Niet hackers of virussen, maar het eigen personeel, is het grootste securitygevaar, vindt een derde van de Nederlandse managers. Acht procent van hen meldt succesvolle hacks op het bedrijf de laatste twee jaar.

Dat zijn enkele conclusies uit het Webwereld Security Onderzoek in samenwerking met NUzakelijk.nl en Security.nl dat vandaag is onthuld. Het onderzoek werd eind vorig jaar gehouden onder 2400 ondervraagden, zowel 'gewone' werknemers als 'beslissers' op securitygebied. Een derde van de laatste groep noemt het lekken van vertrouwelijke informatie door het eigen personeel als de 'grootste bedreiging voor de toekomst'.

Onbewust lekken door medewerkers noemt 25 procent, bewust lekken noemt 9 procent. Bescherming van vertrouwelijke gegevens vindt 19 procent het grootste gevaar, gevolgd door aanvallen door hackers (14%), spam (6%) en bedrijfsspionage (6%).

De angst voor informatielekken lijkt overigens terecht. Bij zestien procent van de bedrijven brachten medewerkers al eens, bewust of onbewust, gevoelige gegevens naar buiten, stellen de managers. In de gezondheidszorg is dat aantal het hoogst (26%).

Meer controle en gebrek aan beleid

Als gevolg van het argwaan tegen de eigen medewerkers voeren bedrijven de controle op. Surfgedrag van personeel wordt door 18% van de bedrijven continu gemonitord en door 29% incidenteel gevolgd. Hoe groter de organisatie, hoe vaker het surfgedrag wordt gecheckt. Grote bedrijven blokkeren ook relatief veel vaker websites op de werkplek. In totaal blokkeert bijna de helft van de organisaties sites. Het vaakst geweerd worden YouTube en Hyves.

Maar uit het Webwereld Security-onderzoek komt ook naar voren dat de angst voor het gedrag van het personeel, en het monitoren of blokkeren van internetverkeer, in schril contrast staat met het gebrek aan beleid op allerlei punten. Die lacunes kunnen juist leiden tot lekken van informatie. Zo zegt 82% van de medewerkers nog gewoon usb-sticks of andere informatiedragers op de kantoor-pc te kunnen gebruiken, ondanks de bekende risico's. Ook kan 31% nog altijd zijn eigen laptop inpluggen op het interne netwerk.

Encryptie wordt nog in zeker de helft van de bedrijven niet gebruikt, terwijl bijna de helft van de medewerkers zegt gevoelige informatie door te sturen naar privé-mailadressen. Ook worden medewerkers weinig bijgeschoold: maar 14% krijgt een security-cursus.

Regels vaak onbekend

Ook op andere punten schiet het securitybeleid van veel bedrijven danig te kort. Daardoor denken medewerkers, vaak ten onrechte, dat iets wel mag. Dat geldt voor chatten, het gebruik van online office-diensten, het meedoen op sociale netwerkesites of het webloggen over het werk. Circa een derde van de bedrijven heeft over dit soort fenomenen nog altijd geen beleid gevormd.

Bovendien is het securitybeleid dat er wel is bij de werknemers lang niet altijd bekend. Maar 54% weet wel wat het beleid inhoudt. Onduidelijkheid bestaat er ook over de kosten van de netwerk- en computerbeveiliging: 40% geeft geen antwoord op de vraag hoeveel er per jaar per werkplek wordt besteed aan beveiliging. Bij grote organisaties is dat zelfs 52%.

Zeventien procent van de bedrijven zegt in het onderzoek dagelijks te maken te hebben met aanvallen van virussen en andere malware. Een derde juist bijna nooit. Acht procent van de bedrijven is de afgelopen twee jaar met succes gehackt, zeggen de ondervraagden.

Youtube

Liever dan een doorwrocht beleid, stellen bedrijven liever regeltjes op. In totaal kiest 45% van de bedrijven ervoor om toegang tot bepaalde websites te blokkeren. Youtube wordt het meest geblokkeerd: 19% van de bedrijven die blokkeren, schermen toegang tot de videosite af. Hyves wordt door 17% geblokkeerd. Bij 45 procent is er bovendien een verbod op chatsoftware zoals Windows Live Messenger.

Het onderzoeksrapport van het Webwereld Security Onderzoek in samenwerking met NUzakelijk.nl en Security.nl is voor geregistreerde bezoekers beschikbaar als een gratis download op de nieuwe Security Zone van Webwereld.