72 procent van CSO's en CISO's in Nederlandse organisaties heeft in de afgelopen twaalf maanden ten minste één cyberaanval op zijn of haar organisatie vastgesteld. 25 procent heeft zelfs meerdere incidenten geconstateerd. Dat blijkt uit onderzoek van cybersecurity- en compliance-bedrijf Proofpoint naar de impact van mensgerichte cyberaanvallen op organisaties in Nederland.
Cyberaanvallen blijken steeds vaker gericht te zijn op mensen in plaats van op infrastructuur, stelt Proofpoint. Bijna twee derde (61%) van de CSO's en CISO's noemt menselijke fouten en gebrek aan veiligheidsbewustzijn de grootste IT-beveiligingsrisico's.
Insider threats meest voorkomende aanval
Insider threats waren de meestvoorkomende vorm (38%) van cyberaanvallen in de afgelopen twaalf maanden. Aanvallen op cloud-accounts (32%), Business Email Compromise (BEC)-aanvallen (31%) en phishing (31%) maken de top5 vol.
Bijna een derde van de respondenten uit het onderzoek meent dat zowel aanvallen op cloud-accounts (32%) en phishing (32%) de komende drie jaar de grootste cyberdreiging voor organisaties in Nederland zullen zijn. Daarna volgen credential phishing (30%) en Distributed Denial of Service (DDoS)-aanvallen (30%).
Cyberaanvallen kunnen verstrekkende en rampzalige gevolgen hebben voor bedrijven, zowel op financieel vlak als wat betreft de reputatie. Het onderzoek toont dat een afname van het aantal klanten (49%) en financiële schade (41%) de belangrijkste gevolgen waren voor organisaties in Nederland in de afgelopen twaalf maanden, gevolgd door zakelijke en operationele schade (39%).
Wel bewust, onvoldoende voorbereid
Ook al zijn Nederlandse organisaties zich bewust van cyberrisico's, veel ervan zijn niet voldoende voorbereid. Slechts 38 procent van de respondenten is het er sterk mee eens dat zijn of haar organisatie voorbereid is op een cyberaanval, terwijl 46 procent het er enigszins mee eens is. 67 procent van de respondenten ziet verouderde of onvoldoende cybersecurity-oplossingen en -technologie als grootste risico. 61 procent meent dat menselijke fouten en een gebrek aan veiligheidsbewustzijn een risicofactor zijn voor zijn of haar organisatie.
Er is ook behoefte aan betere training op het gebied van veiligheid en bewustwording. Zo is er een aantal veelvoorkomende beveiligingsfouten die medewerkers volgens CSO's en CISO's in Nederland maken. Het gaat onder meer om het verkeerd omgaan met gevoelige informatie (53%), in phishing-aanvallen trappen (47%), het gebruik van onveilige wachtwoorden (39%), het delen van wachtwoorden (39%), criminele insider threats (34%) en het klikken op schadelijke links (33%).
Gedurende de COVID-19-pandemie heeft 72 procent van de Nederlandse organisaties een beleid voor werken op afstand ingevoerd. Opportunistische cybercriminelen maken misbruik van medewerkers die op afstand werken. 44 procent van de CSO's en CISO's in Nederland meldt een toename van het aantal phishing-aanvallen sinds het beleid voor werken op afstand is ingevoerd.
Mensgerichte strategie nodig
“Een mensgerichte strategie is een noodzaak voor organisaties", meent Jim Cox, Regional Director Benelux bij Proofpoint. "Zeker nu cybercriminelen zich steeds meer richten op mensen in plaats van op infrastructuur. Hierbij proberen zij onder meer inloggegevens te stelen, gevoelige gegevens te bemachtigen en op frauduleuze wijze geld over te maken."
Uit het proofpoint-onderzoek blijkt volgens Cox dat 50 procent van de CSO's en CISO's in Nederland meent dat zijn of haar medewerkers het bedrijf kwetsbaar maken voor cyberaanvallen. "Daarom zijn training en veiligheidsbewustzijn cruciaal en kunnen ze het verschil maken tussen een poging tot een cyberaanval en een geslaagde aanval. Naast technische oplossingen en controles moet een uitgebreid trainingsprogramma centraal staan in de cyberverdediging van een organisatie.”
Momenteel traint 11 procent van de organisaties in Nederland zijn medewerkers meer dan drie keer per jaar. In het kader van de huidige wereldwijde pandemie en een toename van het werken op afstand zegt wel meer dan twee derde (63%) van de respondenten dat zijn of haar organisatie tijdens Covid-19 extra cybersecurity-trainingen aan werknemers heeft gegeven.
Optimisme over prioriteit cybersecurity
Organisaties in Nederland zijn wel optimistisch over het feit dat cybersecurity een steeds grotere prioriteit wordt voor het bedrijfsleven. 39 procent beoordeelt zijn cybersecurity-strategie twee keer per jaar of vaker. Daarnaast verwacht 73 procent dat zijn cybersecurity-budget in de komende twee jaar met 11 procent of meer zal stijgen.
Het onderzoek is uitgevoerd door onderzoeksbureau Censuswide onder 150 CSO's/CISO's bij organisaties in Nederland met 200 of meer werknemers uit verschillende sectoren in april 2020.
