In de publicatie lijken twee zaken centraal te staan. De eerste is dat medewerkers te makkelijk toegang hebben tot heel veel gevoelige data. Het zou gaan om een risico dat in maar liefst 64 procent van de onderzochte bedrijven bestaat.
Medewerkers die makkelijk bij dit soort gevoelige data kunnen komen lopen meer kans door cybercriminelen onder vuur genomen te worden. Daarbij gaat het om de werkplek maar ook om de privé omgeving.
Dataveiligheid
Tweede belangrijke constatering in het rapport is dat het versneld homeoffice invoeren ook bij de financials heeft geleid tot grote risico’s. Het begrip dat hier wordt gebruikt is dataveiligheid. De werkgever en de security afdelingen kunnen die remote werkplekken moeilijker controleren. Hoe de medewerker thuis omgaat met updates, met locken van het scherm of het bewaren van aantekeningen is al eerder en ook voor andere sectoren aangemerkt als een punt van aandacht. Finance is daarbij een zwaar gereguleerde sector. De prikkel ook de homeoffice omgeving veilig te maken moet er groter zijn dan in andere sectoren, waar men niet verder zal kijken dan de AVG.
Wachtwoorden en spookaccounts
Verder is nog genoteerd dat wachtwoorden een generiek probleem blijven. Bij 59 procent van de bedrijven die onder de loep zijn genomen zijn, of waren, wachtwoorden in gebruik die nooit verlopen. Een nog grotere groep, 64 procent, houdt niet goed bij welke medewerkers uit dienst zijn of een andere functie met bijhorende toegangsrechten heeft. Gevolg is dat hierdoor letterlijk duizenden spookaccounts geactiveerd blijven. Hier is te weinig controle op, terwijl het een interessante aanvalsvector voor cybercriminelen is.
De vraag waarom die spookaccounts, een heel bekend verschijnsel, zo vaak voorkomen is niet beantwoord. Omdat Varonis sterk in Duitsland is kan een verklaring zijn dat het gaat om een samenloop van omstandigheden. De finance sector is er massaal overgestapt naar homeoffice, wat veel ressources vergt en daarbij heeft mogelijk niet elk bekend risico aandacht gekregen. Voor die maatregel was namelijk al sprake van forse saneringen in het personeels- en filiaalbestand. Cybercriminelen zullen dat alleen maar extra interessant vinden en de risico’s aandachtig bestuderen.
