De status van USB-schijfbeveiliging in Nederland
Gesponsord door Kingston Technology Onafhankelijk uitgevoerd door Ponemon Institute LLC Publicatiedatum: November 2011
Ponemon Institute© Onderzoeksrapport
De status van USB-schijfbeveiliging in Nederland Ponemon Institute, November 2011
Inleiding Gesponsord door Kingston Technology, Ponemon Institute presenteert met genoegen de resultaten van de situatie van USB-schijfbeveiliging in Nederland. Dit onderzoek is gericht op het beter begrijpen hoe complex bedrijven en overheidsorganisaties de eisen met betrekking tot de veiligheid en de privacy van gegevens beheren die op USB-schijven geplaatst en bewaard worden. We zijn van mening dat de les die uit het onderzoek geleerd moet worden, is dat organisaties wel degelijk weten dat ze risico's lopen als gevolg van onachtzaamheid door medewerkers, maar vaak niet de nodige stappen ondernemen om USB-schijven te beveiligen. Ons onderzoek heeft ook uitgewezen dat ook al kunnen deze apparaten klein zijn, dat het schenden van informatiebeveiliging als gevolg van zoekgeraakte of gestolen USB-apparaten enorm kan zijn. Ongeveer 62 procent van de respondenten zegt dat het schenden van informatiebeveiliging was veroorzaakt door gevoelige of vertrouwelijke informatie die op een zoekgeraakte USB-schijf stond. De volgende 10 maatregelen zijn maatregelen ten aanzien van USB-beveiliging die veel organisatie in dit onderzoek niet treffen: 1. Voorzie medewerkers van goedgekeurde USB-schijven voor gebruik op de werklocatie. 2. Stel beleid en opleidingsprogramma's op waarin acceptabel en onacceptabel gebruik van USB-schijven gedefinieerd wordt. 3. Zorg ervoor dat medewerkers die toegang hebben tot gevoelige en vertrouwelijke informatie alleen gebruikmaken van veilige USB-schijven. 4. Stel voor aankoop de betrouwbaarheid en integriteit van een USB-schijf vast door toonaangevende beveiligingsstandaarden te hanteren en ervoor te zorgen dat er op deze hulpmiddelen geen kwaadaardige software aanwezig is. 5. Pas codering toe op gegevens die op de USB-schijf zijn opgeslagen. 6. Zorg ervoor dat USB-schijven als onderdeel van configuratiebeheer altijd gemonitord en gelokaliseerd kunnen worden. 7. Scan de apparaten op virussen en kwaadaardige code. 8. Maak gebruik van wachtwoorden of vergrendeling. 9. Codeer gevoelige gegevens die op USB-schijven staan opgeslagen. 10. Zorg ervoor procedures te hebben om zoekgeraakte USB-schijven weer terug te krijgen. We hebben in Nederland 453 ICT-medewerkers uit de praktijk geïnterviewd die gemiddeld bijna 12 jaar in de ICT werkzaam zijn of ervaring hebben op het gebied van ICT-beveiliging. De meeste respondenten (56 procent) leggen verantwoording af aan het hoofd informatiebeveiliging (CIO) en 54 procent van hen werken op het niveau van supervisor of hoger binnen hun organisaties. Tachtig procent van deze respondenten onderkennen dat het zeer belangrijk of belangrijk is dat USB-schijven voldoen aan de hoge normen voor gegevensbeveiliging. In het volgende hoofdstuk staan de belangrijkste bevindingen van ons onafhankelijk uitgevoerde onderzoek. Alles bij elkaar opgeteld, leveren onze resultaten sterk bewijs dat organisaties onvoldoende maatregelen treffen tegen de mogelijke risico's met betrekking tot gegevensbescherming en -beveiliging door de ondoordachtheid en onveiligheid van de USBschijven die in veel organisaties gebruikt worden. In veel van de onderzoeksvragen mochten meerdere antwoorden gegeven worden. Als gevolg daarvan is de vermelding van het aantal antwoorden in de belangrijkste bevindingen in totaal meer dan 100 procent.
Ponemon Institute© Onderzoeksrapport
Pagina 1
Belangrijkste bevindingen Veel organisaties vinden de beveiliging van USB-schijven belangrijk, maar daarvoor is de juiste techniek nodig. Vijfenvijftig procent van de respondenten zijn het er over eens dat hun organisaties de bescherming van vertrouwelijke en gevoelige informatie die verzameld wordt en tijdelijk op een USB-schijf opgeslagen wordt, zeer belangrijk.. Hoewel 54 procent van de respondenten het er over eens zijn dat hun organisaties beschikken over voldoende beleids procedures, controlemiddelen en maatregelen om het misbruik van USBschijven te stoppen of te reduceren, geeft slechts 31 procent aan over de juiste techniek te beschikken om het downloaden van vertrouwelijke of gevoelige informative op USB-schijven door onbevoegden te voorkomen of tijdig te ontdekken. Tweeënveertig procent geeft aan dat hun organisatie over de juiste technieken beschikt om virussen en andere kwaadaardige software die op de USB-schijf terecht kunnen komen of staan, te voorkomen of tijdig te ontdekken. Medewerkers zijn onachtzaam in het gebruik van USB-schijven en dit brengt de gevoelige of vertrouwelijke gegevens van organisaties in gevaar. Medewerkers doen het volgende continu of zeer regelmatig: Ze gebruiken USB-schijven zonder daarvoor vooraf goedkeuring te krijgen om dat te mogen doen (68 procent) of raken USB-schijven kwijt zonder daarvan melding te maken bij de juiste persoon of afdeling (53 procent). Een zeer positieve bevinding is dat 61 procent van de respondenten aangeeft dat hun organisaties hun werknemers voorzien van goedgekeurde USB-schijven voor gebruik op de werklocatie en dat slechts 26 procent aangeeft dat medewerkers continu of veelvuldig gebruikmaken van generieke USB-schijven die men "gratis" heeft gekregen tijdens conferenties, vakbeurzen en andere evenementen. Veel organisaties hebben een uitvoerbaar beleid waarin acceptabel gebruik van USBschijven gedefinieerd staat en ze zien toe op de uitvoering van dit beleid. Zesenzeventig procent van de respondenten geeft aan dat hun organisaties beschikken over een beleid ten aanzien van USB-beveiliging. Van deze organisaties met beleid geeft 64 procent aan van hun medewerkers die toegang moeten hebben tot gevoelige en vertrouwelijke gegevens, te eisen daarvoor veilige USB-schijven te gebruiken. Om te kunnen voldoen aan de conformiteitseisen geeft 56 procent aan dat hun organisaties vertrouwen op willekeurige inspecties en 41 procent geeft aan software te gebruiken met netwerkintelligentie. Organisaties hanteren dezelfde criteria voor de keuze van USB-schijven en andere geheugenapparaten of opslagtechniek. De top twee criteria voor de aanschaf van USBschijven en andere geheugenapparatuur of opslagtechnieken zijn: beveiligingscertificering en testen en het vermogen om aanvallen van schadelijke software, botnet en virussen te voorkomen. Om de betrouwbaarheid en integriteit van USB-schijven te kunnen beoordelen hanteert 57 procent van de organisaties voor aanschaf de normering van toonaangevende beveiligingsstandaarden, en 36 procent test om er zeker van te zijn dat de gegevens op het apparaat niet kwaadaardig zijn. Organisaties vertrouwen het meeste op training/bewustwording en de strikte toepassing van het beleid om USB-schijven die niet voldoen aan de kwaliteitscriteria, uit handen van medewerkers te houden. Het gebruik van USB-schijven in organisaties is gangbaar en de meeste ervan zijn niet veilig. Op basis van de bevindingen worden er gemiddeld 43.105 USB-schijven gebruikt door medewerkers binnen de organisaties die in dit onderzoek vertegenwoordigd zijn. De respondenten geloven dat gemiddeld 63 procent van deze apparaten veilig is. De meest gebruikelijke vormen van gevoelige of vertrouwelijke informatie op een USB-schijf zijn: intellectuele eigendommen gevolgd door klantgegevens en niet-financiële, vertrouwelijke documenten.
Ponemon Institute© Onderzoeksrapport
Pagina 2
De apparaten mogen dan wel klein zijn, de gevolgen van zoekgeraakte USB-schijven kunnen ten aanzien van het openbaar worden van deze gegevens verwoestend zijn. De meerderheid van de respondenten (62 procent) in dit onderzoek geeft aan absoluut zeker te zijn (23 procent) of er van overtuigd te zijn (39 procent) dat de schending van de informatiebeveiliging naar alle waarschijnlijkheid het gevolg was van het kwijtraken van een USB-schijf met daarop gevoelige en/of vertrouwelijke informatie. In de afgelopen 24 maanden hebben gemiddeld 4,3 afzonderlijke incidenten binnen de organisaties van dit onderzoek betrekking op het zoekraken van gevoelige en/of vertrouwelijke informatie die op een zoekgeraakte USB-schijf stond. Achtentwintig procent van de respondenten geloven met grote zekerheid of waarschijnlijkheid dat op deze schijven gegevens van een klant, een consument of een medewerker stonden. De onachtzaamheid van eindgebruikers is, in tegenstelling tot kwaadaardigheid, in de meeste gevallen de oorzaak van zoekgeraakte USB-schijven. Gemiddeld wordt 62 procent van alle zoekgeraakte USB-schijven veroorzaakt door onachtzaamheid, in plaats van fraude, diefstal of andere kwaadaardige activiteiten. Op basis van deze bevindingen zouden opleidingsen bewustwordingsprogramma's en het opstellen van beleid de eerste stappen moeten zijn die organisatie zouden moeten nemen om de beveiliging van gegevens op USB-apparaten te verbeteren. Conclusie USB-schijven zijn een onmisbare techniek voor medewerkers in alle organisaties. Zoals dit onderzoek uitwijst, vormen zoekgeraakte of gestolen USB-schijven een groot risico voor de meest gevoelige en vertrouwelijke informatie van een organisatie. Hoewel organisaties de noodzaak inzien om proactiever te worden om ervoor te zorgen dat medewerkers niet onachtzaam zijn, blijkt in de praktijk de beveiliging van gegevens op USB-apparaten nog geen deel uit te maken van hun overkoepelende strategie voor informatiebeveiliging. In de inleiding van dit rapport staan 10 maatregelen voor het beveiligen van informatie op USBapparaten die organisaties zouden kunnen treffen maar veel van deze organisaties niet doen. Het goede nieuws is echter dat 55 procent van de respondenten het er over eens is dat hun organisaties de bescherming van vertrouwelijke en gevoelige informatie die verzameld wordt en tijdelijk op USB-schijven wordt opgeslagen, als zeer belangrijk ziet. Het doel dat in dit onderzoek naar voren komt is om aan te tonen dat het gebruik van USBschijven onbelangrijk lijkt, maar dat de consequenties van een zoekgeraakte of gestolen USBschijf met betrekking tot de beveiliging van de informatie daarop desastreus kunnen zijn. Ongeveer 62 procent van de respondenten in dit onderzoek geeft aan absoluut zeker te weten of ervan overtuigd te zijn dat een schending van de informatiebeveiliging binnen hun organisatie het gevolg was van een zoekgeraakte of gestolen USB-schijf met daarop gevoelige en/of vertrouwelijke informatie. Gemiddeld zijn organisaties in ons onderzoek in de afgelopen 24 maanden meer dan 11.608 registraties over klanten, consumenten of medewerkers zoekgeraakt die op USB-schijven stonden. Op basis van Ponemon Institute's onderzoek in 2010 naar de jaarlijkse kosten van schending van gegevensbeveiliging, "kunnen de financiële gevolgen van schending van informatiebeveiliging als gevolg van zoekgeraakte of gesloten informatie enorm zijn, waarmee de noodzaak tot het opstellen van beleid, procedures en opleidingsprogramma's ter vermindering van de kans op schending van informatiebeveiliging van gegevens op USB-schijven overtuigend genoeg is.".
Ponemon Institute© Onderzoeksrapport
Pagina 3
Ponemon Institute Het bevorderen van verantwoord informatiebeheer Ponemon Institute zet zich in voor onafhankelijk onderzoek en opleiding ter bevordering van verantwoord beheer van informatie en vertrouwelijkheid in de praktijk binnen bedrijven en overheidsinstanties. Onze missie is het doen van kwalitatieve, empirische onderzoeken naar belangrijke kwesties die van invloed zijn op het beheer en de beveiliging van gevoelige informatie over mensen en organisaties. Als lid van de Council of American Survey Research Organizations (CASRO), hanteren wij strikte normen op het gebied van vertrouwelijkheid van gegevens, de privacy en ethische onderzoeksmethoden. We verzamelen geen persoonlijk identificeerbare informatie van personen (of bedrijfsidentificeerbare informatie) tijdens onze onderzoeken. Daarnaast hanteren wij strikte kwaliteitsnormen om ervoor te zorgen dat de respondenten geen vreemde, irrelevante of ongepaste vragen voorgelegd krijgen.
Ponemon Institute© Onderzoeksrapport
Pagina 4