De kosten van een datalek in 2022 en communicatie van gevoelige inhoud

In hun meest recente jaarlijkse “Cost of a Data Breach Report” ontdekten IBM en het Ponemon Institute dat de gemiddelde kosten van een datalek in 2022 zijn gestegen tot gemiddeld $4,35 miljoen (een stijging van 2,6% ten opzichte van $4,24 miljoen in 2021). Meer dan 8 op de 10 van de ondervraagde organisaties geven toe dat ze in hun bestaan door meer dan één datalek zijn getroffen. Dit is echter slechts het gemiddelde; er zijn talloze horrorverhalen van ernstige datalekken waarbij bedrijven geconfronteerd werden met verliezen van meerdere miljoenen, imagoschade en zelfs juridische geschillen over schendingen van naleving van regelgeving, inclusief forse boetes van toezichthouders. Aanvallen op de toeleveringsketen zijn de afgelopen twee jaar bovendien steeds frequenter geworden, wat de potentiële kosten van een datalek nog verder vergroot.

Wat is een datalek?

Een datalek is een ongeautoriseerde toegang tot of openbaarmaking van vertrouwelijke informatie. Datalekken kunnen optreden wanneer gevoelige inhoudscommunicatie wordt onderschept, wanneer naleving van regelgeving niet wordt gevolgd of wanneer gegevensprivacy niet voldoende wordt beschermd. Enkele van de meest voorkomende typen datalekken vinden plaats via e-mailcommunicatie, die eenvoudig kunnen worden onderschept door derden via man-in-the-middle-aanvallen, phishing, identiteitsdiefstal, business email compromise of malware.

Datalekken kunnen ook ontstaan door bedreigingen van binnenuit—zowel opzettelijk als per ongeluk. Onjuiste verwijdering van gegevens en verlies of diefstal van apparatuur zijn andere oorzaken. Het type datalek varieert afhankelijk van de gecompromitteerde gegevens en hoe deze zijn verkregen. Gevoelige inhoudscommunicatie bevat informatie zoals creditcardnummers, burgerservicenummers, bankgegevens en andere soorten persoonlijk identificeerbare informatie (PII). Als reactie op de frequentie van aanvallen en succesvolle datalekken hebben diverse overheids- en brancheorganisaties privacywetten en -regelgeving ingevoerd. Voorbeelden hiervan zijn de Health Insurance Portability and Accountability Act (HIPAA), General Data Protection Regulation (GDPR), Data Protection Act 2018 en de California Consumer Privacy Act (CCPA).

Voor individuen betekent gegevensprivacy het recht om te bepalen wie toegang heeft tot hun persoonlijke gegevens en wat ermee gedaan mag worden. Organisaties moeten ervoor zorgen dat zij de juiste controles en tracking hebben om een onveranderlijke audit log te kunnen tonen waaruit blijkt dat klant-, medewerker- en partnergegevens beschermd zijn. Gegevensprivacy strekt zich ook uit tot informatie die organisaties gebruiken om hun bedrijf te runnen—zoals klinische onderzoeksgegevens voor farmaceuten, planningen en productieplannen voor producenten, softwarecode en strategische go-to-marketplannen voor technologiebedrijven, en details over de toeleveringsketen en logistiek voor retailers, om er maar een paar te noemen.

Organisaties moeten hun gevoelige inhoudscommunicatie beschermen door deze te versleutelen en alleen geautoriseerde partijen toegang te geven om deze te openen, te verzenden, te delen en te wijzigen. Gevoelige inhoud die wordt verzonden via e-mail, bestandsoverdracht, webformulieren, beheerde bestandsoverdracht en application programming interfaces (API’s) moet zowel tijdens verzending als in rust worden beschermd. Zo moet e-mail met privé-informatie tijdens verzending worden versleuteld en versleuteld blijven wanneer deze wordt opgeslagen. Daarnaast moeten organisaties ervoor zorgen dat verloren of gestolen apparatuur met gevoelige inhoudscommunicatie op afstand wordt gewist voordat deze elders opnieuw wordt gebruikt, om te voorkomen dat privé-informatie uit andere bronnen uitlekt.

Wat zijn de kosten van een datalek?

Nu de kosten en frequentie van datalekken toenemen, is het belangrijker dan ooit om een plan te hebben om gevoelige inhoudscommunicatie te beschermen. Uit het rapport van IBM en het Ponemon Institute blijkt dat kritieke informatie zoals klant- of personeelsgegevens het grootste risico lopen op verlies of diefstal: 89% van alle beveiligingsincidenten betreft deze gegevens. Verder resulteerde 60% van alle gemelde incidenten in ten minste enig verlies of diefstal van kritieke informatie. Tegelijkertijd bleek uit het rapport dat 60% van de organisaties die door datalekken werden getroffen hun prijzen verhoogden als gevolg van het lek; dit is zorgwekkend onder normale omstandigheden en nog meer gezien de reeds hoge inflatie en problemen in de toeleveringsketen.

Deze statistieken zijn alarmerend genoeg, maar ze omvatten niet eens de kosten die gepaard gaan met downtime, operationele verstoringen en nalevingsproblemen. Voor gevoelige inhoudscommunicatie is een geconsolideerd platform met een defense-in-depth-aanpak—waaronder end-to-end encryptie, een gehard apparaat en multi-factor authentication, naast andere beveiligingselementen—van cruciaal belang. Door e-mail, bestandsoverdracht, SFTP, SMTP, MFT, webformulieren en API’s vanuit één platform te beheren, kan uw organisatie standaardbeleid instellen en afdwingen voor elk communicatiekanaal, en voorkomt u dat u visuals moet creëren voor elk gescheiden kanaal. Dit kan lastig zijn voor organisaties die nu al moeite hebben om IT-, beveiligings- en compliancepersoneel aan te trekken en te behouden.

Hoe vaak komen datalekken voor?

Datalekken komen steeds vaker voor. Alleen al vorig jaar werden 6 miljard records gelekt, en naarmate bedrijven meer gegevens over hun klanten verzamelen, zal dit aantal naar verwachting gestaag blijven groeien. Organisaties moeten deze cijfers meenemen in hun overwegingen rondom cyberbeveiliging, want ze lopen mogelijk het risico op een datalek dat hen veel meer geld kost dan voorheen als ze het niet vanaf het begin goed aanpakken. Datalekken kunnen leiden tot problemen zoals omzetdaling of rechtszaken. Nu datalekken regelmatig blijven voorkomen en geen tekenen van afname tonen, is het beste wat organisaties kunnen doen zichzelf te beveiligen door een stap terug te nemen en te analyseren waar kwetsbaarheden in hun systemen zitten.

Wie zit er achter datalekken?

Voortdurende pogingen van cybercriminelen om gevoelige informatie te stelen en inspanningen van kwaadwillende staten om geheime informatie te verkrijgen, maken het voor organisaties steeds moeilijker om hun gegevens veilig te houden in het constant veranderende digitale landschap. Er zijn tal van preventieve maatregelen die organisaties kunnen nemen om een datalek te voorkomen. Cybercriminelen—of kwaadwillende actoren—opereren onder verschillende risiconiveaus; sommigen creëren ransomware en eisen geld van slachtoffers, terwijl anderen verzamelde persoonsgegevens verkopen op de zwarte markt of deze teruggeven aan slachtoffers tegen losgeld. Ook worden malafide staten beschuldigd van het stelen van vertrouwelijke informatie van zowel private bedrijven als overheidsinstanties.

Hoe datalekken uitdagingen creëren op het gebied van gegevensprivacy en naleving

Hoewel datalekken nalevingsuitdagingen voor organisaties creëren, is hun complexiteit de afgelopen jaren toegenomen doordat overheids- en industriële toezichthouders nieuwe nalevingsregels instellen om privégegevens te beschermen tegen kwaadwillende cybercriminelen en malafide staten. Daarom is het belangrijker dan ooit dat organisaties stappen ondernemen om hun gegevens te beschermen en ervoor te zorgen dat ze voldoen aan alle relevante regelgeving. Een aanpak voor risicobeheer cyberbeveiliging is een belangrijk startpunt. Voor gevoelige inhoudscommunicatie moeten organisaties de juiste beste practices hanteren om bedreigingen te identificeren, te beheersen, te beperken en in balans te brengen. Een uitgebreid model voor risicobeheer cyberbeveiliging moet inhouden dat wordt bepaald wie toegang heeft tot privé-informatie, wie deze mag wijzigen, wie wordt geïnformeerd bij wijzigingen en aan wie deze mag worden verzonden of gedeeld. Dit soort privacybeleid moet centraal worden geïmplementeerd en beheerd, zodat organisaties kunnen aantonen dat ze voldoen aan regelgeving zoals HIPAA, GDPR, CCPA en de Data Protection Act 2018.

Hoe de kosten van een datalek verschillen per sector en regio

Datalekken kunnen organisaties in diverse sectoren miljoenen dollars kosten. Volgens IBM en het Ponemon Institute kan, afhankelijk van de sector, de gemiddelde kosten per verloren of gestolen record variëren van $148 (in de zorg) tot $258 (in de productie).

De kosten van datalekken in de zorg zijn al 12 jaar op rij het hoogst van alle sectoren, en stegen in 2022 tot $10 miljoen per datalek—41,6% hoger dan in 2020. De financiële sector volgt met $5,97 miljoen per datalek, gevolgd door farmaceutische bedrijven met $5,01 miljoen, technologiebedrijven met $4,97 miljoen en energiebedrijven met $4,72 miljoen.

Het feit dat de zorg en de financiële sector wellicht de twee meest gereguleerde sectoren zijn, kan samenhangen met de hogere kosten; meer zichtbaarheid en strengere en hogere boetes leiden tot hogere kosten bij datalekken. Zeker voor gevoelige inhoudscommunicatie met derden voelen zorg- en financiële instellingen zich slecht voorbereid: slechts de helft van de financiële bedrijven en 45,5% van de zorgorganisaties denkt goed beschermd te zijn tegen risico’s van inhoudscommunicatie met derden.

Wat betreft de kosten van datalekken staat de VS bovenaan met $9,44 miljoen, gevolgd door het Midden-Oosten met $7,46 miljoen, Canada met $5,64 miljoen, het VK met $5,05 miljoen en Duitsland met $4,85 miljoen. Brazilië kende in 2022 een alarmerende stijging van 27,8%, van $1,08 miljoen naar $1,38 miljoen afgelopen jaar.

Ondanks bovenstaande cijfers zijn er manieren voor bedrijven om zich voor te bereiden op potentiële cyberaanvallen en hun risico aanzienlijk te verkleinen—zowel proactief door betere cyberbeveiliging als reactief door snellere detectie van en reactie op incidenten. Voor de bescherming van gevoelige inhoudscommunicatie vereist dit de integratie van tools—bij voorkeur een platform—met proactieve detectie- en responsoplossingen zoals security information and event management (SIEM) en security orchestration, automation, and response (SOAR)-systemen. De gevolgen van datalekken voor het merk kunnen in sommige sectoren groter zijn. Zo moeten retailers anticiperen op de impact van een datalek op klantloyaliteit en vertrouwen, evenals op andere factoren zoals de reputatie van het bedrijf, de langetermijnfinanciële prestaties en de aandelenkoers. Ongeacht de sector kan het vermogen van een bedrijf om snel te reageren op een datalek bepalen of het snel herstelt of blijvende schade oploopt.

Waarom een Private Content Network essentieel is voor het beschermen van gevoelige gegevens

Nu de kosten van datalekken blijven stijgen, is het belangrijker dan ooit om een Private Content Network te hebben om gevoelige inhoudscommunicatie te beschermen. Een Private Content Network verkleint de kans op datalekken met ongestructureerde data door gecentraliseerd beheer, naleving en beveiliging te bieden. Zo weet u zeker dat uw gegevens veilig zijn en dat u niet in strijd handelt met regelgeving. De kosten van het herstellen van een datalek blijven stijgen, dus het beperken van datalekken met ongestructureerde data rond gevoelige inhoudscommunicatie is steeds belangrijker.

Het Kiteworks-platform stelt klanten in staat een Private Content Network te creëren dat gevoelige gegevens zoals PII, financiële gegevens, kritieke intellectuele eigendom, privé juridische informatie en meer centraliseert, beheert, volgt en beveiligt. Kiteworks stelt organisaties in staat hun eigen beveiligings- en compliancebeleid op te stellen en af te dwingen voor al hun digitale inhoudscommunicatie. Dit maakt het ook mogelijk om audit logs te genereren met betrekking tot private inhoudscommunicatie voor naleving van regelgeving en om aan te tonen dat men voldoet aan eisen van klanten die oplossingen zoeken die voldoen aan industriestandaarden zoals FedRAMP Authorized en Infosec Registered Assessors Program (IRAP).

Wilt u weten hoe een door Kiteworks ondersteund Private Content Network uw organisatie kan helpen het risico op een datalek te beperken? Plan dan vandaag nog een aangepaste demo in.