I rapporten använder Verizon ordet "Data Breach". Det kan betyda både att data röjs oavskitligt genom att det kommer på avvägar och regelrätta dataintrång. Vi kommer här att översätta Breach med Dataläcka.

Undersökningen gäller stora företag i USA och bygger på över 500 utredningar av dataläckor. Bland andra ingår tre av de fem största läckor som någonsin rapporerats.

En allmän sanning inom IT-säkerhet sedan tio år är att det största hotet kommer innifrån. Men enligt undersökningen berodde 73 procent av dataläckorna på externa källor, 18 procent hade orsaker på insidan. De flesta dataläckage berodde på en kombination av flera händelser, inte ett enstaka hack eller dataintrång.

- Dataläckor och att känsliga data röjs är verklighet och ett ökande problem för organisationer i hela världen. Vår undersökning kan hjälpa företag att förstå dataläckor, hur de uppstår och de gemensamma drag som finns. Men undersökningens viktigaste slutsats är att organisationer måste vara proaktiva i sitt säkerhetsarbete. Det är den absoluta nyckeln till att säkra data, skriver Peter Tippett på Verizon i ett uttalande om undersökningen

Andra uppseendeväckande slutsatser från undersökningen är att 39 procent av dataläckorna orsakades av en affärspartner. 62 procent berodde på betydande interna fel som direkt eller indirekt bidrog till dataläckan. För de dataläckor som var avsiktliga berodde 59 procent på hackande och dataintrång.

Av de som berodde på hackande var 39 procent riktade mot tillämpning (program) och tjänster. 23 procent av hacken gällde operativsystemet. Färre än 25 procent av hacken utnyttjade en känd eller okänd sårbarhet, hävdar Verizon. Men av de sårbarheter som hackare drog nytta av hade det funnits patchar i minst ett halvt år i 90 procent av fallen.

Nio av tio dataläckor innehåller någon form av "okänt". Det kan vara okända system, okända data, okända nätverkskopplingar eller okända privilegier i datasystemet. Tre fjärdedelar av dataläckorna upptäcks också av en tredje part och inte de som är drabbade. De pågår också under en längre tid.

Den grundläggande sanning Verizon pekar på är att om du inte vet var dina data finns kan du heller inte skydda dem.

De råd Verizon ger är att i första hand se till att den policy som finns också efterlevs. I 59 procent av dataläckorna fanns policier och rutiner som utarbetats men som inte följdes.

I andra hand är rådet att skapa en planf för datahantering, "data retention". I 66 procent av fallen läckte data som företagen inte ens visste fanns på deras system.

Övriga råd är att segmentera nätverket, övervaka loggar (hade stoppat 82 procent av dataläckrorna), skapa en plan för incident response, öka medarbetarnas medvetade och öva incidenthantering.

Källa: Verizons rapport (pdf-format)

Läs även:
Identiteter stulna efter dataläcka på sjukhus

Tre stora brittiska dataläckor på kort tid

Best Western hackade