Cyberbewustzijn onder Nederlandse bedrijven 'zorgwekkend'

Uit het State of Email security onderzoek 2022 van Mimecast blijkt dat de meeste bedrijven in Nederland niet weerbaar genoeg zijn tegen cybercrime. Medewerkers binnen bedrijven worden te weinig getraind in het herkennen van verschillende soorten cyberaanvallen, terwijl cybercriminelen hun activiteiten juist hebben opgeschroefd. Volgens Mimecast is de situatie zelfs zorgwekkend.

In deze blog lees je alle belangrijke conclusies uit het onderzoek en laten we Security Professional Michael Bijtenhoorn van TT3P aan het woord met bevindingen uit de praktijk.

Digitale weerbaarheid blijft achter
Mimecast legt in commentaar op het onderzoek uit dat cybercriminelen op dit moment actiever zijn dan ooit in ons land. Nederland is immers een welvarend land dat sterk afhankelijk is van digitale technologie. “Het is zorgwekkend dat cybersecurity na alle incidenten nog steeds geen prioriteit heeft in het bedrijfsleven”.

Bijtenhoorn sluit zich hier volledig bij aan. “Door COVID is digitale communicatie hard toegenomen. Meer e-mailverkeer en meer communicatie via samenwerkingstools en andere vormen van elektronische communicatie. Cybercriminelen weten dit ook en maken hier dankbaar gebruik (lees misbruik) van.”

Aantal aanvallen loopt op
Een van de belangrijkere conclusies van het onderzoek is dat twee derde (67%) van de ondervraagde Nederlandse organisaties in het afgelopen jaar werd aangevallen via e-mail. 56% meldt zelfs een toename van het aantal phishing-aanvallen. Meer dan een derde van de organisaties werd lastiggevallen met impersonatie-aanvallen, waarbij cybercriminelen zich voordoen als leidinggevende of een andere vertrouwde persoon of partij.

Bijtenhoorn: “Phishing staat boven aan de lijst van meest voorkomende cyberaanvallen. Bij deze vorm van cybercrime verzenden criminelen een e-mail, waarin wordt ingespeeld op menselijke gevoelens om te proberen informatie zoals inloggegevens, creditcardinformatie, pincodes of andere persoonlijke gegevens te achterhalen. Gecompromitteerde zakelijke e-mail en datalekken als gevolg van onzorgvuldig handelen van medewerkers of door kwaadwillende medewerkers vullen deze top 3 aan.”

Nederland niet weerbaar genoeg
Het onderzoek van Mimecast schetst een beeld van het volwassenheidsniveau van Nederland op het gebied van cybersecurity. Helaas scoren Nederlandse bedrijven op meerdere onderdelen veel te laag.

Bijtenhoorn: “Veel organisaties vragen zich af waar ze moeten beginnen. Natuurlijk vinden ze security belangrijk. Maar door alle berichtgeving van dreiging slaan organisaties ook een beetje op slot. Ze zijn vaak volledig afhankelijk van hun ICT-leverancier voor alle aspecten van cybersecurity. Die afhankelijkheid levert schijnveiligheid op. Er is daardoor veel te weinig bewustzijn van het totaal van maatregelen dat een organisatie moet nemen. Ze blijven hangen bij ICT-voorzieningen. Dat is niet terecht. Wij helpen ze zelfstandig beslissen waar ze heen willen met cybersecurity. Dat doen we op basis van een cybersecurity maturity model. Niet iedereen hoeft zich te beveiligen als een kerncentrale, maar je moet wel voldoende doen.”.

Afbeelding: TT3P Cybersecurity Maturity Model

Geen beleid voor cyberweerbaarheid
Slechts 21% van de door Mimecast onderzochte Nederlandse organisaties heeft een duidelijke strategie voor cyberweerbaarheid. Een dergelijke strategie is gericht op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van belangrijke systemen en data binnen een bedrijf. Daarbij geeft 6 op de 10 Nederlandse IT-professionals aan dat het budget voor cybersecurity binnen hun organisatie niet toereikend is. Wanneer er gekeken wordt naar cyberbeleid ziet Mimecast zelfs een neerwaartse trend. In 2021 had nog 38% van de organisaties een cyberweerbaarheid strategie, nu dus slechts 21%.

Bijtenhoorn: “Als een organisatie geen beleid heeft opgesteld dan mist het hét fundament voor cyberbeveiliging. Dit zorgt ervoor dat alle activiteiten op het gebied van cyberbeveiliging ongestructureerd zullen zijn en blijven en alleen maar kunnen leiden tot een ad-hoc aanpak en reactieve probleemoplossingen.”

Training in cyberbewustzijn
Vergeleken met voorgaande jaren is Nederland ook op het gebied van cyberbewustzijn van medewerkers minder gaan presteren. Het percentage van Nederlandse bedrijven dat het personeel op regelmatige basis traint in herkenning van cybercriminaliteit is gedaald van 11% naar 8%.

Bijtenhoorn: “Meer dan 90% van de security inbreuken is het gevolg van menselijke fouten. Organisaties doen er goed aan zich te realiseren dat niet de medewerker, maar juist de organisatie zelf hiervoor verantwoordelijk is. Elke organisatie kan met een goed trainingsprogramma medewerkers alert houden en de kans op inbreuken verminderen. Zo’n programma moet bestaan uit fysieke sessies eventueel opgevolgd door e-learning. Alleen e-learning werkt niet. Dat is prima ondersteuning, maar medewerkers moeten elkaar in de ogen kijken en samen spreken over dit netelige probleem voor organisaties.”