Gewoonten op de werkplek zorgen ervoor dat organisaties kwetsbaar zijn voor cyberaanvallen

Slechte wachtwoordhygiëne op de werkplek was ook al voor de wereldwijde coronapandemie een bedreiging. Toen corona organisaties wereldwijd dwong om snel werkplekken thuis in te zetten en te beveiligen, begonnen teams vanaf thuis verbinding te maken met bedrijfsbronnen, in omgevingen waar hun werkgevers geen controle over hadden, vaak via hun eigen apparaten.

Ondervraagden van het onderzoek van het Ponemon Institute over cyberbeveiliging in het tijdperk van thuiswerken: een wereldwijd risicorapport, uitgevaardigd door Keeper Security in 2020, spraken hun grote zorgen uit over de wachtwoordbeveiliging in hun organisaties:

• 60% van de ondervraagden gaf aan dat hun organisaties in de afgelopen 12 maanden last hadden gehad van een cyberaanval.
• Meer dan 50% van deze aanvallen betrof gestolen aanmeldingsgegevens.
• De diefstal van IT-middelen veroorzaakte 5 miljoen dollar of meer aan schade voor 25% van de bedrijven.

De pandemie dwong organisaties om snel een keur aan nieuwe technologieën in te zetten om externe werknemers verbonden te houden, samen te laten werken en überhaupt aan het werk te houden. Van Zoom tot Google Workspace tot Slack, werknemers moesten zich voor nog meer online accounts registreren - en nog meer wachtwoorden bijhouden.

Keeper vroeg zich af hoeveel wachtwoordbeveiliging was veranderd sinds bedrijven waren overgegaan op thuiswerkomgevingen. Volgden de thuiswerkers de beste praktijken om hun wachtwoorden te beveiligen, of vielen ze ten prooi aan 'wachtwoordmoeheid' en hielden ze er slechte gewoonten op na die leidden tot aanzienlijke cyberbeveiligingsrisico's? Daarom heeft Keeper, in samenwerking met Pollfish, het onderzoek naar wanpraktijken inzake wachtwoorden op de werkplek uitgevoerd.

Terwijl Ponemon bedrijfsleiders ondervroeg, besloten wij om direct naar de werknemers te gaan voor dit onderzoek. We ondervroegen 1000 fulltime werknemers in de VS over hun wachtwoordgewoonten. Het onderzoek werd in februari 2021 afgerond en bestond alleen uit individuen die wachtwoorden gebruikten om zich aan te melden bij werkgerelateerde online accounts.

Hierna vindt u de belangrijkste uitkomsten van het onderzoek. U kunt ook de volledige gegevens hier bekijken.

Uitkomst 1: de werknemers in de VS houden hun aanmeldingsgegevens op een onveilige manier bij en slaan ze evenzeer onveilig op

Ons onderzoek wees uit dat de werknemers in de VS niet de beste praktijken volgden bij het opslaan en bijhouden van hun werkgerelateerde wachtwoorden, wat grote cyberbeveiligingsrisico's opleverde voor hun werkgevers

• Meer dan de helft van de ondervraagden (57%) gaf toe dat werkgerelateerde online wachtwoorden werden opgeschreven op 'plakbriefjes', en tweederde (67%) gaf toe dat deze briefjes wel eens kwijtraakten. Naast het zichtbaar voor iedereen die in hun huis woont of er op bezoek is laten liggen van vertrouwelijke bedrijfsinfo, schaadt dit de organisatorische efficiëntie. Verloren plakbriefjes betekent verloren wachtwoorden, wat resulteert in helpdesk-tickets om de betreffende wachtwoorden te resetten.
• 62% van de ondervraagden slaat aanmeldingsgegevens op in een notitieblok of in een schrift, en de overgrote meerderheid (82%) zegt dat ze deze notitieblokken naast of in de buurt van hun werkapparaten bewaart, waar ze toegankelijk zijn voor iedereen die in hun huis woont of er op bezoek is.

Een pen en papier gebruiken om wachtwoorden bij te houden is in de wereld van het thuiswerken zelfs een nog groter probleem. De meeste werknemers (66%) zeggen dat het waarschijnlijker is dat ze werkgerelateerde wachtwoorden opschrijven als ze vanuit huis werken dan als ze op kantoor zijn

Zelfs met gebruik van digitale methoden om hun wachtwoorden bij te houden en op te slaan, houden werknemers in de VS er slechte wachtwoordbeveiligingspraktijken op na.

• Bijna de helft van de ondervraagden (49%) slaat werkgerelateerde wachtwoorden in een document in de cloud op.
• Net iets meer dan de helft (51%) geeft aan dat ze momenteel deze wachtwoorden in een document bewaren dat is opgeslagen op hun computer.
• 55% slaat werkgerelateerde wachtwoorden op de telefoon op.

Wachtwoorden opslaan in niet-versleutelde bestanden is extreem risicovol. Het enige wat een cybercrimineel hoeft te doen, is de cloudopslag, computer of een mobiel apparaat hacken, en dan heeft hij toegang tot alle wachtwoorden van de werknemer.

Uitkomst 2: de werknemers in de VS maken zwakke, makkelijk te raden wachtwoorden

Een sterk, willekeurig wachtwoord bestaat uit een willekeurige reeks hoofd- en kleine letters, getallen en speciale tekens. Veel ondervraagden gaven toe dat ze wachtwoorden gebruiken met persoonlijke details, die cybercriminelen heel eenvoudig op sociale media kunnen vinden.

• Meer dan een derde (37%) van de ondervraagden gebruikte de naam van de werkgever in een werkgerelateerd wachtwoord.
• Meer dan een derde (34%) heeft de naam van zijn of haar wederhelft, of verjaardag, gebruikt.
• Bijna een derde (31%) heeft de naam of verjaardag van een kind gebruikt.

Hergebruik van wachtwoorden bij persoonlijke en werkgerelateerde accounts heeft een groot cyberbeveiligingsrisico opgeleverd voor bedrijven, waarbij 44% van de ondervraagden toegaf dat ze wachtwoorden hergebruiken voor zowel privé als werkgerelateerde accounts. 53% gaf toe dat ze persoonlijke accounts met wachtwoordbescherming op hun werkapparaten bewaarden.

Uitkomst 3: de werknemers in de VS delen werkgerelateerde wachtwoorden met onbevoegde partijen

Veel werknemers in de VS zijn niet echt kieskeurig als het gaat om degenen waarmee ze werkgerelateerde wachtwoorden delen. De organisatie loopt zo het risico op een gegevenslek als deze wachtwoorden in handen komen van iemand die er onzorgvuldig mee omgaat of kwade bedoelingen heeft.

• In het afgelopen jaar heeft 14% van de ondervraagden werkgerelateerde wachtwoorden gedeeld met hun wederhelft of partner.
• 11% van de ondervraagden heeft werkgerelateerde wachtwoorden gedeeld met een ander gezinslid.

Zelfs als er geen sprake is van een gegevenslek kan een werkgever nalatig worden bevonden en grote boetes krijgen als wordt ontdekt dat onbevoegde partijen door naleving beschermde gegevens hebben bekeken.

Uitkomst 4: werkgevers in de VS zorgen er niet voor dat wachtwoorden veilig worden gedeeld en/of alleen met bevoegde partijen

Ons onderzoek wees uit dat gedeelde wachtwoorden op de werkplek veel voorkomen.

• Bijna de helft van de ondervraagden (46%) meldt dat hun bedrijf wachtwoorden deelt voor accounts die worden gebruikt door meerdere mensen.
• Meer dan een derde (34%) heeft werkgerelateerde wachtwoorden gedeeld met collega's in hetzelfde team.
• Bijna een derde (32%) heeft werkgerelateerde wachtwoorden gedeeld met managers.
• 19% heeft wachtwoorden gedeeld met het leidinggevende team.

Het beste wat u kunt doen is elke gebruiker een uniek wachtwoord geven voor elk werkgerelateerde account of elke app. Dit kan praktisch plaatsvinden door het gebruik van een Enterprise Password Management (EPM)-platform. Wachtwoorden delen op de werkplek is veilig als de wachtwoorden veilig worden gedeeld, en als wachtwoorden alleen worden gedeeld met bevoegde partijen.

Onze onderzoeksresultaten geven aan dat veel werkgevers in de VS geen risicobeperkingsstrategieën gebruiken om te zorgen voor veilige deling van wachtwoorden.

• De meerderheid van de ondervraagden (62%) meldt het delen van een werkgerelateerd wachtwoord via sms of e-mail, wat onderschept kan worden door cybercriminelen tijdens het verzenden.
• Bijna een derde van de ondervraagden (32%) geeft toe dat ze wel eens een online account van een vorige werkgever gebruiken, wat betekent dat veel werkgevers accounts niet uitschakelen wanneer werknemers het bedrijf verlaten.

Conclusie

Door een wachtwoordbeheerplatform voor grote ondernemingen zoals Keeper Enterprise te gebruiken en implementeren, zouden de wanpraktijken met wachtwoorden zoals aangetoond in dit onderzoek verleden tijd kunnen zijn. Keeper’s zero-knowledge wachtwoordversleutelings- en zero-trust kader biedt geavanceerd wachtwoordbeheer, veilig delen en andere beveiligingsmogelijkheden.

IT-beheerder en leiders krijgen complete zichtbaarheid op en controle over wachtwoordpraktijken van werknemers, waaronder:

• Exclusief, eigen zero-knowledge beveiligingsmodel en zero-trust kadersysteen; alle gegevens die worden verzonden en in ruste worden versleuteld; ze kunnen niet worden bekeken door Keeper Security-werknemers of een externe partij.
• Snelle toevoeging op alle apparaten, zonder apparatuur vooraf of installatiekosten.
• Gepersonaliseerde toevoeging en dag en nacht ondersteuning, en training van een speciale supportspecialist.
• Ondersteuning voor RBAC, 2FA, auditing, gebeurtenisrapportage en meerdere nalevingsnormen, waaronder HIPAA, DPA, FINRA en AVG.
• Zorg voor veilige gedeelde mappen, submappen en wachtwoorden voor teams.
• Single Sign-On (SAML 2.0)-authenticatie
• Offline kluistoegang inschakelen wanneer SSO niet beschikbaar is.
• Verstrek kluizen dynamisch via SCIM.
• Configureren voor High Availability (HA).
• Geavanceerde twee-factor-/multi-factor-authenticatie.
• Active Directory en LDP sync.
• SCIM en Azure AD-toevoeging.
• Ontwikkelaars-API's voor wachtwoordroulering en backend-integratie.