22 februari 2010

In Nederland zijn weinig bedrijven, die maatregelen nemen om dataverlies te voorkomen (DLP). 'Je zou verwachten dat bedrijven door de media-aandacht over verloren USB-sticks, verloren laptops, vergeten smartphones, aan de straat gezette dossier e.d. zorgvuldiger omspringen met data'. Tom Welling van beveiligingsleverancier Symantec reageert verbaasd op de belangrijkste conclusie in het Symantec Enterprise Security Report 2010. Hij kan een verklaring geven voor het feit dat Nederlanders minder aan Data Loss Prevention (DLP) doen dan andere landen. 'De wetgeving is in Nederland nog niet zo ver gevorderd als bijvoorbeeld in de Verenigde Staten. Daar krijg je gewoon een fikse boete wanneer je klantgegevens verliest. Dat kan oplopen in de miljoenen. De drempel is daar dus veel lager om een DLP-systeem van enkele tienduizenden euro’s te implementeren', zo geeft Welling aan. 'Ook in het Verenigd Koninkrijk wordt DLP veel vaker toegepast. Daar is immers een meldplicht van kracht bij dataverlies'. Gevolg van dit gebrek aan regulering is dat Nederlandse bedrijven moeilijk kunnen inschatten hoeveel geld ze verliezen aan dataverlies. 'Als je een boete krijgt, is dat makkelijk te vertalen naar cijfers. In Nederland gaat het alleen om imagoschade. Dat is een stuk moeilijker te berekenen', aldus Welling. Imagoschade kan overigens wel in de papieren lopen, maar de gevolgen daarvan zijn vaak niet te relateren aan de werkelijke oorzaak.

Nederland wijkt weinig af van de wereldwijde normen. In Nederland heeft men veel minder goed ik kaart waar de data zich bevinden, wie er over kan beschikken en waar de informatie naar toe gaat. Dat komt doordat dat hier minder sterk wordt afgedwongen. Een andere opvallende uitkomst uit het Enterprise Security Report is dat 78 procent van de 50 onderzochte Nederlandse bedrijven te kampen heeft met cyberaanvallen. Mondiaal is hier een negatieve trend in te ontdekken. Waar de aanvallen vandaan komen, is lastiger te bepalen, weet Welling. 'Jaarlijks in april houdt Symantec hier een aparte meting voor, maar bij cybercrime is het altijd lastig te bepalen wie erachter steekt. Een stukje malware kan technisch gezien computers vanuit China komen, maar dat hoeft niets te zeggen over de werkelijke afkomst. IT in opkomende economiën doet veel minder aan beveiliging, dus computers in dergelijke landen zijn veel kwetsbaarder'. Ook de code zelf hoeft volgens de technisch consultant helemaal niets over de maker te zeggen. 'We komen af en toe bijvoorbeeld Franse commentaren tegen in malware-code. Je zou verwachten dat die code door een Franstalig persoon is geschreven. Dat hoeft niet zo te zijn. We merken dat code tientallen keren gerecycled kan worden, inclusief commentaar van verschillende auteurs'. Opvallend is dat 100 procent van alle onderzochte bedrijven aangeeft met zogenaamde ‘cyber losses’ te kampen. 'Zelf zul je ook weleens meemaken dat je computer vastloopt of je een usb-stick of cdrom bent verloren. Als je kijkt naar hoe vaak dat soort dingen in grote bedrijven voorkomt, dan loopt dit in de tientallen of honderden gevallen. Het gaat hierbij echt niet alleen om data die expres ontvreemd wordt'. Voor het Symantec-onderzoek is 2100 ondernemingen wereldwijd een vragenlijst van 126 security-vragen voorgelegd. Zo wilde de beveiligingsleverancier onder meer weten welke securityproducten de bedrijven afnemen, wie de budgeteigenaar is van security binnen het bedrijf, en of er sprake is van geautomatiseerde compliance. Steekproefsgewijs zijn bedrijven in alle sectoren behalve automotive en onderwijs meegenomen in het Nederlandse onderdeel van het onderzoek. Het ging hierbij om ondernemingen met maximaal 1000 werknemers.