhogen, innovatie te stimuleren en een competitief voordeel te behalen. Of het nu gaat om chatbots, voorspellende analyses of contentgeneratie, GenAI-tools zijn steeds meer verweven met dagelijkse operaties. De inzet van deze AI-modellen omvat echter vaak het verwerken van grote hoeveelheden gevoelige data, waaronder persoonlijk identificeerbare informatie (PII), bedrijfsgevoelige informatie en zelfs financiële gegevens.
De beveiligingsimplicaties van deze trend zijn niet te onderschatten. Volgens het Kiteworks 2024 Sensitive Content Communications Privacy and Compliance Report identificeerde 39% van de respondenten het potentiële lekken van gevoelige data als het grootste risico bij het gebruik van publieke GenAI-tools. Deze zorg is terecht, aangezien GenAI-modellen kwetsbaar zijn voor diverse soorten aanvallen en datalekken. Naarmate organisaties AI dieper integreren in hun processen, moeten ze ook omgaan met de toenemende complexiteit van het waarborgen van de beveiliging en compliance van deze systemen met gegevensbeschermingsregels.
Risico’s van gecompromitteerde GenAI-data
De risico’s van gecompromitteerde GenAI-data zijn veelzijdig. Een van de belangrijkste zorgen is data poisoning, waarbij kwaadwillenden opzettelijk valse of misleidende data toevoegen aan het AI-trainingsproces. Dit kan leiden tot vertekende uitkomsten, verkeerde beslissingen en mogelijk rampzalige gevolgen voor bedrijven. Daarnaast zijn GenAI-modellen gevoelig voor model extraction-aanvallen, waarbij tegenstanders het model kunnen reverse-engineeren om toegang te krijgen tot onderliggende data en intellectueel eigendom.
Een ander belangrijk risico is de onbedoelde blootstelling van gevoelige data via AI-gedreven applicaties. Als een GenAI-model bijvoorbeeld is getraind op niet-geclassificeerde of slecht beveiligde data, is er een verhoogd risico dat gevoelige informatie wordt gelekt of verkeerd wordt behandeld. Dit is vooral zorgwekkend in sectoren zoals de zorg en de financiële sector, waar datalekken kunnen leiden tot zware boetes en verlies van consumentenvertrouwen.
Bovendien worden AI-modellen steeds vaker ingezet in cloudomgevingen, waardoor ze doelwit worden van complexe cyberaanvallen. Aanvallers kunnen kwetsbaarheden in cloudinfrastructuur uitbuiten of data onderscheppen tijdens transmissie, wat kan leiden tot ongeautoriseerde toegang en datalekken. Gezien deze risico’s is het essentieel dat organisaties robuuste beveiligingsmaatregelen implementeren die specifiek zijn afgestemd op de unieke uitdagingen van GenAI.
Wat is nodig om GenAI-data te beveiligen
Om GenAI-data effectief te beveiligen, moeten organisaties een allesomvattend gegevensbeveiligingsframework hanteren dat inspeelt op de specifieke kwetsbaarheden van AI-technologieën. Kiteworks stelt organisaties in staat gevoelige data te beschermen die wordt gebruikt in GenAI-toepassingen. Een belangrijk onderdeel van dit framework is AI-governance, waarbij beleid en controles worden geïmplementeerd om de ontwikkeling, inzet en het gebruik van AI-modellen te beheren. Dit omvat het waarborgen dat data die wordt gebruikt voor het trainen van AI-modellen correct wordt geclassificeerd, versleuteld en gedurende de hele levenscyclus wordt gemonitord. Kiteworks biedt tools waarmee organisaties strikt toezicht kunnen houden op AI-datapijplijnen, waardoor het risico op datalekken en ongeautoriseerde toegang wordt verminderd.
Naast governance is compliance assurance cruciaal voor het beveiligen van GenAI-data. Nu toezichthouders AI-technologieën steeds scherper in de gaten houden, moeten organisaties ervoor zorgen dat hun AI-inzet voldoet aan relevante gegevensbeschermingsnormen en -regelgeving. De compliance management-functies van Kiteworks helpen organisaties om het complexe landschap van AI-regulering te navigeren en bieden de benodigde tools om compliance met wetten als GDPR, CCPA en HIPAA te documenteren en aan te tonen.
Tot slot zijn realtime monitoring en dreigingsdetectie essentieel om de risico’s van GenAI te beperken. Kiteworks biedt geavanceerde monitoringmogelijkheden waarmee organisaties potentiële beveiligingsincidenten met AI-data kunnen detecteren en erop kunnen reageren. Door AI-modeluitvoer en datastromen continu te analyseren, kunnen bedrijven afwijkingen identificeren en kwetsbaarheden aanpakken voordat ze tot datalekken leiden.
Omgaan met het hoge aantal persoonlijke datalekken
Persoonlijke datalekken zijn een groot probleem voor organisaties in alle sectoren en vormen 46% van alle datalekken. Deze lekken, waarbij vaak klantgegevens met persoonlijk identificeerbare informatie (PII) worden blootgesteld, brengen ernstige financiële, juridische en reputatierisico’s met zich mee. Nu bedrijven steeds meer samenwerken met derden en hun digitale ecosystemen uitbreiden, blijft het aantal persoonlijke datalekken stijgen. Het is daarom van groot belang dat organisaties robuuste beveiligingsmaatregelen nemen om gevoelige informatie te beschermen.
Gecompromitteerde datatypes: 2024 vs. 2023
Voorkomen van persoonlijke datalekken
De financiële en reputatieschade van persoonlijke datalekken kan verwoestend zijn voor bedrijven. Wanneer PII wordt gecompromitteerd, kunnen organisaties te maken krijgen met forse boetes, collectieve rechtszaken en verlies van consumentenvertrouwen. Het 2024 Kiteworks Sensitive Content Communications Privacy and Compliance Report laat zien dat 66% van de organisaties gevoelige content uitwisselt met meer dan 1.000 derde partijen, wat het risico op PII-lekken verder vergroot. Elke keer dat data met een externe partij wordt gedeeld, neemt de kans op een lek toe, wat het belang van strikte databeveiligingsprotocollen onderstreept.
Waarom persoonlijke datalekken zo kostbaar zijn
Persoonlijke datalekken behoren tot de duurste soorten datalekken die een organisatie kan meemaken. De hoge kosten per gecompromitteerd persoonsgegeven worden door diverse factoren veroorzaakt. Ten eerste is de regelgeving rond PII streng, met wetten als GDPR, HIPAA en Amerikaanse privacywetten zoals CCPA die zware boetes opleggen bij niet-naleving. Deze regelgeving schrijft niet alleen strikte databeveiligingsmaatregelen voor, maar verplicht organisaties ook om getroffen personen en autoriteiten te informeren bij een lek, wat een kostbaar proces kan zijn.
Naast boetes maken organisaties die persoonlijke datalekken ervaren vaak aanzienlijke proceskosten. Volgens het Kiteworks-rapport gaf de helft van de respondenten die gevoelige content uitwisselden met 5.000 of meer derde partijen meer dan $5 miljoen per jaar uit aan proceskosten. Deze kosten omvatten juridische kosten, schikkingen en de uitgaven voor het verdedigen tegen rechtszaken. Bovendien kan de reputatieschade door een persoonlijk datalek leiden tot verlies van klanten, omdat zij het vertrouwen in het vermogen van de organisatie om hun informatie te beschermen verliezen.
Persoonlijke data beschermen met geavanceerde beveiliging en compliance
Om de risico’s van persoonlijke datalekken te beperken, moeten organisaties geavanceerde beveiligingsmaatregelen nemen en zorgen voor naleving van gegevensbeschermingsregels.
Encryptie en toegangscontrole: Robuuste encryptie en toegangscontrolemechanismen zorgen ervoor dat persoonlijke data zowel in rust als onderweg beschermd is. Door data te versleutelen, kunnen organisaties ongeautoriseerde toegang voorkomen, zelfs als data wordt onderschept of gestolen. Toegangscontrole zorgt ervoor dat alleen geautoriseerde personen gevoelige informatie kunnen inzien of wijzigen, waardoor het risico op interne bedreigingen afneemt.
Compliance management: Met Kiteworks kunnen organisaties het datagebruik effectief traceren en voldoen aan diverse gegevensbeschermingsregels, waaronder GDPR, HIPAA en individuele Amerikaanse privacywetten zoals CCPA. De compliance management-tools van het platform helpen organisaties om gedetailleerde logs van gegevensverwerkingsactiviteiten bij te houden, waardoor het eenvoudiger wordt om compliance aan te tonen tijdens audits of bij een datalek.
AI-gedreven incident response: In het geval van een datalek is AI-gedreven incident response cruciaal voor snellere identificatie en indamming, waardoor de totale impact op de organisatie aanzienlijk wordt beperkt. Door gebruik te maken van AI stellen de incident response-functies van het platform organisaties in staat om lekken snel te detecteren, de omvang van de inbreuk nauwkeurig te beoordelen en de meest effectieve acties te ondernemen om schade te beperken.
Soorten data in gevaar: inzicht in het dataleklandschap
Het IBM-rapport biedt waardevolle inzichten in de soorten data die het vaakst doelwit zijn bij datalekken. Inzicht in deze categorieën is essentieel voor organisaties om hun inspanningen op het gebied van gegevensbescherming effectief te prioriteren.
Klant-PII
Klant-PII blijft het meest gecompromitteerde type record en is betrokken bij 48% van alle datalekken (ten opzichte van 52% in 2023). Deze categorie omvat namen, e-mailadressen, telefoonnummers en andere persoonlijke gegevens. Het beschermen van klant-PII is van het grootste belang, omdat het lekken ervan kan leiden tot identiteitsdiefstal, financiële fraude en ernstige reputatieschade voor de organisatie. Bovendien leidt het verlies van klant-PII vaak tot de hoogste kosten per record, waardoor het een cruciaal aandachtspunt is voor gegevensbeveiliging.
Medewerker-PII
Medewerker-PII was het op één na meest voorkomende type gecompromitteerde record en kwam voor in 37% van de incidenten (tegenover 40% vorig jaar). Deze data omvat persoonlijke informatie over het personeel van een organisatie. Het beschermen van medewerker-PII is niet alleen een wettelijke en ethische verplichting, maar ook essentieel voor het behouden van vertrouwen binnen de organisatie en het voorkomen van interne fraude of social engineering-aanvallen gericht op medewerkers.
Intellectueel eigendom
Intellectueel eigendom, waaronder bedrijfsgeheimen, eigen algoritmen en innovatieve ontwerpen, was betrokken bij 43% van de datalekken (tegenover 34% vorig jaar) en vormt een aanzienlijke bedreiging voor het concurrentievoordeel en de toekomstige inkomstenstromen van een organisatie. Ook andere bedrijfsdatalekken namen toe, van 21% naar 31%. Deze stijgingen zijn zorgwekkend nu kwaadwillende natiestaat-aanvallen op bedrijfs-IP en andere geheime informatie toenemen. Daarnaast kan het verlies van intellectueel eigendom langdurige gevolgen hebben voor de marktpositie en financiële gezondheid van een bedrijf, waardoor bescherming ervan een strategische noodzaak is.
Geanonimiseerde klantdata
Ook andere bedrijfsdatalekken stegen—van 21% naar 31% ten opzichte van het voorgaande jaar. Hoewel deze data bedoeld is om de privacy van individuen te beschermen, kan het lekken ervan alsnog risico’s opleveren als de-anonimiseringsmethoden worden toegepast. Organisaties moeten zorgen voor robuuste anonimisering en deze data met hetzelfde beveiligingsniveau behandelen als identificeerbare informatie om klantvertrouwen te behouden en te voldoen aan gegevensbeschermingsregels.
Door inzicht te krijgen in deze verschillende soorten data die risico lopen, kunnen organisaties hun beveiligingsstrategieën afstemmen om volledige bescherming te bieden over alle datacategorieën. Het implementeren van sterke encryptie, toegangscontroles en monitoringsystemen voor elk datatype is essentieel voor het opbouwen van een veerkrachtige verdediging tegen het steeds veranderende dreigingslandschap.
Kosten per gecompromitteerd datarecord
Het belang van een allesomvattende gegevensbeveiligingsstrategie
In een tijdperk waarin cyberbedreigingen steeds complexer worden, is een allesomvattende gegevensbeveiligingsstrategie niet langer optioneel—het is essentieel om gevoelige informatie te beschermen en organisatiebestendigheid te waarborgen. Om deze evoluerende risico’s effectief het hoofd te bieden, moeten bedrijven een gelaagde aanpak hanteren die elk aspect van hun gegevensbeveiligingsframework adresseert. Deze strategie beschermt niet alleen tegen directe bedreigingen, maar stelt organisaties ook in staat om snel en effectief te reageren bij een datalek.
Lessen uit het Cost of Data Breach Report
Het IBM 2024 Cost of a Data Breach Report levert diverse belangrijke bevindingen die het belang van proactieve gegevensbeveiligingsmaatregelen onderstrepen. Een van de meest opvallende inzichten is de stijgende kostprijs van datalekken, waarbij de gemiddelde kosten nu hoger liggen dan voorgaande jaren. Het rapport benadrukt ook de cruciale rol van AI en automatisering bij het verlagen van deze kosten. Organisaties die AI-gedreven beveiligingstools inzetten, identificeren en beperken datalekken doorgaans sneller, waardoor de financiële en operationele impact aanzienlijk wordt verminderd.
AI en automatisering versnellen niet alleen de detectie van datalekken, maar verbeteren ook de reactietijden, waardoor organisaties schade effectiever kunnen beperken. Het rapport maakt duidelijk dat bedrijven zonder deze geavanceerde technologieën een aanzienlijk nadeel hebben, met langere levenscycli van datalekken en hogere bijbehorende kosten. Deze bevindingen benadrukken de urgentie voor bedrijven om AI en automatisering te integreren in hun gegevensbeveiligingsstrategieën om hun bezittingen te beschermen en kwetsbaarheden te verkleinen.
Beste practices implementeren met Kiteworks
Om deze uitdagingen het hoofd te bieden, biedt Kiteworks een uitgebreide suite van tools die de gegevensbeveiliging op alle vlakken van de organisatie versterken.
Geïntegreerde en versterkte beveiliging: Kiteworks biedt een robuust platform dat diverse geavanceerde beveiligingsoplossingen integreert in een hardened virtual appliance. Dankzij deze integratie kunnen organisaties alle aspecten van hun gegevensbeveiliging vanuit één centrale locatie beheren, wat het overzicht en de controle vergroot. Door tools te bieden voor encryptie, toegangscontrole en dreigingsdetectie zorgt Kiteworks ervoor dat gevoelige data in elke fase van de levenscyclus is beschermd.
Compliance aantonen: Kiteworks stelt organisaties in staat om compliance aan te tonen door een veilig platform te bieden voor het beheren van gevoelige contentcommunicatie met geavanceerde governance- en controlefuncties. Het platform zorgt ervoor dat alle datatransfers, intern of extern, volledig versleuteld en getraceerd zijn, met gedetailleerde logs en rapportagemogelijkheden om aan de regelgeving te voldoen. Door het beheer van gevoelige informatie te centraliseren, helpt Kiteworks organisaties risico’s te beperken en met vertrouwen compliance aan te tonen tijdens audits en beoordelingen.
Continue verbetering: In een landschap van voortdurend veranderende dreigingen is een statische beveiligingsstatus niet voldoende. Kiteworks helpt organisaties om voorop te blijven lopen door beveiligingsprotocollen en tools continu te actualiseren. Deze inzet voor voortdurende verbetering zorgt ervoor dat bedrijven altijd beschikken over de nieuwste verdediging tegen opkomende cyberbedreigingen. Door de mogelijkheden van het platform regelmatig te verbeteren, stelt Kiteworks organisaties in staat hun gevoelige data effectiever te beschermen en adequaat te reageren op nieuwe uitdagingen.
Conclusie: Waarom robuuste gegevensbeveiliging essentieel is
Het landschap van cyberbedreigingen wordt steeds complexer en gevaarlijker, waardoor robuuste gegevensbeveiligingsoplossingen een absolute noodzaak zijn voor bedrijven van elke omvang. De stijgende kosten van datalekken, in combinatie met de toenemende frequentie van incidenten met shadow data, GenAI en persoonlijke informatie, benadrukken de urgentie voor organisaties om hun beveiligingsmaatregelen te versterken.
Gezien deze toenemende dreigingen is het essentieel dat bedrijven proactieve stappen nemen om hun gevoelige data te beschermen. Investeren in uitgebreide beveiligingsplatforms zoals Kiteworks is niet alleen een strategische keuze, maar een cruciale actie die het risico op datalekken aanzienlijk kan verkleinen. Kiteworks biedt een reeks geavanceerde tools die zijn ontworpen om de veelzijdige uitdagingen van moderne cyberbeveiliging aan te pakken, van het beveiligen van ongestructureerde data en compliance management tot het inzetten van AI voor verbeterde incident response.
Door een proactieve benadering van gegevensbeveiliging te hanteren, kunnen organisaties hun bezittingen beschermen, voldoen aan regelgeving en hun reputatie behouden in een steeds digitalere wereld. De tijd om te handelen is nu—voordat het volgende datalek zich voordoet. Met de juiste oplossingen kunnen bedrijven vol vertrouwen de complexiteit van het huidige cyberbeveiligingslandschap navigeren en hun langetermijnsucces en veerkracht waarborgen.
Veelgestelde vragen
Volgens het IBM-rapport zijn de kosten van datalekken jaar-op-jaar met 10% gestegen. Deze aanzienlijke toename onderstreept de groeiende financiële impact van cyberbedreigingen op bedrijven wereldwijd.
Het rapport toont aan dat één op de drie (35%) datalekken nu shadow data betreft. Daarnaast leidt diefstal van shadow data tot 16% hogere kosten per datalek, wat de financiële impact van dit probleem benadrukt.
Datalekken waarbij shadow data betrokken is, duren volgens het IBM-rapport 26,2% langer om te identificeren en in te dammen. Deze verlengde tijdlijn verhoogt niet alleen de financiële kosten van een datalek, maar vergroot ook de kans op boetes en reputatieschade.
Het rapport geeft aan dat persoonlijke datalekken bijna de helft (46%) van alle incidenten uitmaken. Dit hoge aandeel benadrukt de noodzaak voor bedrijven om de bescherming van klantgegevens met persoonlijk identificeerbare informatie (PII) te prioriteren.
Het IBM-rapport benadrukt dat organisaties die AI-gedreven beveiligingstools inzetten, datalekken doorgaans sneller identificeren en indammen, waardoor de financiële en operationele impact aanzienlijk wordt verminderd. Bedrijven zonder deze geavanceerde technologieën hebben te maken met langere levenscycli van datalekken en hogere kosten.