Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > Waarom het beveiligen van gevoelige communicatie over content cruciaal is in 2024
Waarom het beveiligen van gevoelige communicatie over content cruciaal is in 2024

Waarom het beveiligen van gevoelige communicatie over content cruciaal is in 2024

by Patrick Spencer updated november 28, 2023 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

Het beheren van risico’s op het gebied van gegevensprivacy en naleving wordt steeds complexer, wat de complexiteit weerspiegelt van degenen die juist deze kwetsbaarheden proberen te misbruiken. Deze Blog Post gaat in op de uitdagingen en voorspellingen uit de Sensitive Content Communications Forecast van Kiteworks voor 2024, en biedt inzichten en strategieën voor degenen die voorop lopen in deze cruciale strijd.

Escalatie van het dreigingslandschap

Het digitale tijdperk heeft ongekende connectiviteit en gemak gebracht, maar deze onderlinge verbondenheid opent ook deuren voor cybercriminelen. Deze kwaadwillenden verfijnen voortdurend hun methoden, waardoor het steeds moeilijker wordt hun aanvallen te detecteren en te voorkomen. Een zorgwekkende trend, benadrukt in het Kiteworks-rapport, is de verschuiving naar het aanvallen van toeleveringsketens. Deze aanpak stelt aanvallers in staat om via één zwakke schakel een breed scala aan organisaties te compromitteren, waardoor de impact van hun acties wordt vergroot. Alleen al vorig jaar waren derde partijen, waaronder technologieproviders, verantwoordelijk voor een aanzienlijk aandeel van 15% van de succesvolle datalekken.

De opkomst van generatieve kunstmatige intelligentie en grote taalmodellen (GenAI LLM’s) heeft het cyberbeveiligingslandschap verder gecompliceerd. Deze baanbrekende technologieën bieden nieuwe mogelijkheden voor het uitbuiten en manipuleren van gegevens, waardoor het beschermen van gevoelige inhoud steeds lastiger wordt.

Regulatoire reactie en organisatorische uitdagingen

Als reactie op deze groeiende dreigingen versterken toezichthouders wereldwijd niet alleen bestaande kaders voor gegevensprivacy, maar introduceren ze ook nieuwe regelgeving. De toenemende zwaarte van boetes en sancties bij niet-naleving onderstreept de ernst waarmee deze veranderingen worden doorgevoerd. Voor organisaties betekent dit een grotere noodzaak om toegang tot inhoud nauwlettend te volgen en te beheersen, samen met uitgebreide auditlogs om te kunnen aantonen dat aan de veranderende compliance-verplichtingen wordt voldaan.

Kiteworks’ visie voor 2024

De Sensitive Content Communications Forecast 2024 van Kiteworks biedt een grondige analyse van de trends van het afgelopen jaar en doet voorspellingen voor het komende jaar. Een belangrijke uitdaging uit het rapport is het beheer van privacy en naleving bij communicatie van gevoelige inhoud. Dit omvat diverse communicatietools zoals e-mail, bestandsoverdracht, Beheerde bestandsoverdracht (MFT), SFTP en webformulieren. Veel van deze tools, die meer dan tien jaar geleden zijn ontwikkeld, zijn gescheiden en missen de geavanceerde beveiligingsfuncties die nodig zijn om moderne cyberdreigingen het hoofd te bieden.

Dit gat in beveiligingsmogelijkheden heeft geleid tot aanzienlijke datalekken, waardoor organisaties hun huidige tools voor gegevenscommunicatie opnieuw beoordelen. Het rapport verwacht een strategiewijziging in 2024, waarbij steeds meer organisaties hun communicatietools willen centraliseren op één platform. Zo’n consolidatie kan tal van voordelen bieden, waaronder vereenvoudigde auditprocessen en uniform beleid, wat zorgt voor een sterkere verdediging tegen cyberdreigingen.

12 voorspellingen voor communicatie van gevoelige inhoud in 2024

Hieronder volgt een kort overzicht van de 12 voorspellingen uit het Kiteworks 2024 Forecast Report. Van het omarmen van technologische vooruitgang tot het bevorderen van een cultuur van cyberbeveiligingsbewustzijn: de weg vooruit vraagt om een veelzijdige aanpak.

1. Gegevensprivacy en compliance-risico van AI LLM’s

Het gebruik van generatieve AI large language models (GenAI LLM’s) door medewerkers en derde partijen zal naar verwachting verdubbelen ondanks verboden, omdat het competitieve voordeel te groot is om te negeren. Ongeveer 15% van de medewerkers voert al bedrijfsgegevens in deze modellen in, en een kwart van deze gegevens is gevoelig, wat het risico op blootstelling van intellectueel eigendom, persoonlijke en gezondheidsinformatie, financiële documenten en gevoelige communicatie vergroot. Deze trend zal waarschijnlijk leiden tot meer datalekken en verhoogde aandacht van toezichthouders in 2024, met mogelijk merkschade, boetes, juridische kosten en verlies van klantvertrouwen tot gevolg.

Organisaties bewegen richting zero-trustmodellen die toegang en samenwerking beperken op basis van de gevoeligheid van gegevens, met minimale toegangsrechten en uitgebreide monitoring en logging van toegang tot en verplaatsing van inhoud. Het gebruik van Digital Rights Management (DRM) voor risicovolle inhoud zal aanzienlijk toenemen om veilige samenwerking mogelijk te maken en ongeoorloofde gegevensextractie te voorkomen. Daarnaast wordt er meer geïnvesteerd in bewustwordingstrainingen voor gegevensbeveiliging om verantwoord gebruik van GenAI LLM’s onder medewerkers te stimuleren. Door ongestructureerde gegevens te beveiligen en streng governance toe te passen, willen organisaties hun beveiligings- en compliance-risico’s aanzienlijk verminderen.

2. Gegevensprivacy en AI LLM-regelgeving en -standaarden

De opkomst van GenAI LLM’s heeft toezichthouders ertoe aangezet snel AI-regelgeving en -standaarden op te stellen. Een opvallende stap is het Executive Order (EO) van het Witte Huis van 30 oktober, dat de risico’s en voordelen van AI in balans wil brengen. Deze EO geeft federale agentschappen opdracht AI-standaarden te ontwikkelen en moedigt het Congres aan om zich met regelgeving bezig te houden. Het stelt nieuwe veiligheids- en beveiligingsnormen vast, beschermt de dataprivacy van Amerikaanse burgers en stimuleert een eerlijke AI-markt. De EO, met richtlijnen van NIST, verplicht de Amerikaanse overheid om AI-gebruik en -inkoop te controleren en vereist dat AI-ontwikkelaars federale veiligheidsevaluaties ondergaan.

In de VS groeit het wetgevend momentum, waarbij staten actief AI-gerelateerde wetten overwegen of aannemen. Internationaal beschrijft de komende EU AI-wet (vanaf 2026) duidelijke vereisten voor AI-gebruik, gericht op risicobeperking en het verlichten van administratieve lasten voor bedrijven, vooral het MKB.

Het NIST AI RMF Playbook vormt standaarden die derdepartijrisico’s, stresstests, gegevensbeheer en transparantie adresseren. In 2024 moeten organisaties die deze standaarden volgen, risico’s met gevoelige inhoud beheren met sterke technische controles en verantwoord AI-gebruik. Naarmate AI-beveiligingsvereisten zich ontwikkelen, wordt het aantonen van naleving via governance-tracking en gedetailleerde auditlogs steeds belangrijker. Deskundigen voorspellen dat in de tweede helft van 2024 AI-standaarden zullen worden geïmplementeerd, waarbij het opzetten en operationeel maken van de benodigde governance-structuren tijd zal vergen.

3. Behoefte aan een moderne MFT-aanpak

Veel Beheerde bestandsoverdracht (MFT)-oplossingen zijn verouderd en missen essentiële beveiligingsmaatregelen, waarbij on-premise inzet lijdt onder een gebrek aan versterking door leveranciers en een gescheiden aanpak die klanten opzadelt met kwetsbaarheidsbeheer. Dit omvat het implementeren van strategieën zoals firewalls, inbraakdetectie en antivirus-technologieën. Deze legacy-systemen missen vaak cruciale beveiligingsfuncties zoals Preventie van gegevensverlies (DLP), Advanced Threat Protection (ATP) en Content Disarm and Reconstruction (CDR).

In 2024 zullen organisaties de voorkeur geven aan moderne virtuele appliances voor MFT die één-klik-updates van leveranciers mogelijk maken en geïntegreerde geavanceerde beveiliging bevatten om toenemende cyberdreigingen te bestrijden. MFT-tools zijn essentieel voor veilige, geautomatiseerde gegevensoverdracht en zijn onmisbaar voor compliance in de softwaretoeleveringsketen, die steeds vaker het doelwit is van cyberaanvallen. Uit het IBM-rapport bleek dat 12% van de datalekken de softwaretoeleveringsketen betreft, waarbij derde partijen verantwoordelijk zijn voor 15% van de datalekken.

Recente zero-day exploits in grote MFT-tools door cybercriminelen geven aan dat dergelijke kwetsbaarheden in 2024 een belangrijk doelwit voor aanvallen zullen blijven, met grote gevolgen voor de toeleveringsketen, boetes, juridische kosten en reputatieschade.

4. Behoefte aan een moderne Email Protection Gateway

E-mail blijft het belangrijkste aanvalskanaal voor cyberdreigingen, met een toename van malware- en phishingaanvallen van 29% en een stijging van business email compromise (BEC) met 66%. Het mediane bedrag dat per BEC-aanval wordt gestolen, bedraagt inmiddels $50.000. Traditionele e-mailbeveiliging heeft moeite met deze complexe social engineering-aanvallen, die vaak gericht zijn op menselijke fouten. Meer dan 80% van de datalekken maakt misbruik van menselijke kwetsbaarheden en omzeilt verouderde e-mailbeveiligingsmaatregelen.

Hoewel encryptie van e-mail is verbeterd en 90% van de IT-leidinggevenden dit prioriteit geeft voor externe communicatie, blijven interne praktijken achter: 79% van de bedrijven deelt gevoelige, niet-versleutelde gegevens via e-mail. Bovendien heeft slechts 35% van de bedrijven uitgebreide encryptiemaatregelen getroffen. Complexiteit en moeilijkheden met encryptiemethoden en het uitwisselen van publieke sleutels dragen bij aan deze tekortkomingen.

E-mailbeveiligingsuitdagingen blijven bestaan, zoals het ontbreken van DRM, DLP, geavanceerde dreigingsdetectie, veilige cloudopslag en robuust identity management. Zolang organisaties geen zero-trust beleidsbeheer toepassen op het verzenden, ontvangen en opslaan van e-mails, blijft e-mailbeveiliging in 2024 een groot risico voor gegevensprivacy en compliance.

5. Groei in regelgeving en standaarden voor gegevensprivacy

In 2023 zijn regelgeving voor gegevensprivacy wereldwijd blijven toenemen, waarbij Gartner voorspelt dat eind 2024 persoonlijke gegevens van 75% van de wereldbevolking onder dergelijke regelgeving zullen vallen, waardoor het gemiddelde privacybudget van bedrijven stijgt tot meer dan $2,5 miljoen. In de VS voerden vijf staten in 2023 privacywetten in, met nog eens tien die dit de komende twee jaar zullen doen.

Wereldwijd groeit de aandacht voor gegevensprivacy, met de EU die diverse wetgeving doorvoert, waaronder de GDPR, de Digital Markets Act, Digital Services Act en AI-regulering. Het nieuwe EU Data Privacy Framework, dat trans-Atlantische gegevensoverdracht vergemakkelijkt, vereist dat Amerikaanse bedrijven zelfcertificering van compliance bij het Department of Commerce uitvoeren.

Het NIST Privacy Framework, dat in 2020 werd geïntroduceerd, zal naar verwachting in 2024 worden uitgebreid om bredere aspecten van enterprise risk management te omvatten, in lijn met opkomende federale privacywetten. Verwachte updates aan het NIST Cybersecurity Framework (CSF) zullen ook de nadruk leggen op continue risicobeoordelingen en risicobeheer in de toeleveringsketen. Organisaties ondervinden uitdagingen bij het aantonen van compliance door hun gescheiden aanpak van communicatie met gevoelige inhoud, maar zullen naar verwachting overstappen op gecentraliseerd governance en auditlogs voor betere tracking en rapportage.

6. Toenemend belang van datasoevereiniteit

In 2024 versterken trends in datalokalisatie de uitdagingen rond datasoevereiniteit voor organisaties, nu toezichthouders wereldwijd, waaronder 70% van de landen, strenge controles opleggen aan het verzamelen, opslaan en gebruiken van gegevens. Deze regelgeving verplicht bedrijven, vooral multinationals, om de rechtsbevoegdheden te beheren waarin gegevens zich bevinden, in balans met de trend van datademocratisering—het breed toegankelijk maken van data binnen een organisatie. Datasoevereiniteit, die alle soorten gegevens omvat zoals persoonlijk identificeerbare informatie, wordt cruciaal om compliance te waarborgen en juridische risico’s te minimaliseren, wat op zijn beurt vertrouwen bevordert en reputaties beschermt.

De inzet van applicaties wordt steeds vaker bepaald door soevereiniteitswetten, met landen als Duitsland en China die strikte regels hanteren en de US CLOUD Act die internationale gegevensverwerking verder compliceert. Bedrijven geven vaak de voorkeur aan leveranciers die binnenlandse hosting aanbieden om aan deze wetten te voldoen. Toch kunnen wetten zoals de CLOUD Act invloed hebben op hostingkeuzes, wat leidt tot een voorkeur voor single-tenant hostingoplossingen die compliance met datasoevereiniteit vereenvoudigen, ondanks mogelijke audituitdagingen. Bedrijven zullen zich aanpassen door datasoevereiniteitsfuncties in applicaties te implementeren of te kiezen voor single-tenant hosting om multi-country inzet effectiever te beheren.

7. Hogere boetes voor schendingen van gegevensprivacy

Boetes voor schendingen van gegevensprivacy zijn de afgelopen twee jaar fors gestegen en bereikten recordhoogtes voor GDPR-overtredingen, met de verwachting dat deze trend zich in 2024 voortzet. Opvallende boetes uit 2023 zijn onder meer de $1,3 miljard boete voor Meta door de Ierse Data Protection Commission, de $391,5 miljoen schikking van Google met 40 Amerikaanse staten, de $61,7 miljoen boete voor Amazon door de FTC en de $2,1 miljoen boete voor Uber, eveneens door de FTC.

Toezichthouders intensiveren de handhaving van privacywetten en leggen zware boetes op bij niet-naleving. Deze sancties zijn vaak het gevolg van gebrekkig governance en gebrekkige gegevensbeveiliging, zoals blijkt uit de hoge boetes voor Marriott en British Airways onder de GDPR. Deze trend wijst op een strikte houding van toezichthouders tegenover bedrijven die nalatig omgaan met persoonlijke gegevens. Met de invoering van meer privacywetten in de VS en internationaal zullen de financiële gevolgen van overtredingen naar verwachting toenemen.

Nu de handhaving in 2024 streng blijft en het grootste deel van de wereldbevolking onder privacyregelgeving valt, zullen organisaties waarschijnlijk aparte operaties voor gegevensprivacy opzetten. Voor internationaal opererende bedrijven betekent dit dat cloudservices en inkoop moeten worden aangepast aan uiteenlopende vereisten voor datalokalisatie in 2024.

8. Adoptie van FedRAMP-geautoriseerde oplossingen voor communicatie met gevoelige inhoud

De James M. Inhofe National Defense Authorization Act voor 2023, ondertekend door president Biden, formaliseert het FedRAMP-programma binnen de General Services Administration en start verbeteringen om de overheidsadoptie van cloudservices te versnellen. Tegelijkertijd heeft het OMB voorstellen gedaan om FedRAMP te moderniseren, met als doel het programma uit te breiden, beveiligingsbeoordelingen te verbeteren en de veilige cloudadoptie door de federale overheid te versnellen.

In 2024 wordt FedRAMP Authorisatie, verplicht via een strikte jaarlijkse audit, naar verwachting een vereiste voor cloudserviceproviders die zaken willen doen met de Amerikaanse federale overheid. Voor defensie-aannemers binnen de DIB bevat CMMC 2.0 FedRAMP-vereisten, en het beschikken over FedRAMP-geautoriseerde bestand- en e-mailcommunicatie vergemakkelijkt compliance voor deze aannemers. Nu steeds meer DIB-aannemers in 2024 streven naar CMMC Level 2-certificering, komt er meer nadruk te liggen op het inzetten van conforme technologische oplossingen voor bestand- en e-mailoverdracht.

9. Opkomst van Digital Rights Management ter bescherming van gevoelige inhoud

Digital Rights Management (DRM) zal steeds vaker worden ingezet naarmate organisaties gevoelige inhoud willen beveiligen te midden van toenemende regelgeving, met marktprognoses die wijzen op een stijging tot meer dan $5 miljard in 2024. Volgens Gartner wordt integratie van DRM met bredere technologische trends essentieel. Organisaties zullen meer vertrouwen op standaarden zoals het NIST Cybersecurity Framework en NIST 800-53 voor beleid op basis van inhoudsdefinitie.

De urgentie voor DRM wordt aangewakkerd door toenemende cyberdreigingen, strenge privacyregelgeving en de noodzaak om inhoud te delen binnen en buiten de organisatiegrenzen. Next-gen DRM biedt essentiële bescherming voor gevoelige data buiten de organisatie, met focus op hardnekkige beveiliging. Effectieve implementatie van DRM vereist samenhangende tracking, controle en zichtbaarheid in digitale omgevingen, volgens governance-, workflow- en toegangscontrole-beste practices.

In 2024 zijn gegevensclassificatie en DRM-beleidsbeheer essentieel, met verschillende beschermingsniveaus afgestemd op risicocategorieën van data. Sterk gereguleerde sectoren, vooral de zorg met grote hoeveelheden persoonlijke data, samen met de financiële sector, producenten, juridische, overheids- en onderwijsinstellingen, zullen vooroplopen in de adoptie van geavanceerde DRM-oplossingen om hun risico’s op het gebied van privacy en compliance te beheren.

10. Integratie van geavanceerde beveiliging in communicatie met gevoelige inhoud

In 2024 zullen organisaties op grote schaal geavanceerde cyberbeveiligingstechnologieën zoals cloud DLP, Advanced Threat Protection (ATP) en Content Disarm and Reconstruction (CDR) integreren in hun workflows voor beheer van gevoelige inhoud. Deze tools zijn essentieel voor het beveiligen van gegevens in rust en onderweg. DLP zal uitgaande communicatie scannen om onbedoelde openbaarmaking te voorkomen, terwijl CDR actief mogelijk schadelijke elementen uit inkomende documenten verwijdert. Beheerde bestandsoverdracht (MFT)-platforms zullen deze functies standaard integreren, waardoor beveiliging wordt verbeterd en beleidsinbreuken worden voorkomen.

De focus ligt op volledig toezicht op verplaatsingen van inhoud, gecombineerd met robuuste monitoring en gedetailleerde audittrails. Gecentraliseerde platforms, met name MFT, maken het eenvoudiger om beveiligingsbeleid af te dwingen over diverse communicatietools zoals e-mail, bestandsoverdracht en webformulieren. Integratie van ATP zorgt ervoor dat alle overgedragen inhoud grondig wordt gescand en risico’s worden beperkt. De DLP-markt zal zelf sterk groeien, gedreven door de toenemende behoefte aan gegevensdetectie, beleidshandhaving, classificatie en incidentrespons, met een verwachte samengestelde jaarlijkse groei van 22,3% tot 2030.

11. Centralisatie van communicatie met gevoelige inhoud en het PCN

Het concept van Private Content Networks (PCN’s) staat op het punt traditionele zero-trust beveiligingsmodellen te herdefiniëren door te focussen op de gevoeligheid van inhoud in plaats van netwerkperimeterverdediging. PCN’s werken op basis van inhoudsgebaseerde vertrouwensprincipes, waarbij gevoeligheidslabels aan data worden toegekend en beveiligingsmaatregelen zoals encryptie en toegangscontrole worden toegepast op basis van het geclassificeerde gevoeligheidsniveau. Deze aanpak zorgt ervoor dat beveiliging is afgestemd op het belang van de data, niet alleen op de netwerkpositie.

In 2024 zullen organisaties steeds vaker PCN’s inzetten, met dynamisch beleidsbeheer dat aansluit bij de gevoeligheid van data. Dit systeem dwingt genuanceerde risicobeleid af op basis van gebruikersrollen, classificatie van inhoud en beoogde acties met de data, inclusief extra verificatie voor zeer gevoelige informatie. Daarnaast vergroten PCN’s de zichtbaarheid en compliance via gedetailleerde logging van interacties met inhoud, waarmee het zero-trust principe “never trust, always verify” wordt belichaamd en de weg wordt vrijgemaakt voor uniform beheer van communicatie met gevoelige inhoud.

12. Groei in communicatie van zeer grote bestanden met gevoelige inhoud

Nu bestandsformaten aanzienlijk toenemen, worden de uitdagingen voor organisaties bij het beheren van gevoelige grote-bestandsinhoud groter. Sectoren als biotech genereren enorme DNA-sequencingbestanden door vooruitgang in genetisch onderzoek en gepersonaliseerde geneeskunde. In ontwerp en engineering neemt de complexiteit van CAD-bestanden toe. De afhankelijkheid van videobewijs in de opsporing, het gebruik van high-definition media in marketing en de groeiende analysetools in economie en wetenschappelijk onderzoek vragen allemaal om robuuste, veilige opslag- en overdrachtsoplossingen.

De snelgroeiende sector van private large language models (LLM’s) is een ander aandachtspunt, waarbij trainingsdatasets snel toenemen in omvang en vertrouwelijkheid. Het beheer van deze grote, gevoelige datasets wordt een cruciaal operationeel vraagstuk.

De noodzaak voor klantenservice om uitgebreide log- en HAR-bestanden te verwerken, die gevoelige data bevatten zoals aangetoond door het Okta-datalek, onderstreept beveiligingsrisico’s. De trend dat medewerkers ongeautoriseerde overdrachtsmethoden gebruiken, vergroot deze risico’s verder. Hoewel cloudopslagdiensten zoals Microsoft 365 en Box hun limieten hebben verhoogd, voldoen ze nog steeds niet aan de vereisten van data-intensieve sectoren, waardoor er behoefte blijft aan geavanceerde, veilige oplossingen voor grote-bestandsoverdracht en -opslag.

De voorspellingen voor 2024 aanpakken met een PCN

Escalerende cyberdreigingen zoals supply chain-aanvallen en risico’s van GenAI LLM’s zullen het cyberrisico in 2024 vergroten. Dit wordt bemoeilijkt door uitbreidende en veranderende wereldwijde regelgeving voor gegevensprivacy, waaronder forse verhogingen van boetes en sancties. Om deze uitdagingen het hoofd te bieden, zullen we een toename zien van DRM en PCN’s gericht op datacentrische beveiliging. Organisaties zullen overstappen op gecentraliseerde platforms om e-mail, bestandsoverdracht, samenwerking, MFT en webformulieren te verenigen onder consistente beleidsregels die voldoen aan zero-trustprincipes.

Het voordeel is dat Kiteworks met een PCN inspeelt op veel voorspellingen, zoals advanced threat protection, robuuste toegangscontrole, gedetailleerde auditlogs en veilige overdracht van grote bestanden om risico’s met gevoelige inhoud te beheren. Wil je de door Kiteworks mogelijk gemaakte PCN in de praktijk zien? Plan dan vandaag nog een demo op maat.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks