Rapport: Ieder organisatie is vatbaar voor phishing en social engineering

Elke organisatie, ongeacht de grootte en branche, is vatbaar voor phishing en social engineering, zeker wanneer daar geen goede training is gegeven.Dit blijkt uit het Phishing by Industry Benchmarking Report van KnowBe4, leverancier van een platform voor security awareness-trainingen en simulated phishing.

Met het rapport maakt KnowBe4 het Phish-Prone percentage (PPP) van een organisatie inzichtelijk. Het PPP geeft het percentage werknemers van een organisatie dat in een gesimuleerde phishing-aanval op een link klikt of een besmet bestand opent. Voor het Industry Benchmarking Study analyseerde KnowBe4 datasets van meer dan vier miljoen gebruikers die wereldwijd werkzaam zijn in zo’n 17.000 organisaties en samen meer dan 9,5 miljoen gesimuleerde phishing-testen hebben uitgevoerd.

Hoog risiconiveau

De eerste baseline-test voor phishing werd uitgevoerd onder organisaties die nog geen security awareness-training van KnowBe4 hadden uitgevoerd. De resultaten wezen op een hoog risiconiveau, met een gemiddeld basis-PPP van 37,9%, wat een stijging betekent van 8,3% ten opzichte van 2019, in alle bedrijfstakken en groottes. Elke organisatie, ongeacht de grootte en branche, is vatbaar voor phishing en social engineering concludeert KnowBe4, zeker wanneer daar geen goede training is gegeven.

“Het is erg verontrustend dat juist in deze periode organisaties in de gezondheidszorg en farmacie een zeer hoog basis-PPP laten zien”, zegt Jelle Wieringa, technology evangelist bij KnowBe4. “Omdat cybercriminaliteit en moraliteit wat mij betreft niet samengaan, verwacht ik dat zeker in deze tijd meer zorginstellingen ten prooi zullen vallen aan phishing. Er hoeft maar één overbelaste medewerker te zijn die op een verkeerde link klikt en de gevolgen zijn niet te overzien.”

Training en phishing-tests leiden tot lagere PPP

Na negentig dagen computergestuurde training en gesimuleerde phishing-tests daalde het gemiddelde PPP met meer dan zestig procent en nam af van 37,9% tot 14,1%. Na een jaar lang maandelijkse gesimuleerde phishing-tests en regelmatige training, daalde het PPP tot slechts 4,7%. In alle bedrijfstakken is er een gemiddeld verbeteringspercentage zichtbaar van 87 procent. Dit bedraagt de periode vanaf baseline-testen tot twaalf maanden training en testen.

"Het elk jaar steeds maar toenemende PPP van organisaties mag als een trend worden beschouwd", zegt Stu Sjouwerman, CEO van KnowBe4. “Deze bevindingen versterken de behoefte aan het nieuwste soort trainingen voor beveiligingsbewustzijn en frequent gesimuleerde phishing-tests. Als beveiligingsprofessionals hebben we de verplichting onze eindgebruikers op te leiden, zodat ze optimaal geïnformeerd zijn en de kennis hebben die ze nodig hebben om waakzaam te blijven tegen evoluerende cyberdreigingen.”

Het volledige KnowBe4 Phishing by Industry Benchmarking Report is hier beschikbaar.