Bij één op de drie medewerkers in Europa die niet getraind is in de gevaren van cybercrime is de kans heel groot dat hij of zij in een phishing-e-mail trapt. Bijvoorbeeld door op een verdachte link te klikken. Of een geïnfecteerde bijlage te openen. Dat blijkt uit nieuw onderzoek van KnowBe4 waarin ook de resultaten per industrie onder de loep zijn genomen.
Phishing-prone percentage
KnowBe4 analyseerde een dataset van meer dan 9,5 miljoen gebruikers in 30.173 organisaties wereldwijd. Hierbij werd het “Phish-Prone percentage (PPP)” gemeten. Dit geeft een indicatie van het percentage medewerkers dat waarschijnlijk in een phishing-e-mail trapt. De statistiek wordt gebaseerd op het aantal medewerkers dat op een gesimuleerde phishing-e-mail-link klikte. Of een geïnfecteerde bijlage opende. Deze meting werd drie keer verricht: voorafgaand aan security awareness-training (nulmeting), een meting na 90 dagen trainen en een meting na meer dan één jaar trainen.
Training heeft effect
Wanneer organisaties een combinatie van training en gesimuleerde phishing-beveiligingstests implementeerden na hun eerste nulmeting, veranderden de resultaten drastisch. In 90 dagen na het voltooien van (minimaal) maandelijkse beveiligingstrainingen, daalde het gemiddelde PPP in Europese organisaties van 29,9% tot 18,5%. Na twaalf maanden beveiligingstraining en gesimuleerde phishing-beveiligingstests, daalde de gemiddelde PPP tot maar liefst 6,3%.
Inbreuken richten zich op de mens
Een cyberaanval kan grote (financiele) schade aanrichten aan een organisatie. Dat blijkt wel uit de verhalen over ransomware-betalingen van honderduizenden euros. En gerapporteerde verliezen dankzij business email compromise (BEC). Het 2022 Phishing by Industry Benchmarking Report onderstreept dat organisaties het zich niet kunnen veroorloven de menselijke factor te negeren. In het 2022 Data Breach Investigations-rapport van Verizon staat dat bij 82% van de cyberaanvallen dit jaar het menselijke element een rol speelde.
