Ongetrainde medewerkers vormen gapend gat in cybersecurity
82 procent van de inbreuken van 2022 richtte zich op de mens
4 augustus 2022 -
Bij één op de drie medewerkers in Europa die niet getraind is in de gevaren van cybercrime is de kans heel groot dat hij of zij in een phishing-e-mail trapt. Bijvoorbeeld door op een verdachte link te klikken of een geïnfecteerde bijlage te openen. Dat blijkt uit nieuw onderzoek van KnowBe4 waarin ook de resultaten per industrie onder de loep zijn genomen.
KnowBe4 analyseerde een dataset van meer dan 9,5 miljoen gebruikers in 30.173 organisaties wereldwijd, met meer dan 23,4 miljoen gesimuleerde phishing-beveiligingstests in negentien verschillende sectoren. Hierbij werd het "Phish-Prone percentage (PPP)" gemeten. Dit geeft een indicatie van het percentage medewerkers dat waarschijnlijk in een phishing-e-mail trapt. De statistiek wordt gebaseerd op het aantal medewerkers dat op een gesimuleerde phishing-e-mail-link heeft geklikt of een geïnfecteerde bijlage heeft geopend. Deze meting werd drie keer verricht: voorafgaand aan security awareness-training (nulmeting), een meting na 90 dagen trainen en een meting na meer dan één jaar trainen.
Phishing-prone percentage neemt af naarmate gebruikers training krijgen
Wanneer organisaties een combinatie van training en gesimuleerde phishing-beveiligingstests implementeerden na hun eerste nulmeting, veranderden de resultaten drastisch. In 90 dagen na het voltooien van (minimaal) maandelijkse beveiligingstrainingen, daalde het gemiddelde PPP in Europese organisaties van 29,9 procent tot 18,5 procent. Na twaalf maanden beveiligingstraining en gesimuleerde phishing-beveiligingstests, daalde de gemiddelde PPP tot maar liefst 6,3 procent.
82 procent van de inbreuken van 2022 richtte zich op de mens
Een cyberaanval kan grote (financiele) schade aanrichten aan een organisatie. Dat blijkt wel uit de verhalen over ransomware-betalingen van honderduizenden euros en gerapporteerde verliezen dankzij business email compromise (BEC). Het 2022 Phishing by Industry Benchmarking Report onderstreept dat, hoewel technologie een belangrijke rol speelt bij het voorkomen en herstellen van een aanval, organisaties het zich niet kunnen veroorloven de menselijke factor te negeren. In het 2022 Data Breach Investigations-rapport van Verizon staat dat bij 82 procent van de cyberaanvallen dit jaar het menselijke element een rol speelde.
"In kritieke sectoren zoals energie en nutsbedrijven, de gezondheidszorg en de farmaceutische industrie, waar levens ernstig kunnen worden beïnvloed, hebben we bijzonder hoge cyberbeveiligingsrisico's gevonden als gevolg van gesimuleerde phishing-tests," zegt Stu Sjouwerman, CEO van KnowBe4. "Met de hoge kosten van cyberaanvallen is dit zeer zorgwekkend. Aangezien de meeste datalekken voortkomen uit social engineering, kunnen we het ons niet veroorloven het menselijke element te negeren. Het implementeren van security awareness training met gesimuleerde phishing testen helpt organisaties zich beter te beschermen tegen cyberaanvallen. Dit resulteert in een veiligere organisatiecultuur."
