Nederlands personeel wordt onvoldoende getraind op herkenning van cyberaanvallen. Bijna een op de vijf Nederlandse bedrijven traint het personeel niet om cyberaanvallen te herkennen.
Dat blijkt uit het nieuwe The State of Email Security-rapport. Ons land heeft hiermee een serieuze achterstand op bijvoorbeeld de Verenigde Staten, Duitsland en het Verenigd Koninkrijk.
In veel landen zijn securitytrainingen de normaalste zaak van de wereld. Slechts 1 procent van de respondenten uit de VS, Duitsland en het Verenigd Koninkrijk geeft aan dat hun werkgever helemaal geen securitytrainingen aanbiedt.
Voor Nederlands personeel geldt dit voor maar liefst 18 procent van de organisaties. Geen van de andere onderzochte landen, waaronder Australië, Saoedi-Arabië en Zuid-Afrika, komt boven de 3 procent uit.
Trainingsvormen
Ook qua frequentie scoort Nederland duidelijk minder goed dan andere landen. Slechts 12 procent van de Nederlandse respondenten geeft aan dat securitytrainingen op continue basis worden aangeboden. Wereldwijd gebeurt dit binnen bijna een kwart van de organisaties. Wel zijn er flink wat Nederlandse organisaties die het personeel maandelijks (24%) of elk kwartaal (28%) weerbaarder maken tegen cybercriminaliteit.
Het onderzoek keek ook naar de populariteit van diverse trainingsvormen, zoals lijstjes met securitytips, interactieve video’s en onlinetests. In Nederland zijn vooral groepstrainingen met het eigen IT- of securityteam populair. 39 procent van de organisaties maakt gebruik van deze trainingsvorm. Dit percentage ligt wel beduidend lager dan het wereldwijde gemiddelde (59%). Dat geldt voor vrijwel alle trainingsvormen.
Menselijke fouten
Veel Nederlandse bedrijven zijn zich wel bewust van de risico’s rondom onveilig gedrag van medewerkers. Zo geeft 37 procent van de respondenten aan dat er een hoog risico is op ernstige menselijke fouten bij het gebruik van privémail. Ook maken veel IT-professionals zich zorgen bij Nederlands personeel over onbewuste datalekken (36%), een slechte wachtwoordhygiëne (34%) en het gebruik van cloudopslag en andere vormen van schaduw-IT (28%).
Het State of Email Security-rapport laat verder zien dat de digitale gevaren voor Nederlandse bedrijven vergelijkbaar zijn als elders. Zo kreeg een overgrote meerderheid in het afgelopen jaar te maken met phishingaanvallen (96%), impersonatiefraude (92%) en interne bedreigingen of datalekken (86%). Bijna de helft meldt een verstoring van de bedrijfsvoering door een ransomware-aanval, waarvan een kwart zelfs ernstig.
Tips voor een effectief security-awarenessprogramma
Ga uit van de zwakke plekken van de organisatie. Een zorginstelling die veel bijzondere persoonsgegevens verwerkt, loopt andere risico’s dan een retailer die vooral betaalgegegevens verwerkt. Pas daar de trainingen op aan.
Creëer draagvlak door het tonen van urgentie. Het is belangrijk dat alle leidinggevenden achter het programma staan en het personeel enthousiasmeren, bijvoorbeeld via een inspirerende videoboodschap of presentatie.
Integreer de lessen in de praktijk. Securitytrainingen kunnen als erg theoretisch ervaren worden. Gebruik daarom software die herkent wanneer iemand op een schadelijke linkt klikt en meteen een korte opfriscursus aanbiedt.
Benut de kracht van humor. Awarenessprogramma’s stuiten nog weleens op desinteresse. Humor is een krachtig wapen om de aandacht vast te houden. Bovendien blijft lesstof die met humor wordt gebracht vaak beter hangen.
Maak het securitybewustzijn onderdeel van de onboardingprocedure. Slechte gewoonten zijn moeilijk af te leren. Daarom is het wenselijk om bij nieuwe medewerkers direct aandacht te besteden aan security.
Doe een simulatietest. Een organisatie wil natuurlijk weten of de trainingen effectief zijn. Een periodieke phishingtest is hiervoor een goed ijkmiddel. Zo’n simulatie laat ook zien welke werknemers extra training nodig hebben.
Herhaling is de sleutel tot succes. Een eenmalige securitytraining heeft doorgaans weinig zin. Structurele gedragsverandering is alleen te realiseren als de trainingen regelmatig terugkeren. Bij voorkeur elke maand of nog vaker.
