Flink gebrek aan kennis over cybersecurity bij Nederlandse werknemers

Het jaarlijkse State of the Phish-rapport van Proofpoint, een vooraanstaande speler in cybersecurity- en compliance-oplossingen, wijst uit dat meer dan twee derde (69%) van de Nederlandse werknemers bewust het risico nemen om hun organisaties in gevaar te brengen. Dit gedrag resulteert in potentieel schadelijke gevolgen zoals ransomware- of malware-infecties, datalekken, of financieel verlies.

Impact van roekeloos gedrag

Ondanks een lichte daling in succesvolle phishing-aanvallen (84% van de onderzochte Nederlandse organisaties ervoeren minstens één succesvolle aanval in 2023, tegenover 90% in 2022), neemt de impact toe met een alarmerende stijging van 460% in meldingen van financiële sancties, waaronder boetes.

Het rapport benadrukt dat een gebrek aan kennis over cybersecurity leidt tot roekeloos gedrag bij werknemers. Alleen door middel van securitybewustzijnstraining kan dergelijk onveilig gedrag worden voorkomen. Verder onthult het rapport dat de meerderheid van de werknemers zich bewust is van hun verantwoordelijkheid om de organisatie te beschermen, wat wijst op een kloof tussen de beperkingen van individuele securitytechnologieën en het niveau van gebruikerskennis.

Experts aan het woord

Mark-Peter Mansveld, Vice President Northern Europe, Middle East & Israel bij Proofpoint, merkt op: “Het 2024 State of the Phish-rapport toont aan dat het aantal BEC-aanvallen in 2023 licht is afgenomen. Desalniettemin blijft het een van de favoriete aanvalsmethoden van cybercriminelen. Het gebrek aan securitybewustzijn en onvoorzichtig gedrag vormen een aanzienlijk risico voor bedrijven en hun gegevens. Dit is zorgwekkend, gezien het feit dat aanvallen gericht op individuen centraal staan. Het opvoeren van de kennis van medewerkers via training en educatie is dus urgenter dan ooit tevoren.”

Ryan Kalember, Chief Strategy Officer bij Proofpoint, voegt toe: “Cybercriminelen weten dat het uitbuiten van menselijke zwakheden, door nalatigheid, gecompromitteerde identiteiten, of in sommige gevallen door kwaadwilligheid, gemakkelijk is. Individuen spelen een cruciale rol in de securityinfrastructuur van een organisatie. 74% van de inbreuken richt zich immers nog steeds op het menselijke element. Hoewel het bevorderen van een securitycultuur van essentieel belang is, is training alleen niet voldoende. Weten wat te doen en het daadwerkelijk doen zijn twee verschillende zaken. De uitdaging ligt niet alleen in bewustwording, maar ook in gedragsverandering.”

Inzicht in cyberdreigingen

Het 2024 State of the Phish-rapport biedt diepgaand inzicht in het huidige dreigingslandschap, waarbij dreigingsactoren generatieve AI, QR-codes en Multi-Factor Authenticatie (MFA) misbruiken. Dit wordt geïllustreerd door Proofpoint’s analyse van meer dan 2,8 miljard gescande e-mails van 230.000 organisaties wereldwijd, bevindingen van 183 miljoen gesimuleerde phishing-aanvallen die over een periode van twaalf maanden zijn verzonden, en percepties van 7.500 werknemers en 1.050 securityprofessionals uit 15 landen. Deze gegevens tonen hoe attitudes ten opzichte van security zich vertalen naar gedrag in de echte wereld, evenals hoe dreigingsactoren nieuwe tactieken benutten om de huidige beveiligingsinitiatieven te omzeilen.

Belangrijke bevindingen uit het Proofpoint 2024 State of the Phish-rapport voor Nederland zijn onder meer:

  • Werknemers vertonen roekeloos gedrag door gebrek aan securitybewustzijn, waarbij 73% van de ondervraagde werkende respondenten risicovolle acties onderneemt, zoals het delen of hergebruiken van wachtwoorden, het klikken op links van onbekende afzenders, of het verstrekken van gegevens aan onbetrouwbare bronnen, ondanks zich bewust te zijn van de risico’s.

 

  • Er bestaat een verschil in mening tussen IT-teams en medewerkers over het bevorderen van gedragsverandering, met 84% van de ondervraagde securityprofessionals die zich verantwoordelijk voelen voor security, terwijl slechts 66% van de medewerkers dit bevestigt. Hoewel securitytrainingen het bewustzijn vergroten, verschillen de opvattingen over wat effectief is bij het stimuleren van gedragsverandering.

 

  • Multi-Factor Authenticatie (MFA) biedt vaak een vals gevoel van veiligheid, met als resultaat blootstelling van bedrijven aan risico’s. Hoewel meer dan een miljoen aanvallen per maand worden uitgevoerd met een MFA-bypass framework genaamd Evil Proxy, denkt 82% van de securityprofessionals nog steeds dat MFA volledige bescherming biedt tegen accountovername.

 

  • Business Email Compromise (BEC) aanvallen maken gebruik van AI, met 76% van de Nederlandse bedrijven die in 2023 werden getroffen. Hoewel het volume van e-mailfraudepogingen wereldwijd afnam, groeide het in sommige landen, mogelijk als gevolg van generatieve AI die aanvallers in staat stelt om meer overtuigende en gepersonaliseerde e-mails te creëren.

 

  • Cyberafpersing blijft een lucratieve aanvalsmethode, met 72% van de Nederlandse bedrijven die in 2023 werden getroffen door ransomware-infecties, zij het met een daling ten opzichte van het voorgaande jaar.

 

  • De groei van Telephone-oriented attack delivery (TOAD) blijft zich voortzetten. Hoewel TOAD-berichten aanvankelijk onschuldig lijken, initiëren ze de aanvalsketen zodra een argeloze werknemer een frauduleus callcenter belt en persoonlijke informatie prijsgeeft. Proofpoint detecteert gemiddeld 10 miljoen TOAD-aanvallen per maand, met een piek van 13 miljoen incidenten in augustus.

Ondanks de groeiende bekendheid en complexiteit van bedreigingen zoals ransomware, TOAD en MFA-bypass, zijn veel organisaties hier niet voldoende op voorbereid. Slechts 32% van de Nederlandse bedrijven voorziet gebruikers van training in het voorkomen van TOAD-aanvallen, en slechts 18% leert gebruikers over de veiligheid van generatieve AI.

Meer informatie over Cybersecurity?

Download dan hier gratis ons eBook voor meer informatie.

Download het gratis eBook:

Cybersecurity voor bedrijven

Vrijblijvend advies nodig?

Persoonlijk advies nodig voor al uw IT-gerelateerde vragen? Bij OfficeGrip helpen wij u graag! Neem direct contact met ons op of vul het contactformulier in. Wij nemen zo snel mogelijk contact met u op!

Contactformulier

Heeft u een directe vraag? Vul dan ons contactformulier in en onze experts zullen contact met u opnemen!