Volgens gegevens van de Business Digital Index (BDI), verzameld en geanalyseerd door Cybernews, scoort meer dan 67% van alle EU-overheidsinstellingen een D of F (de laagste scores) op het gebied van digitale veiligheid. De meeste medewerkers blijken zelfs de basisprincipes van digitale hygiëne niet te volgen.
De recent gepubliceerde analyse onderzocht 75 verschillende EU-instellingen, organen en agentschappen. Het merendeel behaalde de laagst mogelijke cijfers: 32% kreeg een D en 35% een F. Geen enkele instelling scoorde hoger dan een C.
Het onderzoek identificeerde een reeks gedeelde problemen die bijdragen aan de slechte scores, waarvan de opvallendste was het gebrekkige online veiligheidsgedrag van medewerkers: veelvuldig hergebruik van wachtwoorden, verouderde en/of onveilige systeemconfiguraties en herhaalde datalekken. Van alle instellingen met een F-rating gebruikte 85% van de medewerkers nog steeds wachtwoorden en inloggegevens die al eerder waren gelekt, tegenover 71% bij D-rated organisaties en slechts 8% bij C-rated organen. Bijna de helft (46%) van de laagst beoordeelde instellingen heeft recent een datalek meegemaakt, en vrijwel allemaal hadden ze in het verleden al minstens één datalek gehad (96% van de F-rated entiteiten en 92% van de D-rated).
Hoewel eindgebruikers het grootste risico vormden, was het technisch beheer nauwelijks beter. Vrijwel alle laagst scorende instellingen gebruikten verouderde beveiligingsmaatregelen, waardoor ze kwetsbaar waren voor man-in-the-middle-aanvallen, onveilige hostingomgevingen en misbruik van blootgestelde bedrijfsaccounts.
En deze bevindingen zijn helaas niet louter theoretisch: nog in 2024 werd het PEOPLE-platform van het Europees Parlement getroffen door een groot datalek, waarbij de gegevens van meer dan 80.000 huidige en voormalige medewerkers uitlekten, inclusief ID’s en andere persoonlijke informatie. Het lek bleef maandenlang onopgemerkt, waardoor de slachtoffers langdurig risico liepen.
Volgens de onderzoekers blijven de kwetsbaarheden en slechte digitale gewoontes hardnekkig bestaan, ondanks de extra middelen en bewustwordingscampagnes van de EU om de digitale veiligheid te verbeteren. Op dit moment vallen de meeste officiële EU-instellingen volgens de BDI-methodologie nog steeds in de hoog-risicocategorie van digitale veiligheid.
