De krochten van internet zijn gevaarlijk zo is de algemene opvatting over de online risico’s die mensen lopen die websites met dubieuze content bezoeken. Die risico’s zijn er nog steeds, maar onderzoek1 laat zien dat bezoekers van gewone, legitieme sites inmiddels een veel grotere kans lopen op besmetting met malware. Ook op een ander gebied zien we een zorgwekkende ontwikkeling: de houding van Generatie Y zorgt voor extra beveiligingsrisico’s.
Het zat er natuurlijk welaan te komen dat malware niet meer beperkt zou blijven tot de beruchte pornografische, farmaceutische of goksites. We zien nu dat bijvoorbeeld zoekmachines, retail sites en social media sites grotere risico’s op malware opleveren. Een veel groter risico zelfs: de kans op besmetting via reguliere winkelsites blijkt 21 keer hoger te zijn dan bijvoorbeeld via sites die vervalste softwarepakketten aanbieden. Via online advertenties (‘malvertising’) is de kans op besmetting nog extremer: die is 182 maal zo hoog als via pornografische advertenties. Cybercriminelen hebben kennelijk nieuwe kanalen voor hun malware ontdekt. Het verschil is natuurlijk wel dat dubieuze sites vaak zijn bedoeld om ook malware te verspreiden.
Een opvallende uitkomst van het onderzoek is dat werknemers van de allergrootste bedrijven 2,5 maal zoveel kans lopen in aanraking te komen met malware op het web, dan werknemers van kleinere bedrijven. Dit verschil is waarschijnlijk terug te voeren op het feit dat deze grote ondernemingen over meer intellectueel eigendom van hoge waarde beschikken en daarom eerder het doelwit worden. Voor de goede orde: hoewel het onderzoek uitwijst dat kleinere bedrijven minder risico lopen om met malware in aanraking te komen, lopen alle bedrijven significante risico’s, ongeacht hun omvang.
Risico’s verschillen per land
Er is ook per land gekeken naar de risico’s op contact met malware, vergeleken met 2011. Ook hier vinden we opmerkelijke uitkomsten. In de Verenigde staten is dat risico het grootst, een derde van het totale aantal malware ‘encounters’ wereldwijd vindt daar plaats. Het verschil met andere landen is groot: Rusland komt op de tweede plaats met net geen 10 procent. Nederland komt met iets meer dan 2 procent op de negende plaats en ten opzichte van 2011 is het risico om met malware in contact te komen gedaald. Duitsland, Denemarken en Zweden scoren veel slechter met een kans die drie tot vier maal zo groot is. Naast de ‘malvertising’ is de toegenomen populariteit van social media en entertainment sites in deze landen een belangrijke reden hiervoor. Kortom, ook cybercriminelen bestuderen onze moderne surfgewoonten en spelen daar feilloos op in.
Keuzevrijheid
Het vervolgonderzoek2 levert inzicht in de meningen van de volgende generatie werknemers: de Generatie Y, waar ik ook in een eerdere blog over heb geschreven. Dit onderzoek, dat ook onder Nederlandse studenten en jonge professionals werd gehouden, geeft meer inzicht in de gevolgen van ‘consumerisation’ voor de IT-beveiliging van bedrijven. Zo stelt Generatie Y bedrijfsculturen en beleidsregels op de proef met verwachtingen over vrijheid ten aanzien van het gebruik van social media, de keuze voor de apparatuur waar zij mee wil werken en de eigen mobiele levensstijl die zij wil volgen. Dat roept om een beveiligingsbeleid en negen van de tien ondervraagde IT’ers geeft aan zo’n beleid te hebben. Maar slechts twee van de vijf van de Generatie Y-respondenten is zich van zo’n beleid bewust. En daarvan zegt 80% zich van het beleid niets aan te trekken.
Spanningsveld
Interessant is nu dat tweederde van de Generatie Y-respondenten vinden, dat de IT-afdeling het recht niet heeft hun online gedrag te monitoren, zelfs als het gaat om door de werkgever verstrekte apparatuur op het bedrijfsnetwerk. En dat terwijl de meeste Gen Y medewerkers van mening zijn dat het tijdperk van privacy voorbij is (91% wereldwijd, in Nederland 80%). Zij hebben er geen probleem mee om persoonlijke informatie te geven in ruil voor sociale interactie online. Zij zeggen zelfs dat ze eerder bereid zouden zijn om persoonlijke informatie te delen met retailsites dan met de IT-afdeling van hun werkgever, die juist als taak heeft om de identiteit en de apparaten van werknemers te beschermen! Toch bang voor een privacy-schending of gewoon voor controle?
Tja, deze nieuwe generatie werknemers heeft er geen probleem mee hun persoonlijke gegevens te verstrekken als ze denken dat hun dat privé voordeel oplevert, in de vorm van een aanbieding, korting of iets dergelijks. Dat een goede beveiliging door de IT-afdeling van hun werkgever ook voordelen oplevert zien zij kennelijk niet. De weerstand tegen het delen van persoonlijke informatie op het werk wijst op een ambivalente houding. Aan iedereen die informatie verstrekken is blijkbaar toch niet de bedoeling.
Ik ben heel benieuwd hoelang Generatie Y – die ongetwijfeld ouder en wijzer wordt – van mening blijft dat het tijdperk van privacy voorbij is.
1) Cisco 2013 Annual Security Report (ASR)
2) Cisco’s Connected World Technology Report (CCWTR)
Michel Schaalje (1970), Technisch Manager, Cisco
