Cyberincidenten waarbij medewerkers betrokken zijn, zijn het afgelopen jaar met 90 procent toegenomen. Bij 93 procent van de organisaties maakten aanvallers misbruik van menselijk gedrag. Dat blijkt uit wereldwijd onderzoek van KnowBe4 onder 700 cybersecurity-leiders en 3.500 medewerkers.
Uit het onderzoek komt naar voren dat e-mail nog altijd het belangrijkste aanvalskanaal is. 64 procent van de organisaties meldde incidenten die via e-mail ontstonden en 57 procent zag een verdere toename van e-mailgerelateerde aanvallen. Phishing speelde bij 59 procent van de getroffen organisaties een rol bij accountovernames.
Tegelijkertijd verbreedt het dreigingsbeeld zich naar andere communicatiekanalen. 39 procent van de organisaties rapporteerde succesvolle aanvallen via messagingdiensten zoals Microsoft Teams en Slack. Sociale media, bereikbaar via zakelijke apparaten, vormden bij 36 procent een risico en sms-gebaseerde phishing trof 31 procent van de organisaties. Volgens het onderzoek leidt deze ontwikkeling tot zogenoemde boundaryless phishing, waarbij medewerkers via meerdere digitale kanalen doelwit zijn.
Naast externe aanvallen blijven interne dreigingen een belangrijk aandachtspunt. 36 procent van de ondervraagde cybersecurity-leiders gaf aan dat medewerkers het afgelopen jaar bewust beveiligingsincidenten veroorzaakten. Slechts 6 procent van deze incidenten werd gestopt voordat de medewerker zijn of haar doel bereikte. In 43 procent van de gevallen ging het om het lekken of verkopen van data aan concurrenten. Ook het online lekken van informatie en het meenemen van bedrijfsdata naar een nieuwe werkgever werden veel genoemd.
Menselijke fouten spelen eveneens een structurele rol. 90 procent van de organisaties kreeg te maken met incidenten door vergissingen, zoals verkeerd geadresseerde e-mails, onjuiste opslag van gevoelige informatie en het delen van data via samenwerkingsplatforms.
Het onderzoek laat ook zien dat verantwoordelijkheidsgevoel onder medewerkers beperkt is. Slechts 29 procent voelt zich persoonlijk verantwoordelijk voor de bescherming van bedrijfsdata. Meer dan de helft ziet die verantwoordelijkheid vooral bij IT- en securityteams. Daarnaast denkt 47 procent dat de informatie waarmee zij werken niet eigendom is van de organisatie, maar van henzelf of hun team.
Volgens KnowBe4 ontbreekt het veel organisaties aan zicht op menselijk risico. Slechts 16 procent beschikt over een ingericht Human Risk Management-programma en 71 procent heeft onvoldoende inzicht in individuele risicoprofielen. Vrijwel alle cybersecurity-leiders geven aan meer budget nodig te hebben om menselijke risico’s beter te beheersen. Het bedrijf stelt dat investeringen in technologie vaak niet gepaard gaan met voldoende aandacht voor menselijk gedrag en ondersteuning op het moment dat medewerkers beslissingen nemen over data en systemen.
Het rapport is gebaseerd op onafhankelijk onderzoek van Arlington Research onder organisaties in meerdere sectoren en landen wereldwijd.
