phishing
News 9 februari 2021

'82 procent van organisaties hanteert thuiswerkmodel, maar slechts 30 procent traint medewerkers in veilig werken op afstand'

Source: Proofpoint

Proofpoint heeft zijn jaarlijkse State of the Phish-rapport gepubliceerd. Dat rapport beschrijft in hoeverre bedrijven te maken hebben met phishing. Daarnaast werpt het een blik op de kennis, kwetsbaarheid en weerbaarheid van gebruikers. Ruim 4 op de 5 organisaties hanteert een thuiswerkmodel, maar slechts 3 op de 10 trainen hun medewerkers in veilig werken op afstand, zo luidt de voornaamste conclusie. Bovendien gaf meer dan 75 procent van de ondervraagden aan dat de eigen organisatie in 2020 te maken kreeg met grootschalige phishing-aanvallen, zowel succesvolle als mislukte. 66 procent van de respondenten gaf aan het slachtoffer te zijn geweest van ransomware.

Het State of the Phish-rapport is gebaseerd op antwoorden van meer dan zeshonderd professionals in informatiebeveiliging uit de Verenigde Staten, Australië, Frankrijk, Duitsland, Japan, Spanje en het Verenigd Koninkrijk. Daarnaast zijn de bevindingen van 3.500 werkende volwassenen uit diezelfde zeven landen onder de loep genomen. Het rapport analyseert ook gegevens van meer dan zestig miljoen gesimuleerde phishing-aanvallen die door Proofpoint-klanten over een periode van een jaar naar hun werknemers zijn gestuurd. Verder zijn ongeveer vijftien miljoen e-mails geanalyseerd.

Aanhoudende dreiging van phishing

“Cybercriminelen over de hele wereld blijven zich richten op mensen met handige, relevante en uitgekiende berichten. Dit gebeurt vooral via e-mail, het meest gebruikte aanvalsmiddel”, zegt Jim Cox, Area Vice President Benelux bij Proofpoint. “Het is cruciaal dat gebruikers begrijpen hoe ze cyberaanvallen kunnen herkennen en melden. Vooral omdat ze grotendeels vanuit huis blijven werken, vaak in een minder beveiligde omgeving. Hoewel veel organisaties zeggen dat ze hun werknemers trainingen geven op het gebied van beveiligingsbewustzijn, blijkt uit onze gegevens dat de meeste van hen dat niet goed genoeg doen.”

       LEES OOK: Awareways phishing whitepaper maakt bewustzijnscampagnes effectiever

Het rapport van Proofpoint benadrukt de noodzaak van een mensgerichte aanpak van cybersecurity-maatregelen en -trainingen. Hierbij moet rekening worden gehouden met veranderende omstandigheden, zoals organisaties tijdens de pandemie hebben ervaren. Uit enquêtes blijkt dat er een gebrek is aan gerichte training. Zo gaf 82 procent van de professionals aan dat hun organisatie het afgelopen jaar was overgestapt op een thuiswerkmodel, maar slechts 30 procent gaf aan dat gebruikers worden getraind in veilig werken op afstand. “De bevindingen met betrekking tot werken op afstand zijn verontrustend,” stelt Cox.

“Een groot deel van de beveiligingsprofessionals die we hebben ondervraagd, gaf aan het afgelopen jaar een nieuw model voor werken op afstand te hebben ingevoerd voor minstens de helft van de werknemers. Toch blijkt minder dan een derde van hen medewerkers te trainen over hoe ze veilig vanuit huis kunnen werken. Tegelijkertijd staat ruim de helft van de werknemers toe dat hun zakelijke apparatuur door vrienden en familie wordt gebruikt voor bijvoorbeeld gamen of online shoppen. Dat brengt grote risicio's met zich mee en versterkt de behoefte aan trainingen op het gebied van beveiligingsbewustzijn die zijn toegespitst op het werken op afstand.”

State of the Phish: belangrijkste bevindingen

Het State of the Phish-rapport biedt bruikbare adviezen en een grondige analyse van het phishing-landschap om risico's te helpen verminderen. De belangrijkste bevindingen zijn:

  • Er zijn in 2020 meer organisaties slachtoffer geworden van succesvolle phishing-aanvallen dan in 2019 (57 procent tegenover 55 procent). Daarnaast blijven Business Email Compromise (BEC)-aanvallen een zorgwekkend probleem.
     
  • Twee derde van de respondenten gaf aan dat hun organisatie in 2020 te maken kreeg met ransomware. Meer dan de helft van hen besloot het losgeld te betalen in de hoop snel weer toegang te krijgen tot de gegevens. Van degenen die betaalden, kreeg 60 procent na de eerste betaling weer toegang tot de gegevens of systemen. Bijna 40% kreeg echter te maken met aanvullende eisen na een eerste betaling - een stijging van 320 procent ten opzichte van vorig jaar. 32 procent gaf aan vervolgens akkoord te zijn gegaan met het betalen van het aanvullende losgeld - een toename van 1500 procent ten opzichte van 2019.
     
  • 80 procent van de onderzochte professionals gaf aan dat training in beveiligingsbewustzijn de kwetsbaarheid van werknemers voor phishing-aanvallen heeft verminderd. Maar hoewel 98 procent van de ondervraagde professionals zegt dat hun organisatie een trainingsprogramma voor beveiligingsbewustzijn heeft, biedt slechts 64 procent gebruikers formele trainingssessies aan als onderdeel van cybersecurity-trainingen.
     
  • Het gemiddelde aantal werknemers bij Proofpoint-klanten dat niet slaagde voor phishing-simulaties was 11 procent, een daling ten opzichte van 12 procent in 2019. De gemiddelde weerbaarheidsfactor was 1,2. Dit duidt erop dat werknemers binnen deze organisaties eerder geneigd zijn om een verdachte e-mail te melden dan dat ze op die mail reageren.
     
  • Organisaties in de maakindustrie kregen in 2020 het vaakst te maken met phishing-aanvallen. Organisaties in deze branche zijn daarnaast het meest actief in het testen van hun gebruikers op phishing-aanvallen. Het percentage dat niet slaagde voor phishing-simulaties lag op 11 procent.
     
  • Op afdelingsniveau presteerden inkoopteams het beste. Slechts 7 procent van hen slaagde niet voor de phishing-simulaties. Onderhouds- en facilitaire teams waren de slechtst presterende afdelingen, met gemiddelde percentages van respectievelijk 15 en 17 procent.

Organisaties worden aangemoedigd om proactief mensgerichte strategieën voor cybersecurity te ontwikkelen. Daarbij moeten ze niet alleen kijken naar vergelijkbare situaties in andere regio's, branches en afdelingen, maar ook naar bedreigingen die uniek zijn voor hun eigen missies, doelen en mensen.

Het State of the Phish 2021 report en een lijst met regionale vergelijkingen is beschikbaar via https://www.proofpoint.com/us/resources/threat-reports/state-of-phish.