Meer dan de helft van de Nederlandse bedrijven is het afgelopen jaar geconfronteerd met phishingaanvallen. Volgens een onderzoek dat SIDN liet uitvoeren onder ruim 400 bedrijven, kreeg 58 procent te maken met pogingen om via misleidende e-mails toegang te krijgen tot bedrijfsinformatie of systemen. Toch blijft de reactie van organisaties vaak achter: veel bedrijven nemen onvoldoende maatregelen om zich tegen phishing te wapenen.
Onderzoek
Uit de cijfers blijkt dat 50 procent van de bedrijven in de afgelopen twaalf maanden tussen de één en 50 phishingmails ontving. Bij negentien procent liep dat aantal op tot 200 e-mails. Het is dan ook niet verrassend dat bijna de helft van de bedrijven phishing een grote of zeer grote bedreiging noemt. Desondanks blijft actie vaak uit, vooral door een gebrek aan prioriteit vanuit het management.
Veel organisaties zetten nog slechts basale middelen in. Zo heeft 61 procent spamfilters en beveiligingssoftware geïnstalleerd, biedt 45 procent trainingen aan medewerkers aan en voert slechts 30 procent simulatie- of phishingtests uit. Opvallend is dat bijna één op de vijf bedrijven (zeventien procent) helemaal geen maatregelen neemt.
E-mailstandaarden
Daar komt bij dat de bekendheid en toepassing van e-mailstandaarden achterblijft. Standaarden als SPF, DKIM, DMARC en BIMI kunnen phishing aanzienlijk bemoeilijken, maar worden vaak nog gezien als complex. SPF geniet met 58 procent de meeste bekendheid, terwijl de andere standaarden onder de 50 procent blijven. Volgens Marco Davids, research engineer bij SIDN Labs, ligt daar een belangrijk verbeterpunt: “Spamfilters alleen zijn niet genoeg. Open standaarden bieden effectieve bescherming, maar veel bedrijven vinden het nog te ingewikkeld. De expertise is er echter volop.”
Phishing
Een ander punt van zorg is dat bedrijven phishing vaak zien als een intern risico. Maar ook klanten en partners lopen gevaar wanneer criminelen een bedrijfsdomein misbruiken. Toch neemt 54 procent van de bedrijven geen enkele actie richting externe relaties om hen te waarschuwen of bewust te maken.
Bewustwording
SIDN benadrukt dat gezamenlijke bewustwording cruciaal is. Om die reden zal de organisatie op 14 en 15 november aanwezig zijn op de KVK Ondernemersdagen, waar ondernemers praktische voorlichting krijgen over het voorkomen van phishing.