Onderzoek: ‘Belangrijke persoonlijke gezondheidsinformatie in gevaar’

Netskope publiceert het Autumn 2015 Netskope Cloud Report over het gebruik van en trends rondom cloudapplicaties door bedrijven. Voor het eerst zijn de resultaten van het rapport opgedeeld in sectoren, waaronder gezondheidszorg en life sciences, financiële diensten, banken en verzekeraars, retail, restaurants en hospitality, productie, en technologie- en IT-diensten. Uit het rapport blijkt dat de gezondheidszorg- en life sciences-sector – van alle miljarden onderzochte gevallen – verantwoordelijk is voor 76,2 procent van alle Data Loss Prevention (DLP)-policyovertredingen in de cloud.

Van de verschillende gevallen van data waarmee onvoorzichtig is omgesprongen in de gezondheidszorg en life sciences, blijkt beschermde gezondheidsinformatie (protected health information: PHI) alarmerend vaak onderwerp van policyovertredingen, namelijk in 68,5 procent van de gevallen. PHI omvat gevoelige informatie over gezondheidsstatus of gebruik en kosten van gezondheidszorg, die kan worden gelinkt aan specifieke individuen. Persoonsgegevens (personally-identifiable information: PII) zijn in 13,7 procent van de gevallen onderhevig aan misbruik. De technologie- en IT-dienstensector staat op de tweede plaats voor wat betreft het hoogste aantal overtredingen, met 14,2 procent. 

Zakelijk gebruik van cloudapplicaties blijft groeien

Uit het rapport blijkt dat het gemiddelde aantal gebruikte cloudapplicaties van bedrijven is gegroeid met 26 procent naar een totaal van 608 applicaties, tegenover 483 applicaties in het Summer 2015 Netskope Cloud Report. 89,9 procent van deze apps is niet geschikt voor bedrijven, mist belangrijke functies zoals beveiliging, controle en certificering, service-levelovereenkomsten, haalbaarheid op het gebied van wetgeving, financiën en privacy, en verbetering van kwetsbaarheden. De technologie- en IT-dienstensector heeft binnen specifieke sectoren veruit het hoogste aantal applicaties in gebruik, met een gemiddelde van 1.157 applicaties per bedrijf. De gezondheidszorg- en life sciences-sector staat op de tweede plaats met 1.017 cloudapplicaties in totaal.

Hoewel activiteiten zoals het downloaden en delen van informatie vaak in verband worden gebracht met cloudopslag-apps, komt het lekken van data en blootstelling van gegevens ook vaak voor in belangrijke app-categorieën zoals human resources (HR) en business intelligence. ‘Downloaden’ is de op vier na meest voorkomende activiteit in HR-applicaties en ‘delen’ is de topactiviteit in business intelligence-cloudapplicaties.

“In de nasleep van een aantal grote datalekken en dataverliezen zien we dat men op zowel bestuursniveau als daaronder het belang inziet van beter inzicht en wetgevingen om cloudgebruik te controleren en gevoelige data te beschermen”, zegt Sanjay Beri, medeoprichter en CEO van Netskope. “Door beter inzicht in wanneer en hoe policyovertredingen over het algemeen optreden, krijgen bedrijven een gedetailleerd beeld van cloudapplicatiesystemen en hun respectievelijke sectoren en kunnen zij risico’s beter ondervangen.”

Onderverdeling van DLP-overtredingen per sector

Netskope onderzocht anonieme data binnen het Netskope Active Platform en ontdekte gevoelige informatie met DLP-policyovertredingen opgeslagen in officieel goedgekeurde cloudapplicaties, en onderweg naar of vanaf verschillende officiële en officieuze cloud-apps. In totaal was 9,4 procent van alle onderzochte bestanden in officiële cloud-apps in overtreding met een DLP-regel, in verhouding tot 17,9 procent in het rapport van vorig seizoen. De vermindering in het aantal overtredingen toont aan dat organisaties proactiever worden in het opsporen en beschermen van gevoelige data in de cloud, en daarbij gebruik maken van een combinatie van e-discovery, gegevensversleuteling en geïsoleerde werkstromen. Onderstaande grafiek illustreert de vermindering in het aantal DLP-policyovertredingen in officiële cloud-apps en het percentage per sector. 

Belangrijkste DLP-policyovertredingen binnen het Netskope Active Platform

Wanneer we dieper ingaan op de verschillende soorten overtredingen, blijkt dat PHI-overtredingen de lijst van DLP-policyovertredingen in cloudapplicaties binnen het Netskope Active Platform aanvoeren, met 68,5 procent. Volgens de Health Insurance Portability and Accountability Act (HIPAA) zijn achttien categorieën van gevoelige data gecategoriseerd als PHI, inclusief details over zorgverzekeringen en persoonlijke contactinformatie. Zoals in de grafiek hierboven te zien is, zijn gezondheidszorg- en life sciencesbedrijven (samen 27,6 procent van de gebruikers van het Netskope Active Platform) verantwoordelijk voor een groot deel van het totale aantal DLP-policyovertredingen, met 76,2 procent in totaal. Retailbedrijven, restaurants en hospitality-bedrijven (samen 6,5 procent van de Netskope-gebruikers) zijn verantwoordelijk voor 6,7 procent van alle overtredingen.