22 oktober 2013 -
Ruim de helft van de Nederlandse werknemers (57 procent) van 21 tot 32 jaar kiezen ervoor om beleidsregels te breken als deze gaan over het beperken van het zakelijke gebruik van privétoestellen (BYOD), Cloud-opslagdiensten en ‘wearable devices’ . Wereldwijd gaat het om 51 procent. Dat blijkt uit onderzoek van Fortinet naar de toenemende bereidheid van het overtreden van beleidsregels onder personeelsleden van Generatie Y.
Het onderzoek bekijkt hoe deze generatie omgaat met het overtreden van beleidsregels van het gebruik van privétoestellen, persoonlijke Cloud opslagdiensten en nieuwe, ‘slimme’ gebruiksvoorwerpen, zoals smart watches, Google Glass en auto’s met internetverbinding. Het onafhankelijke onderzoek vond in oktober 2013 plaats in twintig verschillende landen onder 3.200 personeelsleden de leeftijdscategorie van 21 tot en met 32 jaar. Uit het onderzoek blijkt een toename van 42 procent in de bereidwilligheid om gebruiksregels te overtreden ten opzichte van een soortgelijk onderzoek dat Fortinet vorig jaar uitvoerde1. Het nieuwe onderzoek beschrijft ook in hoeverre Generatie Y het slachtoffer is van cybercrime op hun privétoestellen, in hoeverre men bekend is met bedreigingen en de veelvoorkomende gewoonte van deze groep om bedrijfsinformatie op te slaan in persoonlijke Cloud-accounts.
Overtreding is een sterke trend
Ondanks de positieve instelling van de respondenten over het feit dat hun werkgever voorziet in een BYOD-beleid, en 45 procent van hen van mening is dat dit hen ‘krachtiger’ maakt (37 procent in Nederland), zegt 51 procent van hen dat zij elke beleidsregel zouden overtreden die het gebruik van privétoestellen verbied op het werk of voor werkdoeleinden. In Nederland komt dit aantal neer op 57 procent. Deze verontrustende bereidheid om maatregelen te negeren die tot doel hebben om zowel de werknemer als de werkgever te beschermen, komt ook terug op andere vlakken van privégebruik van IT. Zo zegt 36 procent van de respondenten die een eigen, persoonlijke Cloud-opslagdienst (bijvoorbeeld DropBox) gebruikt voor werkdoeleinden, dat zij regels die dit willen voorkomen zouden overtreden. In Nederland is dit ietsje minder, namelijk 33 procent. Wat betreft nieuwe producten die mode, accessoires en gebruiksvoorwerpen combineren met (internet) technologie, zoals Google Glass en slimme horloges, is bijna de helft, namelijk 48 procent wereldwijd (maar slechts 35 procent in Nederland) van de respondenten bereid om beleidsregels te overtreden die het zakelijke gebruik daarvan willen beperken.
Draagbare technologie doet intrede op de werkvloer
Naast draagbare computers zoals smartphones en tablets, die in het Engels ‘portable’ zijn, komen er ook steeds meer ‘slimme’ producten die draagbaar zijn, in de zin van de Engelse term ‘wearable’. Voorbeelden hiervan zijn horloges en brillen, maar ook kleding en andere gebruiksvoorwerpen, met internetverbinding en communicatietechnologie. De vraag hoe lang het zal duren voordat dergelijke producten gemeengoed worden op het werk of voor werkdoeleinden, antwoordt zestien procent van de respondenten ‘nu’ en nog eens 33 procent van hen ‘zodra deze producten goedkoper worden’. In Nederland zijn we iets behoudender, en zijn de percentages respectievelijk acht procent en 32 procent. Slechts acht procent van alle deelnemers (en dertien procent in Nederland), denkt niet dat deze producten ooit gemeengoed worden op de werkvloer.
Gebruik van persoonlijke Cloud-diensten voor gevoelige bedrijfsgegevens is heel normaal
Maar liefst 89 procent van de deelnemers aan het onderzoek heeft een privéaccount bij tenminste een Cloud-opslagdienst, in Nederland zijn hebben 74 procent van de ondervraagden een privé Cloud-account. Daarvan hebben 41 procent een account bij DropBox, wereldwijd ligt dat op 38 procent. Wereldwijd gebruikt 70 procent de privéaccount voor werkdoeleinden, hier lokaal slechts 41 procent. Een op de acht van hen bevestigt dat zij werkgerelateerde wachtwoorden in deze accounts opslaan, zestien procent van hen slaat financiële gegevens op , 22 procent bedrijfskritische, privacygevoelige documenten zoals contracten en bedrijfsplannen (achttien procent in Nederland) en 33 procent van hen slaat klantengegevens op in de persoonlijke Cloud-opslagdienst, in Nederland is dit slechts acht procent.
Bijna een derde (32 procent) van de gebruikers van Cloud-opslagdiensten zegt dat zij de Cloud volledig vertrouwen voor het opslaan van hun privégegevens, terwijl slechts zes procent de Cloud-diensten wantrouwt. In Nederland, zijn deze cijfers respectievelijk 21 procent en veertien procent.
Bekendheid met risico’s ontbreekt
Op de vraag of hun toestellen ooit zijn aangevallen door cybercriminelen of malware en wat de gevolgen daarvan waren, antwoordt ruim 55 procent van de respondenten dat er een aanval heeft plaatsgevonden op hun persoonlijke Pc of laptop (43 procent in Nederland). Ongeveer de helft van deze aanvallen had negatieve gevolgen zoals verlaagde productiviteit en/of verlies van privé- of bedrijfsgegevens. Aanvallen vinden veel minder plaats op smartphones (negentien procent wereldwijd en veertien procent in Nederland), en zorgen maar een beetje meer voor extra verlies van data of productiviteit, dan bij het verlies van Pc’s en laptops. Dat is verrassend aangezien veel meer respondenten de verantwoordelijkheid hebben over een smartphone dan over laptops of Pc’s. Hetzelfde percentage geldt voor tablets (negentien procent wereldwijd en dertien procent in Nederland), maar met een grotere impact, aangezien 61 procent (47 procent in Nederland) van deze aanvallen ingrijpende gevolgen had.
Een van de verontrustende bevindingen van het onderzoek is dat veertien procent van de respondenten zegt dat men de werkgever niet op de hoogte zou brengen als er inbreuk werd gemaakt op een privétoestel dat men zakelijk gebruikt.In Nederland scoren we nog hoger, maar liefst 27 procent van onze jonge werknemers zouden in dit geval hun werkgever niet op de hoogte brengen.
Het onderzoek keek ook naar de ‘bekendheidniveaus’ voor verschillende beveiligingsrisico’s. Daaruit blijkt dat er twee tegenovergestelde extremen zijn: volledige onwetendheid en volledige bekendheid. Het gebied daartussen bestaat uit gemiddeld 27 procent van de respondenten met een minimale kennis van de risico’s (33 procent in Nederland). Op vragen over bedreigingen zoals APT’s, DDoS, Botnets en Pharming, lijkt 52 procent helemaal niet bekend te zijn met dergelijke bedreigingen (71 procent in Nederland). Voor de IT-afdelingen is er dus nog veel werk te verzetten om betere voorlichting te geven over de bedreigingen en de gevolgen daarvan.
Gebruik en risicobekendheid
Het onderzoek wijst ook op een directe correlatie tussen BYOD-gebruik en bekendheid met de risico’s. Hoe vaker BYOD voorkomt, hoe beter het personeel de risico’s begrijpt. Dit is een positieve bevinding voor organisaties die overwegen of/wanneer men beleidsregels, tegelijkertijd met risicotrainingen, wil invoeren.
Theo Schutte, country manager Fortinet Nederland: "Het onderzoek van dit jaar toont de vraagstukken waarmee organisaties geconfronteerd worden wanneer zij beleidsregels willen hanteren rond BYOD, het gebruik van Cloud-applicaties en, op korte termijn, nieuwe slimme producten. Uit het rapport blijkt ook dat de uitdaging voor IT-managers nog groter is wat betreft het weten waar bedrijfsgegevens zijn opgeslagen hoe deze gebruikt worden. Het is nu, meer dan ooit, vereist dat beveiligingsinformatie toegepast wordt op netwerkniveau om de controle over gebruikersgedrag voor apparaten en applicaties altijd en overal te waarborgen."
"Het is verontrustend dat de bereidheid om beleidsregels te overtreden zo groot is en zo sterk toeneemt, evenals het aantal keren dat gebruikers van Generatie Y het slachtoffer zijn van cybercrime. Aan de andere kant is het positief dat ongeveer 80 procent accepteert dat zij de plicht hebben om de beveiligingsrisico’s te begrijpen die horen bij het gebruik van privétoestellen. Een ander belangrijk aspect voor het waarborgen van de IT-beveiliging van een organisatie is het voorlichten van personeelsleden over alle mogelijke bedreigingen en de gevolgen daarvan."
