Nederlandse werknemers gokken met security van organisaties
Proofpoint, een speler in cybersecurity- en compliance toepassingen, publiceert de tiende editie van het jaarlijkse State of the Phish-rapport. Hieruit blijkt dat meer dan twee derde (69%) van Nederlandse werknemers hun organisaties bewust in gevaar brengt. Dit leidt tot ransomware- of malware-infecties, datalekken of financieel verlies. Ondanks een lichte daling van succesvolle phishing-aanvallen (84% van de onderzochte organisaties in Nederland maakte ten minste één succesvolle aanval mee in 2023 tegenover 90% in 2022), nemen de negatieve gevolgen toe met een stijging van 460% in meldingen van financiële sancties, waaronder boetes.
Het rapport toont aan dat mensen risicovolle acties ondernemen door een gebrek aan kennis over cybersecurity. Alleen training in securitybewustzijn voorkomt onveilig gedrag. Daarnaast blijkt uit het rapport dat de meeste werknemers weten dat ze verantwoordelijk zijn voor het beschermen van de organisatie. Dit duidt op een kloof tussen de beperkingen van individuele securitytechnologie en de kennis van gebruikers. “Het 2024 State of the Phish rapport toont aan dat het aantal BEC-aanvallen in 2023 licht daalde. Toch is het nog steeds een van de favoriete aanvalsmethoden van cybercriminelen”, zegt Mark-Peter Mansveld (foto), Vice President Northern Europe, Middle East & Israel bij Proofpoint. “Het gebrek aan securitybewustzijn en onzorgvuldig gedrag vormen een groot risico voor bedrijven en hun data. Dit is erg zorgwekkend, want mensgerichte aanvallen staan centraal. Het bijspijkeren van de kennis van medewerkers met trainingen en opleidingen, is dus urgenter dan ooit.”
“Cybercriminelen weten dat het uitbuiten van mensen, door verwaarlozing, gecompromitteerde identiteiten, of in sommige gevallen door kwade opzet, makkelijk is,” zegt Ryan Kalember, Chief Strategy Officer bij Proofpoint. "Individuen spelen een centrale rol in de securityopzet van een organisatie. 74% van inbraken richt zich namelijk nog steeds op het menselijke element. Hoewel het stimuleren van een securitycultuur belangrijk is, is training alleen geen wondermiddel. Weten wat je moet doen en het daadwerkelijk doen zijn twee heel verschillende dingen. De uitdaging is niet alleen bewustwording, het gaat ook om gedragsverandering.”
Het 2024 State of the Phish rapport biedt een verdiepend overzicht in het huidige dreigingslandschap, waar dreigingsactoren generatieve AI, QR-codes en Multi-Factor Authenticatie (MFA) misbruiken. Dit blijkt uit Proofpoint's analyse van meer dan 2,8 miljard gescande e-mails van 230.000 organisaties wereldwijd en bevindingen van 183 miljoen gesimuleerde phishing-aanvallen die over een periode van twaalf maanden verzonden zijn. Het rapport onderzoekt ook de percepties van 7.500 werknemers en 1.050 securityprofessionals uit 15 landen. Dit laat zien hoe de houding ten opzichte van security zich uit in gedrag in de echte wereld. Ook toont het aan hoe dreigingsactoren nieuwe manieren vinden om snelheid, doeltreffendheid en de huidige staat van securitybewustzijnsinitiatieven te misbruiken.
De belangrijkste bevindingen uit het Proofpoint's 2024 State of the Phish rapport voor Nederland zijn:
Werknemers ondernemen geen risicovolle acties omdat securitybewustzijn ontbreekt. 73% van de ondervraagde werkende respondenten onderneemt risicovolle acties, zoals het hergebruiken of delen van wachtwoorden, het klikken op links van onbekende afzenders of het overhandigen van gegevens aan onbetrouwbare bronnen. 95% van hen is zich bewust van het feit dat dit risico's meebrengt. Dit betekent dat 69% van de Nederlandse werknemers vrijwillig de security van hun organisatie ondermijnt. De motivaties achter het nemen van risicovolle acties verschillen. De meest voorkomende redenen: gemakzucht (47%), tijdsbesparing (32%) en een gevoel van urgentie (15%).
IT-teams en medewerkers verschillen in mening over het stimuleren van gedragsverandering. Terwijl 84% van de ondervraagde securityprofessionals zegt verantwoordelijk te zijn voor security, weet 66% dit niet zeker of beweert niet verantwoordelijk te zijn. Vrijwel alle medewerkers zijn op de hoogte van de inherente risico's (95%). Dit is een duidelijke indicatie dat securitytrainingen werken bij het vergroten van het bewustzijn van medewerkers. Toch bestaan er duidelijke verschillen tussen wat securityprofessionals en medewerkers denken dat effectief is bij het stimuleren van gedragsverandering. Securityprofessionals denken dat meer training (87%) en strengere controles (74%) het antwoord zijn, maar bijna alle respondenten (96%) geven prioriteit aan security bij eenvoudigere en gebruiksvriendelijkere controles.
MFA geeft nog steeds een vals gevoel van veiligheid, met als gevolg bootstelling van bedrijven. Iedere maand vinden er meer dan een miljoen aanvallen plaats met een MFA-bypass framework Evil Proxy. Zorgwekkend genoeg denkt 82% van securityprofessionals dat MFA volledige bescherming biedt tegen accountovername.
Business Email Compromise (BEC) aanvallen gebruiken AI: 76% van de Nederlandse bedrijven was in 2023 slachtoffer van BEC-aanvallen (een daling ten opzichte van 92% in 2022). Wereldwijd rapporteerden minder organisaties pogingen tot e-mailfraude. Het aanvalsvolume groeide wel in landen als Japan (jaarlijkse stijging van 35%), Zuid-Korea (+31%) en de Verenigde Arabische Emiraten (+29%). Culturele- of taalbarrières zijn mogelijk oorzaken waarom hier eerder minder BEC-aanvallen voorvielen. Maar generatieve AI stelt aanvallers in staat om meer overtuigende en gepersonaliseerde e-mails in verschillende talen te maken. Maandelijks detecteert Proofpoint gemiddeld 66 miljoen gerichte BEC-aanvallen.
Cyberafpersing blijft een lucratieve aanvalsvorm. 72% van Nederlandse bedrijven was in 2023 slachtoffer van een succesvolle ransomware-infectie, een daling ten opzichte van 76% in 2022. Ruim 50% van Nederlandse IT-professionals geeft aan dat hun organisatie de dupe was van verschillende ransomware-aanvallen. Van de getroffen organisaties betaalde 56% losgeld (daling t.o.v. 76% in 2023). Hiervan kreeg 25% na betaling weer toegang tot hun gegevens (daling t.o.v. 52% in 2023).
Telephone-oriented attack delivery (TOAD) blijft toenemen. Hoewel TOAD-berichten in eerste instantie niet kwaadwillend lijken, activeren zij de aanvalsketen van zodra een nietsvermoedende werknemer een frauduleus callcenter belt en zijn/haar informatie verstrekt. Proofpoint detecteert gemiddeld 10 miljoen TOAD-aanvallen per maand. In augustus bereikte dit een piek met 13 miljoen incidenten.
Ondanks de toename in bekendheid en geavanceerdheid van dreigingen zoals ransomware, TOAD en MFA-bypass, blijven verschillende organisaties hier onvoldoende op voorbereid. Slechts 32% van Nederlandse bedrijven leidt gebruikers op in preventie van TOAD-aanvallen en 18% onderwijst gebruikers over de veiligheid van generatieve AI.