Securityspecialist Varonis analyseerde toegangsautorisaties en de Active Directory van 758 bedrijven wereldwijd voor zijn Global Data Risk Report 2019. Het resultaat is ontnuchterend. Niet alleen worden verouderde gegevens en accounts vaak nog bewaard, sommige mappen zijn ook openbaar toegankelijk.
Zelfs de inwerkingtreding van de GDPR heeft niet veel gebracht op het gebied van veiligheidsbewustzijn. Dit is de conclusie die wordt getrokken uit de resultaten van het veiligheidsrapport van Varonis. Als we naar de resultaten voor Duitsland kijken, is er weinig reden om opgelucht adem te halen. Volgens het onderzoek is 58 procent van de gegevens in Duitsland verouderd, is 19 procent van de gevoelige gegevens onbeveiligd en heeft 40 procent van de gebruikers wachtwoorden die nooit hoeven te worden vernieuwd.
Het rapport onthult wereldwijd verschillende probleemgebieden die de blootstelling van bedrijven aan datalekken, bedreigingen van binnenuit en ransomware-aanvallen vergroten:
- In 53 procent van de bedrijven hebben alle werknemers toegang tot meer dan 1..000 gevoelige bestanden (vorig jaar: 41%)
- Gemiddeld is 22% van de mappen toegankelijk voor alle werknemers
- 38% van de gebruikerswachtwoorden vervalt nooit, bijna een verviervoudiging ten opzichte van vorig jaar (10%)
- In 61% van de bedrijven hebben meer dan 500 gebruikers wachtwoorden met een open einde
- 87% van de bedrijven slaat meer dan 1..000 gebruikerswachtwoorden op
- .000 ongebruikte gevoelige gegevens, 71% zelfs meer dan 5.000
- Middels wordt meer dan de helft van de bestanden (53%) niet meer gebruikt; in bijna elk bedrijf (95%) bevatten meer dan 100.000 mappen dergelijke bestanden
- Elk tweede account (50%) is niet meer actief (vorig jaar: 34%); 40% van de bedrijven heeft meer dan 1..000 van dergelijke accounts
- Handelsbedrijven hebben het laagste aantal blootgestelde vertrouwelijke bestanden, terwijl de financiële sector de meeste gevoelige bestanden met te ruime toegangsrechten heeft.
- In EMEA bevat 3% van de bestanden gevoelige informatie, maar “slechts” 15% daarvan wordt blootgesteld.
“Het is verrassend en beangstigend dat zelfs minder dan een jaar na de inwerkingtreding van de GDPR, en in het licht van aankomende wetgeving zoals de California Consumer Privacy Act, de situatie op het gebied van gegevensbeveiliging niet alleen niet is verbeterd, maar zelfs is verslechterd,” zegt Thomas Ehrlich, Country Manager DACH bij Varonis.”
In het kort zijn dit de probleemgebieden:
- Uitgebreide machtigingen geven elke werknemer toegang tot gevoelige bestanden en mappen.
- Wachtwoorden zonder tijdsbeperking geven aanvallers genoeg tijd voor brute krachtaanvallen.
- Ungenutzte Daten erhöhen das Risiko für Verstöße (und entsprechende Strafen) gegen die DSGVO und andere Vorschriften wie den Sarbanes-Oxley Act (SOX), den Health Insurance Portability and Accountability Act (HIPAA) oder den kommenden California Consumer Privacy Act (CCPA).
- „Ghost User“, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten, erlauben ehemaligen Mitarbeitern und Partnern unnötigen Zugang zu Informationen.
Praktische Tipps, um das Sicherheits-Level zu erhöhen:
- Minimierung der sensiblen Daten, die gesammelt werden
- Minimierung der Zugriffsrechte auf sensible Daten
- Minimierung der Zugriffsdauer auf sensible Daten
- Identifizierung, Archivierung oder Löschung veralteter Daten
- Überwachung aller User Accounts
- Regelmäßige Zugriffskontrolle aller Daten und Ordner
- Vereinfachung der Zugriffsstrukturen