Verizon: helft securityincidenten in Europa heeft interne oorzaak

49 procent van de datalekken in de zogeheten EMEA-regio heeft een interne oorzaak, stelt Verizon in een nieuwe analyse over securityincidenten in 2024. Dat aantal is vele malen hoger dan in andere regio's van de wereld.

Verizon analyseerde voor zijn Data Breach Investigations Report securityincidenten die tussen 1 november 2022 en 31 oktober 2023 plaatsvonden. In de EMEA-regio, waar Europa, het Midden-Oosten en Noord-Afrika onder vallen, analyseerde het bedrijf 8.302 incidenten, waarvan er 6.005 een bevestigd datalek omvatten.

Opvallend is dat veel meer incidenten een interne oorzaak hebben. Wereldwijd is dat nu 35 procent, terwijl dat een jaar eerder nog 20 procent was. Bij zo'n interne dreiging gaat het om problemen veroorzaakt door fulltime werknemers, aannemers, stagiairs en ander personeel. Dergelijke mensen worden vertrouwd en hebben vaak privileges, die misbruikt kunnen worden.

Verizon benadrukt dat het merendeel van deze incidenten, 73 procent, het gevolg is van menselijke fouten. Zo komt het vaak voor dat iets naar de verkeerde persoon gestuurd wordt, wat bij 50 procent van alle menselijke fouten het geval was. Ook misconfiguraties komen veel voor: bij een op de tien menselijke fouten ging het om zo'n probleem.

Zeker in de EMEA-regio komen interne dreigingen veel voor, vaak dus als gevolg van menselijke fouten. Daar is 49 procent van de incidenten het gevolg van een interne oorzaak, terwijl dat in de Aziatische regio slechts 2 procent is en in Noord-Amerika slechts 8 procent. Verizon merkt in zijn rapport op dat er nieuwe deelnemers zijn aan het onderzoek in deze regio en dat hier strenge regels gelden rondom het melden van een datalek. Mogelijk zijn de resultaten daardoor enigszins scheefgetrokken, zegt Verizon. Volgend jaar moet duidelijker zijn of de trend rond interne dreigingen als gevolg van diverse fouten doorzet, of dat het om een eenmalige sprong ging.

Door Eveline Meijer

Nieuwsredacteur

02-05-2024 • 08:18

29

Submitter: wildhagen

Reacties (29)

Sorteer op:

Weergave:

Bij zo'n interne dreiging gaat het om problemen veroorzaakt door fulltime werknemers, aannemers, stagiairs en ander personeel. Dergelijke mensen worden vertrouwd en hebben vaak privileges, die misbruikt kunnen worden.
Een slecht updatebeleid is een interne dreiging. Een verkeerde risicoanalyse is een interne dreiging. Ik twijfel of dergelijke gevallen ook onder de 49% gerekend worden.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:37]

Elk rapport noemt een ander percentage. Van 35% tot 85%, ik zie alles voorbij komen. Ook is er geen gestandaardiseerde definitie van insider threats, in de basis is alles door mensen ontworpen en kan alles dus een insider threat zijn: van een persoon die op een phishingmail klikt tot aan een systeem wat vastloopt door te weinig buffer memory en van een datalek door een verkeerd CC gebruik tot aan een datalek dankzij een hack.
Dat is toch bij elk data lek, dat er al dan niet "gevoelige" (interne) gegevens naar buiten lekken? Ongeacht de oorzaak, of dat nu bijvoorbeeld een hacker uit een vaag land is of een interne medewerker, er is iets interns fout. Dat kan variëren van een foutieve configuratie van een apparaat tot een deur die niet op slot zit.

Als je zo'n (Amerikaans) bedrijf ziet die zijn medewerkers als wegwerp producten behandeld, kan ik mij voorstellen dat de motivatie om een extra controle uit te voeren op een "rare" e-mail of een "gekke situatie" daalt. Helemaal bij zo'n hijgende manager die wil dat je "targets" haalt, zonder "bullshitting around". De temp is dan loyaal tot de laatste paycheck. Het vreemde is dan wel dat die manager het personeel niet vertrouwd en de boel volhangt met camera's en monitoring software (wat die werknemer e-mailt).
Ik durf het iets lomper te stellen: Een slecht beleid is een interne dreiging. Of dit nu om updates gaat, of de hele basale processen die ieder bedrijf als vanzelfsprekend neemt, maar nooit goed zijn vastgelegd en daardoor niet inzichtelijk zijn (waardoor iedereen maar doet waarvan ze denken dat het zo goed is).
Verizon merkt in zijn rapport op dat er nieuwe deelnemers zijn aan het onderzoek in deze regio en dat hier strenge regels gelden rondom het melden van een datalek. Mogelijk zijn de resultaten daardoor enigszins scheefgetrokken, zegt Verizon
Ik denk dat de meldplicht voor een datalek in Europa ook wel serieus heeft bijgedragen aan de stijging.
Ik durf het iets lomper te stellen: Een slecht beleid is een interne dreiging.
Ik gaf slechts wat specifieke voorbeelden om het punt duidelijk te maken. Je bent dus niet echt lomp, of net zo lomp als dat ik ben met wat ik probeer tussen de regels door duidelijk te maken. ;)
Als een medewerker in de verkeerde mailboxen snuffelt is dat een securityincident. Als een hacker door een ongepatchte firewall heen komt ook. Als een medewerker een phishing mail opent ook. Bijna alles is een intern probleem.
Ik durf er bijna gif op in te nemen dat 90% van de securityincidenten veroorzaakt worden door fouten/zwakten in eigen beheer (of van de leverancier) of andere interne illegale praktijken of gebruikersfouten. Het aantal organisaties dat beveiligingsincidenten door 0-days heeft is hier maar een fractie van.

[Reactie gewijzigd door oef! op 23 juli 2024 00:37]

Misschien is dat het verschil tussen EMEA en APAC, in Europa komen we er vooruit dat we er ZELF ook iets aan hadden kunnen doen, en de VS geven ze altijd een andere de schuld?
Je kunt naar dit soort onderzoeken kijken hoe je zelf wilt, en je moet dus ook gaan kijken hoe ja aan de cijfers bent gekomen. Soms is er een andere oorzaak voor de verschillen dan de verschillen zelf.
Dit klinkt eerder alsof er een reporting bias is in plaats van een werkelijke verandering. De verschillen zijn te groot voor een normaal verschil.
Nee, dat hoeft niet.
Hacks gebeuren steeds vaker door social hacking. Daarbij worden inloggegevens van een medewerker afhandig gemaakt. Die hacks komen in het lijstje van de interne oorzaken terwijl dit slechts gedeeltelijk zo is.
Aan de andere kant wordt het vertrouwen ook wel eens misbruikt door medewerkers uit nieuwsgierigheid (verpleegsters kijken in de status van een BN-er), om even iets voor "iemand" op te zoeken, gegevens worden verkocht of tegen vergoeding aangepast (zoals bij de corona pandemie) of gebruikt als pressiemiddel om ontslag te voorkomen.
Het gaat er niet slechts om dat er in de praktijk mogelijkheid is maar dat de afwijkingen daarbij niet zomaar op gaan.

Het artikel ontbreekt belangrijke informatie over de onderbouwing van de cijfers, zelf terwijl dat met dit soort verschillen zeker nodig is. Het is ook niet zomaar gebruikelijk dat internationale criminelen per continent slachtoffers spontaan anders gaan behandelen of dat slachtoffers zich in zeer korte tijd heel anders gaan gedragen.

Het bedrijf is vooral een Amerikaans telecombedrijf, die geen heel duidelijke grote speler op de Europese markt is, laat staan voor beveiligingsproblemen. De aantallen incidenten die ze wel doen verschillen jaarlijks nogal. Dus des te meer reden om een behoorlijke onderbouwing voor de afwijkingen en conclussies te mogen verwachten.
Eens. In de in het artikel geciteerde niet-Europese regio's zijn de percentages heel laag.
Dat zou kunnen komen omdat er in de Europese regio wél een meldplicht voor datalekken is en daardoor veel meer data voorhanden is. En in die niet-Europese regio's is die data dus niet voorhanden. Dat vertekend het beeld nogal.

Kortom: op basis van de mediasamenvatting van de managementsamenvatting, concludeer ik dat dit rapport neigt naar broddelwerk.

Om dan nog maar de vraag stellen: was Verizon niet een Amerikaanse telecomprovider en heeft die niet een bepaald belang bij dit soort informatie zo de wereld in te brengen?
Verizon niet een Amerikaanse telecomprovider en heeft die niet een bepaald belang bij dit soort informatie zo de wereld in te brengen
Vast en zeker, maar ze hebben ook een consultancy tak en ik verwacht dat dit daar vandaan komt. (zegt niets over de belangen overigens).
Of misschien dat er misschien een hogere standaard qua beveiliging is in Europa en er een minder groot totaal aan beveiligingsincidenten heeft. Als dat minder hoog ligt, zal het percentage hoger uitvallen.
Betwijfel het ten zeerste dat dit uit maakt voor het percentage, de sample lijkt groot genoeg (16k NA, 3k Asie, 8k EMEA) als het een eerlijke sample is, echter daar rept het artikel niet over (de kwaliteit).
In ieder geval is het geen 40+ procent. Zelfs als je de (gigantische! 2s?) interval van het originele artikel er bij neemt is het sowieso statistische onzin (de kans dat dit verschil bij een gelijke sample zou gebeuren is netto nul). Voor de duidelijkheid: Alle andere statistieken present in het oorspronkelijkje verhaal zijn redelijk gelijk (binnen foutmarge), zoals de motivatie van aanvallen over alle regios. (zie onderaan verder)

Ik ga hier gewoon Occam's razor gebruiken: Dus of er is echt een gigantisch verschil en in Europa is er om een een of andere reden veel meer interne breaches (wat dat ook mag zijn). Of het is een sample bias, mogelijk door de geldende wetten die alle disclosures verplichten. Ik ga dus voor het tweede.

Voor de duidelijkheid: Volgens de "bron" heeft NA 1.3k hacks (breaches) en 70 (niet k, gewoon 70) "Error breaches". Echter en EMEA zijn dit er 2k en 2k. Die "Error" breaches komen overeen met het verschil in percentage. De rest van de breache varianten komen percentueel ongeveer overeen als je even de "error" variant negeert. Dit is dus volstrekte onzin en gewoonweg misrapportage, het rapport geeft dit ook aan. (zie https://www.verizon.com/b...ir/2024/intro-to-regions/ onderaan).

Tweakers zou zich er goed aan doen dit rapport niet te berichten zonder zelf nuance toe te voegen.
Het feit dat het rapport zelf zegt:
we observe the resultant skewing of the data that one might expect
Geeft al aan dat de titel van dit artikel volstrekte sensatierapportage is en geen enkele reele waarde heeft.

[Reactie gewijzigd door kaas-schaaf op 23 juli 2024 00:37]

Wat ik me ook afvraag: als 49% een interne oorzaak heeft, dan heeft 51% een externe oorzaak. Wat is een externe oorzaak? Laten we zeggen een hack door ongepatchte servers e.d. Dat zou dus betekenen dat als we in Europa onze externe beveiliging heel goed op orde hebben door patchbeleid, etc, dan daarmee automatisch meer leaks een interne oorzaak hebben. Anyway, dit hele artikel zegt eigenlijk niks.
P.S. ik heb het rapport niet gelezen.
Het is i.i.g. wel een vrij grote dataset. Ik denk dat je gelijk hebt als je het hebt over sample bias als oorzaak, dat dit het hele onderzoek een nieuw perspectief geeft.

Ik had het bronartikel in eerste instantie niet gelezen maar vind dat ook nogal onduidelijk. Wel weer goed dat er sowieso onderzoek gaande is wat dat betreft.
In Azië lijdt men niet graag gezichtsverlies. Mogelijk een reden om securityincidenten onder de pet te houden.
Want in de rest van de wereld staat men wel graag voor schut?
Niet bekend met Aziatische cultuur gok ik zo?

“Saving face” is een redenen van het achterlijke zero-covid beleid van de Chinese overheid. En voor je gaat zeggen dat ze qua cijfers het veel beter hebben gedaan, wijs ik je weer terug naar “saving face”.

Wanneer je in Nederland een fout maakt en je dit erkent, vinden mensen juist dat je goed bezig en eerlijk bent.
Niemand staat graag voor schut maar je hebt wel degelijk grote verschillen in cultuur waarbij veroorzaakt door een intern probleem ook wel gelijk staat als het bedrijf heeft een fout gemaakt.

Voor China zijn veel bedrijven state owned dus als je zegt interne fout = bedrijfsfout = CCP fout. En je kan gerust wel zeggen dat het not done is om te zeggen dat de CCP een fout maakt, toch zeker als je daar woont.

In de US zit het dan weer anders, daar is een gigantische claim cultuur waarbij toegeven dat het een interne fout = bedrijf fout = mogelijke claim.

Dat zijn slechts 2 voorbeelden in een veel groter verhaal maar zoals al in andere comments opgemerkt, 49% vs 2% vs 8%, de verschillen zijn veel te groot om conclusies uit te trekken.
Cultuur doet enorm veel. Bij ons in de firma passen we primair een "no blame culture" toe. Maak je een fout, meld het zodat we eruit kunnen leren. Is de fout niet opzettelijk dan zal men je dat ook niet kwalijk nemen. Ja, we hebben daarmee een stijging in het aantal security incidenten en meer werk daarom, maar het geeft ook meer inzichten in wat er allemaal misloopt en we lossen daardoor problemen op.

Je wordt dus niet voor schut gezet, alles behalve.

Maar wat je vaak in de culturen in het verre oosten ziet is dat fouten niet getolereerd worden, zelfs al is er geen opzet bij betrokken. Er ontstaat een vorm van zelfcensuur waardoor men fouten verzwijgt omdat men denkt dat anderen anders gaan oordelen over jouw. En in bepaalde landen wordt je zelfs voor kleine fouten vaak zwaar gestraft. Een heel mooi voorbeeld daarvan is het dodelijke treinongeval in de buurt van Osaka in 2005 waarbij een treinbestuurder die ochtend al 2 fouten had gemaakt en ook nog eens wat vertraging had opgelopen die hij dus hoopte goed te maken om zo hopelijk niet opnieuw zwaar gestraft te worden door zijn oversten.
Vanuit de praktijk waar ik werk focussen we ons veel op ransomware incidenten. Azië is hier maar een kleine percentage van de gerapporteerde incidenten. We zien dat ransomware groepen veel liever slachtoffers in de Americas of Europa hebben gezien die meer bereid zijn om te betalen.

Azië loopt op het gebied van informatiebeveiliging al een aantal jaar achter op het westen met als uitzondering Singapore, Zuid-Korea en China. De verwachting is wel dat we over 3-5 jaar een flinke groei gaan zien in meldingen vanuit de APAC-regio.
Is dat omdat er intern minder voorzichtig te werk gegaan wordt.
Of zijn er veel minder externe oorzaken?

Want dat kan een goede andere betekenis hebben van de cijfers.
Of worden in Europa interne security-incidenten wél gemeld en in de rest van de wereld niet (of veel minder)?
En wat wordt als incident gezien? Zullen ze in Azië een mailtje naar de verkeerde ontvanger als een even groot probleem zien als in Europa?
Titel spreekt over Europa, rest van het artikel over EMEA, dat is nogal een groot verschil.
Bij zo'n interne dreiging gaat het om problemen veroorzaakt door fulltime werknemers, aannemers, stagiairs en ander personeel. Dergelijke mensen worden vertrouwd en hebben vaak privileges, die misbruikt kunnen worden
Joh meen je dat nou? het is de laksheid van de betreffende werknemer om zonder enige vorm van rekenschap of nadenken maar iets te doen of aan te klikken of zodanig iets dergelijks dat de veiligheid van een bedrijf en de classificatie die intern behoort te blijven flink op het spel zet.

Zulke typerende individuen dienen gekaderd toegang te krijgen waar ze voor moeten werken etc. om schade tot aan de afkadering beperkt te houden. als ik kijk naar waar ik werk is de veiligheid een behoorlijk stuk hoger al zal het nooit altijd 100% zijn.

ik zie te veel lekken van data de afgelopen tijd en daar staat dit mee in contrast. lekken worden vooralsnog te maak gemaakt of gecreëerd door medewerkers intern omdat zij een phishing mail niet herkennen of daarop volgend niet de mogelijke phishingmail door sturen naar IT en uit domme lakse nieuwsgierigheid alsnog op een link in een mail gaan klikken of tijdens het werk op diverse webpagina's gaan kijken die mogelijk discutabel kunnen zijn

en zo zie je maar tijdens dat ik dit bericht typ is de volgende lek al weer gemeld:
nieuws: 'Datalek zorgbedrijf VS mogelijk gemaakt via gestolen Citrix-login'

[Reactie gewijzigd door JoHnnY-Btm op 23 juli 2024 00:37]

de (het) volgende lek
Nou, het lek was in februari, de rechtmaak is nu bezig.
De vraag is of het aantal incidenten gelijk is gebleven of is gedaald? Als het totaal aantal incidenten gedaal is, vind ik dit een logisch gevolg. Menselijke fouten zijn een stuk minder makkelijk op te lossen. Maar eigenlijk wil je dat 100% van de incidenten een interne oorzaak heeft. Hierbij kun je in ieder geval zeggen dat al de systemen veilig genoeg blijken te zijn. De enige manier om deze incidenten op te lossen is de zwakste schakel weg te halen, de mens zelf.
Verizon, diezelfde toko waar interne medewerkers sim swaps faciliteren?

Op dit item kan niet meer gereageerd worden.