Man kan investere i nok så mange penge i avancerede firewalls og den nyeste malware-beskyttelse, men det har en begrænset effekt, hvis den interne data-beskyttelse er hullet som en si.
Og det er præcis, hvad der er tilfældet i mange virksomheder, fordi medarbejderne har adgang til data og informationer, som de slet ikke burde have adgang til.
Sådan lyder konklusionen i en ny undersøgelse fra det amerikanske Ponemon Institute (PDF).
2.276 medarbejdere fra virksomheder i USA og Europa har deltaget i undersøgelsen. Medarbejderne kommer fra eksempelvis salgsafdelingen, økonomiafdelingen, it-afdelingen og forretningsenhederne.
"Medarbejderne er vidne til en mangel på kontrol af filadgangen og brugen af virksomheds-data," skriver Ponemon blandt andet i rapporten.
Husker du tys tys-kilden?
Det skal bemærkes, at undersøgelsen er sponseret af sikkerhedsfirmaet Varonis. Det er dog en almindeligt kendt problemstilling, at medarbejdere har adgang til alt for mange informationer.
Her i Danmark har vi blandt andet haft skandale-sagen med tys tys-kilden, der udleverede fortrolige data om de kendtes Dankort-transaktioner til Se og Hør.
Generelt er der da også god grund til, at man som virksomhed får styr på, hvem der har adgang til hvilke data - og hvad medarbejderne ikke uden videre skal have adgang til.
"På trods af overfloden af databrud, der påvirker alle virksomheder, er it-afdelingen og slutbrugerne generelt enige om, at medarbejdere ofte har adgang til en masse følsomme data, som de ikke har brug for at have adgang til," lyder det i Ponemon-rapporten.
Der findes mange måder at beskytte data på, så man hindrer, at de - forsætligt eller ej - havner i de forkerte hænder via en medarbejder.
Det er alt lige fra godkendelsesprocedurer og almindeligt arbejde med forskellige adgangsniveauer til data til konkrete it-løsninger, der styrer, om man eksempelvis kan kopiere data ned på en USB-stick eller maile informationerne til folk uden for huset.
Så slemt ser det ud
Konkret svarer 71 procent af respondenterne i Ponemon-undersøgelsen, at de har adgang til for mange fortrolige virksomheds-data.
54 procent siger, at denne form for adgang finder sted meget ofte eller ofte.
Samtidig viser undersøgelsen, at it-afdelingerne ikke mener, at virksomhedens øverste ledelse prioriterer beskyttelsen af data højt.
Og kun 48 procent af it-medarbejderne kan svare ja til spørgsmålet: "Min organisation håndhæver konsekvent sikkerheds-politikker, der relaterer til brug af og adgang til virksomheds-data."
Sådan ser det generelt ud med it-sikkerheden
De fleste virksomheder er dog godt klar over, at de interne trusler ikke skal undervurderes.
Vi har tidligere skrevet om Ernst & Youngs Global Information Security Survey 2014, der er baseret på svar fra topledere fra 1.800 organisationer i 60 forskellige lande og på tværs af alle industrier.
Blandt andet lyder et spørgsmål: "Hvem eller hvad anser du som den mest sandsynlige kilde til et angreb?"
Respondenterne har haft mulighed for at pege på flere ting, og resultatet ser således ud:
Medarbejder: 57 procent.
Ekstern leverandør på en af vores lokaliteter: 35 procent.
Kunde: 10 procent.
Leverandør: 12 procent.
Anden forretningspartner: 14 procent.
Sammenslutninger af kriminelle: 53 procent.
Stats-finansierede angreb: 27 procent.
Hacktivister: 46 procent.
Hacker der arbejder alene: 41 procent.
Læs også:
Den store test af it-sikkerheden: Dumper din arbejdsplads med et brag?
Her er de 46 største (og værste) sikkerhedshistorier fra 2014
Sony på slagtebænken: Her er læren af det katastrofale hackerangreb
