In de afgelopen drie jaar was bijna de helft van alle Nederlandse organisaties (48 procent) het slachtoffer van een succesvolle cyberaanval, waarvan een deel zelfs meer dan eens (23 procent). Daarnaast schat 60 procent van deze bedrijven het risico om opnieuw slachtoffer te worden van een cyberaanval hoog in. Zo blijkt uit het Human Risk Review 2023, het jaarlijks terugkerende onderzoek van SoSafe, het platform voor security awareness en -training.
Daarnaast komt uit het onderzoek naar voren dat Nederlandse bedrijven vaker losgeld betalen dan andere Europese bedrijven. Bijna 46 procent van de Nederlandse bedrijven heeft al eens losgeld betaald aan cybercriminelen. Hiermee betalen Nederlandse bedrijven vaker losgeld dan bedrijven uit andere Europese landen zoals Duitsland (45 procent), Verenigd Koninkrijk (38 procent) en Frankrijk (30 procent).
Het onderzoek geeft een overzicht van de huidige cyberdreigingen en de beveiligingscultuur binnen bedrijven op basis van antwoorden van meer dan 1.000 IT-beveiligingsmanagers in Europa, diverse interviews met deskundigen en meer dan 8,4 miljoen datapunten van het SoSafe security awareness platform.
Professionalisering cybercriminaliteit
De resultaten weerspiegelen de sterke professionalisering van de cybercriminaliteit en de efficiëntie van de aanpak waarbij razendsnel nieuwe innovaties worden gegenereerd. Geopolitieke conflicten, de opkomst van nieuwe technologieën, digitalisering en maatschappelijke veranderingen hebben geleid tot een enorme toename van het aanvalsoppervlak voor cybercriminelen. Dit wordt ook bevestigd door de IT-beveiligingsmanagers binnen Nederlandse bedrijven: De meesten van hen zijn het erover eens dat vooral de geopolitieke situatie (72 procent), hybride werken (71 procent), en kunstmatige intelligentie (73 procent) de cyberdreiging verergeren.
Phishing blijft een vaste waarde - met nieuwe innovaties van emotionele manipulatie
Het overgrote deel (79 procent) van de respondenten verklaarde dat zij phishing en de emotionele manipulatie van mensen als een veiligheidsrisico zien. De eigen gegevens van SoSafe bevestigen dat dit een reëel risico is, zo blijkt dat een op de drie personen klikt op schadelijke links of bijlagen in phishing e-mails. Onderwerpregels zoals ‘Beschadiging auto’ en ‘Uitnodiging teams’ waren het meest verleidelijk om te openen, te klikken en zelfs persoonlijke informatie in te voeren op een website.
Werknemers lijken bijzonder gevoelig te zijn voor social engineering-technieken die sterke emoties oproepen, zoals druk uitoefenen (24 procent), autoriteit (28 procent) of financiële oproepen (18 procent). Deze percentages liggen nog iets hoger dan in het onderzoek van 2021.
Malware en de keten
Andere succesvolle aanvalsmethoden waren malware (39 procent) en ransomware (23 procent). Maar ook aanvallen via de toeleveringsketen komen steeds vaker voor. Deze supply chain-aanvallen worden ook door veel Nederlandse respondenten (73 procent) als een bedreiging gezien. De organisaties van 19 procent van de respondenten zijn al eens het slachtoffer geweest van zo’n supply chain-aanval. Het is dan ook niet verbazingwekkend dat 81 procent van de Nederlandse respondenten van mening is dat dat hun eigen veiligheid afhangt van de beveiligingsnormen van hun partners.
Een hoog beveiligingsbewustzijn
Dat er aandacht is voor het beveiligingsbewustzijn komt tot uiting in de investeringsplannen van de ondervraagde Nederlandse bedrijven: 46 procent van de reeds aangevallen bedrijven schat dat de investeringen in security awareness-maatregelen de komende anderhalf jaar zullen toenemen. Terwijl twee op de drie bedrijven zegt een hoog niveau van beveiligingsbewustzijn te hebben, is voor 87 procent het creëren van een beveiligingscultuur een prioriteit. De aandacht van het topmanagement voor IT-security is ook toegenomen bij meer dan de helft van de bedrijven (51 procent).
"De opkomst van geprofessionaliseerde cybercrime is een realiteit die we niet kunnen negeren. Met het toenemende aantal crisissen en conflicten in onze samenleving is er sprake van aanhoudende onzekerheid, angst en stress, wat cybercriminelen in de kaart speelt", aldus dr. Niklas Hellemann, CEO en oprichter van SoSafe. “Phishing blijft hierbij de meest succesvolle aanvalsstrategie, omdat deze kan worden aangepast aan de persoonlijke informatie van slachtoffers en gebruikmaakt van technologische ontwikkelingen zoals kunstmatige intelligentie. Het is daarom van cruciaal belang dat bedrijven investeren in de menselijke factor van informatiebeveiliging en werknemers ondersteunen bij het internaliseren van veilig gedrag op de lange termijn. Samen kunnen we de strijd tegen cybercriminaliteit aangaan."
Zie voor meer informatie de
Human Risk Review 2023.
Over SoSafe
SoSafe helpt bedrijven en organisaties een security-cultuur te vormen en risico's te beperken met behulp van een AVG-conform awareness-platform. Het bedrijf dat in 2018 werd opgericht door dr. Niklas Hellemann, Lukas Schaefer en Felix Schürholz, heeft momenteel meer dan 3000 klanten wereldwijd en is in Europa een van de voorlopers op het gebied van cybersecurity-awareness en -training. SoSafe biedt met behulp van gedragspsychologische elementen en slimme algoritmen gepersonaliseerde leerervaringen en aanvalssimulaties die werknemers motiveren en trainen om zich actief tegen online gevaren te beschermen.
Website:
www.sosafe-awareness.com/
LinkedIn:
www.linkedin.com/company/sosafe-cyber-security/mycompany/
Methodologie:
De Human Risk Review bevat gegevens van een onderzoek dat is uitgevoerd in samenwerking met Censuswide, een internationaal marktonderzoeksinstituut. Meer dan 1.000 beveiligingsmanagers uit zes Europese landen (Duitsland, Groot-Brittannië, Oostenrijk, Zwitserland, Nederland en Frankrijk) werden in februari 2023 ondervraagd. Daarnaast werden exclusieve gegevens van het SoSafe awareness-platform anoniem geëvalueerd: meer dan 8,4 miljoen gesimuleerde phishing-aanvallen van 3.000 klantorganisaties uit het jaar 2022 werden geanalyseerd. Daarnaast werden gegevens gebruikt van de jaarlijkse phishtest van SoSafe en Botfrei. In 2022 werden meer dan 9.000 gesimuleerde phishing e-mails verstuurd naar geregistreerde gebruikers, die in de simulatie als matig ernstig werden geclassificeerd en door de gebruiker moesten worden herkend. Tot slot werden de resultaten besproken met 9 deskundigen, waaronder Thomas Tschersich (CISO van Deutsche Telekom AG), Dr. Katrin Suder (Strategy Expert Digital Technologies, Economy & Politics), Tobias Ludwichowski (CISO Signal Iduna), Dr. Stefan Lüders (CSO CERN), Jens Becker (CIO Zurich Group Germany) en Thomas Schumacher (Managing Director Accenture Security DACH).