Cyberincidenten waarbij medewerkers een cruciale rol spelen, zijn het afgelopen jaar met maar liefst 90 procent toegenomen. Vrijwel alle organisaties, 93 procent, kregen te maken met aanvallen waarbij cybercriminelen bewust inspeelden op menselijk gedrag. Dat blijkt uit nieuw wereldwijd onderzoek van KnowBe4, gebaseerd op enquêtes onder 700 cybersecurity-leiders en 3.500 medewerkers. De cijfers schetsen een zorgwekkend beeld: ondanks forse investeringen in technologie blijft de mens de zwakste schakel in digitale beveiliging.
E-mail is nog altijd het belangrijkste aanvalskanaal. Bij 64 procent van de organisaties ontstonden cyberincidenten via e-mail, terwijl 57 procent zelfs een verdere toename van e-mailgerelateerde aanvallen rapporteerde. Phishing blijkt daarbij bijzonder effectief. In 59 procent van de gevallen vormde phishing de opstap naar accountovernames, met vaak verstrekkende gevolgen voor bedrijfscontinuïteit en reputatie.
Cyberincidenten
Tegelijkertijd verbreedt het dreigingslandschap zich snel. Cybercriminelen beperken zich niet langer tot e-mail, maar maken steeds vaker gebruik van andere communicatiekanalen. Zo werd 39 procent van de organisaties succesvol aangevallen via messagingplatforms zoals Microsoft Teams en Slack. Ook sociale media, bereikbaar via zakelijke apparaten, vormen een groeiend risico: 36 procent van de organisaties kreeg hiermee te maken. Sms-phishing, ook wel smishing genoemd, trof daarnaast 31 procent van de organisaties. Deze verschuiving leidt tot zogeheten boundaryless phishing, waarbij medewerkers via vrijwel elk digitaal kanaal doelwit kunnen worden.
Nauwelijks grip
Naast externe aanvallen blijken interne dreigingen een hardnekkig probleem. Meer dan een derde van de cybersecurity-leiders, 36 procent, gaf aan dat medewerkers bewust beveiligingsincidenten veroorzaakten. Opvallend is dat organisaties hier nauwelijks grip op hebben: slechts zes procent van deze incidenten werd gestopt voordat schade kon worden aangericht. In veel gevallen ging het om het lekken of verkopen van bedrijfsdata aan concurrenten (43 procent), het online publiceren van gevoelige informatie (37 procent) of het meenemen van data naar een nieuwe werkgever (35 procent).
Ook onbedoelde fouten blijven een structurele risicofactor. Maar liefst 90 procent van de organisaties kreeg te maken met incidenten door vergissingen, zoals verkeerd geadresseerde e-mails, onjuiste opslag van gevoelige gegevens of het delen van vertrouwelijke informatie via samenwerkingsplatforms.
Kloof tussen beleid en perceptie
Het onderzoek laat bovendien zien dat er een duidelijke kloof bestaat tussen beleid en perceptie. Slechts 29 procent van de medewerkers voelt zich persoonlijk verantwoordelijk voor de bescherming van bedrijfsdata. Meer dan de helft, 53 procent, ziet cybersecurity vooral als taak van IT- en securityteams. Bijna de helft van de medewerkers denkt zelfs dat de informatie waarmee zij werken niet van de organisatie is, maar van henzelf of hun team.
Fundamentele omslag noodzakelijk
Volgens Javvad Malik, Lead CISO Advisor bij KnowBe4, is een fundamentele omslag nodig. “Organisaties investeren veel in technologie, maar verliezen daarbij vaak de mens uit het oog. Zolang medewerkers dagelijks beslissingen nemen zonder real-time begeleiding, blijven zij het grootste aanvalsoppervlak.” Slechts zestien procent van de organisaties beschikt momenteel over een volwassen Human Risk Management-programma, terwijl vrijwel alle security-leiders aangeven extra budget nodig te hebben om menselijke risico’s effectief te beheersen.