Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Digitaal rechtenbeheer > Het is tijd voor een nieuwe kijk op DRM: inzichten uit het 2023 Rapport over Communicatie van Gevoelige Inhoud van Kiteworks
Het is tijd voor een nieuwe kijk op DRM: inzichten uit het 2023 Rapport over Communicatie van Gevoelige Inhoud van Kiteworks

Het is tijd voor een nieuwe kijk op DRM: inzichten uit het 2023 Rapport over Communicatie van Gevoelige Inhoud van Kiteworks

by Patrick Spencer updated juli 7, 2024 Digitaal rechtenbeheer
Reading Time: 9 minutes

Digitalisering Vergroot Risico

Private en publieke organisaties wereldwijd worden steeds afhankelijker van digitale communicatie, waardoor de noodzaak voor robuuste cyberbeveiligingsmaatregelen steeds belangrijker wordt. De groei in digitale communicatie gaat gepaard met een toename van cyberdreigingen, waarbij malafide staten, cybercriminelen en aanbieders van black-market managed services hun aandacht richten op de rijke buit die gevoelige content biedt.

Volgens Harvard Business Review kan de financiële, juridische en compliance-impact van cyberaanvallen op data dramatisch zijn. Zo liggen de auditkosten voor organisaties ongeveer 13,5% hoger bij bedrijven die een datalek hebben meegemaakt dan bij bedrijven zonder datalek. En er is een neveneffect: 60% van de organisaties die een datalek ervaren, heeft hun prijzen verhoogd. Voor beursgenoteerde bedrijven is er een meetbaar effect: zij presteren na een datalek 8,6% slechter dan de NASDAQ na één jaar en 11,9% na twee jaar.

De complexiteit van cyberaanvallen maakt het steeds moeilijker om cyberdreigingen te bestrijden. Zo bleek uit een onderzoek dat 80% van de dreigingsgroepen en 40% van de malware in 2021 niet eerder was waargenomen. Het wordt daardoor steeds moeilijker om deze aanvallen te blokkeren.

Toename van Gevoelige Datalekken

Op deze kwaadaardige golf neemt de diefstal van gevoelige content in alarmerend tempo toe. Mandiant’s 2023 M-Trends Report laat een schokkende stijging van 37% in datadiefstal-incidenten zien in één jaar, van 29% naar 40%. Bovendien zijn meer dan 3.500 dreigingsgroepen, waaronder 900 nieuwe in 2022, betrokken bij deze aanvallen, waarbij in meer dan een kwart van de gevallen bestanden worden gedecodeerd en verwijderd. Het meest recente Sensitive Content Communications Privacy and Compliance Report van Kiteworks identificeerde aanvallen op wachtwoorden en inloggegevens, URL-manipulatie en denial-of-service als de meest voorkomende aanvalsvectoren op gevoelige contentcommunicatie.

Het 2023 Verizon Data Breach Investigations Report onderstreept het belang van persoonlijke data in deze aanvallen: bij meer dan de helft van de datalekken zijn persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) betrokken. Qua aanvalsvectoren blijven e-mail, gevolgd door webapplicaties en desktop sharing-oplossingen, een groot beveiligingsprobleem voor organisaties. Bijna 60% van de social engineering-aanvallen bestaat uit pretexting en is gerelateerd aan business email compromise (BEC).

Sommige Datalekken Zijn Onbedoeld

Het groeiende landschap van cyberdreigingen wordt niet alleen bepaald door de acties van kwaadwillenden. Menselijke fouten spelen een aanzienlijke rol bij het blootstellen van gevoelige content. Uit het rapport van Verizon blijkt dat 43% van de datalekken te maken heeft met verkeerd bezorgde data, terwijl 23% ontstaat door publicatiefouten, waarbij data onbedoeld aan het verkeerde publiek wordt getoond. Dit gebeurt wanneer e-mails en bestanden naar de verkeerde ontvanger(s) worden gestuurd of gedeeld, en wanneer onbevoegde gebruikers toegang krijgen tot gevoelige mappen, bestanden en webformulierdata.

Toename van Data Privacy Regelgeving

Parallel aan de stijgende kosten van hacks op gevoelige data ligt de nadruk op wereldwijde regelgeving rondom dataprivacy. Deze variëren van privacy-standaarden tot cyberbeveiligingsbenchmarks, die strenge compliance-vereiste opleggen aan bedrijven die actief zijn in diverse rechtsbevoegdheden.

Zo is de General Data Protection Regulation (GDPR) van de Europese Unie sinds de invoering in 2018 uitgegroeid tot een van de strengste regels ter wereld voor persoonsgegevens. Deze geldt voor 27 EU-lidstaten en kent forse boetes bij niet-naleving. Maar GDPR staat niet alleen. Op dit moment hebben 157 landen substantiële nationale regelgeving voor gegevensbescherming, een aanzienlijke stijging ten opzichte van 145 landen slechts 15 maanden eerder.

De VS kent weliswaar geen nationale regelgeving zoals de GDPR, maar handhaaft strikte PHI-bescherming onder de Health Insurance Portability and Accountability Act (HIPAA). Daarnaast hebben diverse Amerikaanse staten hun eigen regelgeving geïntroduceerd na de invoering van de California Consumer Privacy Act (CCPA) in 2018. Dit alles draagt bij aan het complexe landschap van regelgeving waarmee bedrijven rekening moeten houden.

Bedrijven die zaken doen met de overheid, met name in de VS, vallen onder aanvullende regelgeving. Het Federal Risk and Authorization Management Program (FedRAMP) heeft cyberbeveiligingspraktijken voor clouddiensten gestandaardiseerd voor alle Amerikaanse overheidsinstanties en aannemers. De Cybersecurity Maturity Model Certification (CMMC) 2.0 vereist nu dat meer dan 300.000 leden van de Defense Industrial Base (DIB) voldoen aan één van drie volwassenheidsniveaus, afhankelijk van hun contracten met het Department of Defense (DoD), met als doel het beschermen van controlled unclassified information (CUI) en federal contract information (FCI).

Scope van het 2023 Sensitive Content Communications Privacy and Compliance Report

Tegen deze achtergrond lanceerde Kiteworks in 2022 een jaarlijks rapport: het Sensitive Content Communications Privacy and Compliance Report. Het rapport van vorig jaar bracht tal van waardevolle inzichten voor de sector. Zo is meer dan de helft van de organisaties onvoldoende beschermd tegen risico’s op het gebied van beveiliging en compliance door derden, gerelateerd aan gevoelige contentcommunicatie. Oorzaken hiervan zijn onder meer een gebrek aan encryptie en governance-controls, en onnauwkeurige of onvoldoende compliance-rapportages. Het rapport van 2022 liet ook zien dat twee derde van de organisaties meer dan vier verschillende tools gebruikt voor communicatie van gevoelige content. De lijst met bevindingen is nog veel langer.

Het rapport van vorig jaar omvatte een enquête onder meer dan 400 IT-, security-, risk- en compliance-professionals in zeven sectoren. Voor 2023 hebben we het aantal deelnemers uitgebreid naar meer dan 781 personen in 13 sectoren, verspreid over 15 landen en vier continenten. Zoals hierboven besproken, kan het lekken van PII, PHI, transactiegegevens, bedrijfsfinanciën, intellectueel eigendom (IP), niet-openbare informatie over fusies en overnames en juridische zaken rampzalig zijn voor de meeste organisaties. Om zowel opzettelijke als onbedoelde data-exposure en niet-naleving van regelgeving te beheersen, wenden organisaties zich tot digital rights management (DRM). Deze en andere aspecten worden hieronder uitgebreid besproken.

De Complexiteit van het Huidige Communicatielandschap Ontrafeld

De exponentiële toename van interacties met derden is een belangrijk beveiligingsprobleem voor organisaties. Uit het rapport blijkt dat 90% van de organisaties in 2023 content deelde met meer dan 1.000 externe partijen, een forse stijging ten opzichte van 63% het jaar ervoor. Bovendien deelt 44% nu content met meer dan 2.500 derden. Dit uitgebreide netwerk van interacties met derden strekt zich uit over organisaties van diverse groottes en sectoren, wat de universaliteit van het probleem onderstreept.

Het probleem wordt verder vergroot doordat het gebruik van communicatiekanalen voor het verzenden van gevoelige content toeneemt. Bij 50% van de organisaties worden zes of meer tools ingezet voor communicatie van gevoelige content, waardoor het bijhouden en beveiligen van contentuitwisseling steeds complexer wordt. Deze complexiteit vereist aanzienlijke middelen, wat leidt tot hogere kosten en een uitdagender compliance-landschap.

Beveiligingsgaten in Security Maturity

Het rapport brengt een duidelijk verschil aan het licht tussen de huidige beveiligingsinspanningen van organisaties en wat nodig is voor effectief beheer van gevoelige content. Slechts iets meer dan een kwart van de respondenten vindt hun beveiligingsmaatregelen en managementpraktijken toereikend. Organisaties erkennen de inherente risico’s van diverse kanalen, waaronder e-mail, bestandsoverdracht, mobiele apps en API’s.

Het aantal incidenten dat specifiek gericht is op communicatie van gevoelige content is zorgwekkend hoog: meer dan 80% van de organisaties rapporteert vier of meer exploits in het afgelopen jaar. De financiële en compliance-impact van deze aanvallen is ernstig, met meer dan 60% die financiële gevolgen rapporteert, 44% merkt een impact op het merk en 42% ervaart compliance- en juridische kosten.

Moeite met Compliance-vereiste

Compliance blijft een grote uitdaging, waarbij organisaties aanzienlijke middelen inzetten om te voldoen aan regelgeving zoals GDPR, PIPEDA, PCI DSS en HIPAA, onder andere. Hoewel respondenten begrip tonen van beste practices, is er een grote kloof in de toepassing ervan.

Slechts een klein deel van de organisaties heeft het bijhouden, registreren en beheren van toegang tot gevoelige content met succes uitgebreid naar alle gebruikers, afdelingen, contenttypes en derden. Daardoor vindt slechts 27% van de respondenten dat hun risicobeheer voor compliance onder controle is. De overige 73% vindt dat hun aanpak volledig moet worden herzien of aanzienlijk verbeterd moet worden.

De Belofte van Digital Rights Management Waarmaken

Te midden van de uitdagingen ziet het rapport een sprankje hoop in digital rights management (DRM). DRM wordt gezien als een veelbelovende oplossing, waarbij de nadruk ligt op het classificeren van gevoelige content, het segmenteren op basis van risico en het beheren van toegang op basis van rollen en geografische locatie.

Hoewel de adoptie traag verloopt, begrijpen de meeste organisaties het belang van DRM en stemmen ze hun strategieën hier geleidelijk op af. Wij zijn van mening dat een “herstart” noodzakelijk is. Ondanks uitdagingen bij de inzet, zoals de noodzaak van agentinterventie voor niet-versleutelde bestanden met derden en aanpasbare controls voor verschillende gebruikers en contenttypes, wint DRM gestaag terrein als voorkeursmethodiek.

Het rapport onderstreept ook het belang van het volgen van industriestandaarden zoals het Cybersecurity Framework (CSF) van het National Institute of Standards and Technology (NIST). Naleving van deze standaarden kan de adoptie van DRM stroomlijnen en zorgen voor een robuustere bescherming tegen cyberdreigingen.

Cruciale Rol van Technologiepartners bij het Beschermen van Gevoelige Contentcommunicatie

Publieke en private organisaties die cyberdreigingen willen bestrijden, moeten de juiste technologiepartners vinden. Voor gevoelige contentcommunicatie zoeken respondenten naar robuuste beveiligingsfuncties, zoals automatische end-to-end encryptie, DRM en compliance-tracking en -rapportage. Ze zoeken ook oplossingen die hen in staat stellen hun diverse communicatietools en -systemen te consolideren om CapEx en OpEx te verlagen. Dit bespaart hen aanzienlijk veel tijd en middelen bij het samenvoegen van gescheiden datapools die via meerdere communicatietools worden verzameld, ervan uitgaande dat die tools überhaupt de benodigde data vastleggen om naleving van de bijbehorende regelgeving aan te tonen.

Wanneer organisaties hun communicatietools samenbrengen op één platform, kunnen ze uniforme beleidsregels opstellen voor het bijhouden en beheren van gevoelige contentcommunicatie in overeenstemming met industriële en overheidsregelgeving, terwijl ze een eendrachtige beveiligingsaanpak hanteren. Dit vermindert zowel hun beveiligings- als compliance-risico’s.

Pessimistische en Optimistische Beoordelingen van Gevoelige Contentcommunicatie in het Rapport

Het rapport van dit jaar schetst zowel een zorgwekkend als hoopvol beeld. Aan de ene kant blijft communicatie van gevoelige content een uitdaging. Organisaties lopen meer risico door het toenemend aantal communicatietools dat ze gebruiken en de diversiteit aan derden waarmee ze informatie verzenden en delen. Het is dan ook geen verrassing dat meer dan driekwart nog niet in staat is gevoelige contentcommunicatie te volgen en te beheren, zowel on-premise als in de cloud, en over alle afdelingen en gebruikers heen. Deze problemen, samen met de groeiende complexiteit van cyberaanvallen, maken exploits onvermijdelijk—en de impact is aanzienlijk. Gezien de financiële beperkingen en het tekort aan cybersecurityvaardigheden is het onmogelijk om simpelweg meer middelen en budget toe te wijzen aan de geschetste problemen—als dat al zou werken.

Aan de andere kant laat het rapport zien dat leiders en professionals prioriteit geven aan oplossingen voor deze problemen. Deze komen samen in vier verschillende actiepunten:

1. Holistische Benadering van Compliance

Nu diverse rechtsbevoegdheden, waaronder verschillende staten in de VS, een lappendeken van nieuwe regelgeving invoeren, moeten organisaties hun focus verleggen. In dit nieuwe Tijdperk van Compliance mag het niet meer gaan om het simpelweg afvinken van regels. Organisaties moeten universele beste practices omarmen die naleving van alle regelgeving waarborgen. Wij stellen voor om een uitgebreid framework zoals het NIST CSF te hanteren en te streven naar volledige compliance met alle aspecten daarvan. Zo’n aanpak leidt vanzelf tot DRM.

2. Heropleving van DRM

Organisaties moeten een allesomvattende methode hanteren om data zorgvuldig te categoriseren, zodat elke categorie direct toegankelijk is voor degenen die deze nodig hebben voor hun rol, terwijl toegang voor anderen wordt beperkt. Deze aanpak is essentieel voor goed data management.

3. Bescherming tegen Bedreigingen van Binnenuit

Bijna één op de vijf datalekken wordt veroorzaakt door medewerkers of andere personen met toegang tot interne systemen. Door data zorgvuldig te classificeren en te segmenteren en de toegang te beperken op basis van specifieke rollen, kunnen organisaties zich beschermen tegen zowel opzettelijke als onbedoelde data-exposure van binnenuit.

4. Beveiligingsmaatregelen

Cybercriminelen en malafide staten zijn zich terdege bewust van de waarde van gevoelige informatie en proberen elke zwakte of elk lek in de beveiliging van communicatietools uit te buiten. Het is daarom essentieel om de beveiligingsfuncties van uw communicatietools te begrijpen en kritisch te beoordelen. De belangrijkste prioriteiten uit dit rapport kunnen dienen als effectief startpunt voor deze beoordelingen.

Focus op DRM, NIST CSF en Meer in 2023

Het Kiteworks-rapport van 2023 biedt een diepgaand overzicht van de uitdagingen en kansen in de huidige complexe beveiligingsomgeving. Nu steeds meer derden betrokken zijn bij het delen van gevoelige content, moeten organisaties hun beveiligingsinspanningen intensiveren om hun digitale middelen te beschermen.

Ondanks de ontmoedigende taak om optimale beveiliging te bereiken, is er optimisme dankzij technologieën als DRM en het NIST CSF. Door deze tools te benutten en samen te werken met de juiste technologiepartner, kunnen organisaties hun gevoelige communicatie veiligstellen, compliant blijven en uiteindelijk succesvol zijn in een steeds meer verbonden wereld.

De bevindingen uit het rapport benadrukken het cruciale belang van het beveiligen van communicatie van gevoelige content in ons digitale tijdperk. Gezien de aard van de gedeelde content en de brede verspreiding ervan, moeten organisaties sterke maatregelen nemen om zich te beschermen tegen voortdurend evoluerende cyberdreigingen.

Het beveiligen van communicatie van gevoelige content is zonder twijfel vol uitdagingen. Maar met de juiste technologie, strategische planning, beveiligingsframework en governance kunnen organisaties deze uitdagingen overwinnen. Het rapport fungeert uiteindelijk als gids voor bedrijven wereldwijd en spoort hen aan om concrete stappen te zetten om hun gevoelige communicatie te beschermen in een steeds veranderend digitaal landschap.

Lees het volledige 2023 Sensitive Content Communications Privacy and Compliance Report door vandaag nog een exemplaar te downloaden. Klik hier.

Veelgestelde Vragen

Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale bezittingen, zoals hardware, systemen, klantgegevens en intellectueel eigendom, te identificeren, beoordelen en prioriteren. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste dreigingen te identificeren en een plan op te stellen om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe dreigingen en organisatorische veranderingen. Het uiteindelijke doel van Risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een essentieel onderdeel is van de algemene risicobeheerstrategie van elke organisatie.

De belangrijkste componenten van een Risicobeheer cyberbeveiliging-programma zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en beoordelingen.

Organisaties kunnen cyberbeveiligingsrisico’s beperken via verschillende strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het informeren van medewerkers om potentiële dreigingen te herkennen. Het gebruik van beveiligingssoftware zoals antivirus- en anti-malwareprogramma’s helpt bij het detecteren en elimineren van dreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan kan schade tijdens een cyberincident minimaliseren, en regelmatige risicobeoordelingen brengen potentiële kwetsbaarheden in kaart. Tot slot helpt naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en de standaarden van het National Institute of Standards and Technology (NIST), organisaties om cyberbeveiligingsrisico’s verder te beperken.

Een risicobeoordeling is een cruciaal onderdeel van Risicobeheer cyberbeveiliging. Hierbij worden potentiële dreigingen en kwetsbaarheden geïdentificeerd, wordt de mogelijke impact en waarschijnlijkheid van deze risico’s beoordeeld en worden ze geprioriteerd op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van Risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Hierdoor kunnen dreigingen direct worden opgespoord en aangepakt, wat schade helpt voorkomen of beperken. Het zorgt ook voor naleving van cyberbeveiligingsstandaarden en regelgeving, zodat organisaties snel eventuele non-compliance kunnen aanpakken. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data beslissingen ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks