Proofpoint: 82% van de organisaties hanteert een thuiswerkmodel, maar slechts 30% traint gebruikers in veilig werken op afstand

  1. 8 feb 2021
  2. 0 reacties

proofpoint

Proofpoint presenteert voor het zevende jaar zijn State of the Phish-rapport. Dit rapport beschrijft in hoeverre bedrijven te maken hebben met phishing. Daarnaast werpt het een blik op de kennis, kwetsbaarheid en weerbaarheid van gebruikers. Meer dan 75% van de ondervraagden gaf aan dat zijn of haar organisatie in 2020 te maken kreeg met grootschalige phishing-aanvallen, zowel succesvolle als mislukte. 66% van de respondenten gaf aan het slachtoffer te zijn geweest van ransomware. 
 
Het huidige State of the Phish-rapport is gebaseerd op antwoorden van meer dan zeshonderd professionals in informatiebeveiliging uit de Verenigde Staten, Australië, Frankrijk, Duitsland, Japan, Spanje en het Verenigd Koninkrijk. Daarnaast zijn de bevindingen van 3.500 werkende volwassenen uit diezelfde zeven landen onder de loep genomen. Het rapport analyseert ook gegevens van meer dan zestig miljoen gesimuleerde phishing-aanvallen die door Proofpoint-klanten over een periode van een jaar naar hun werknemers zijn gestuurd. Verder zijn ongeveer vijftien miljoen mails geanalyseerd die gebruikers meldden via de PhishAlarm-meldknop
 
“Cybercriminelen over de hele wereld blijven zich richten op mensen met handige, relevante en uitgekiende berichten. Dit gebeurt vooral via e-mail, het meest gebruikte aanvalsmiddel”, zegt Jim Cox, Area Vice President Benelux bij Proofpoint. “Het is cruciaal dat gebruikers begrijpen hoe ze cyberaanvallen kunnen herkennen en melden. Vooral omdat gebruikers grotendeels vanuit huis blijven werken - vaak in een minder beveiligde omgeving. Hoewel veel organisaties zeggen dat ze hun werknemers trainingen geven op het gebied van beveiligingsbewustzijn, blijkt uit onze gegevens dat de meeste van hen dat niet goed genoeg doen.” 
 
Het State of the Phish-rapport van Proofpoint benadrukt de noodzaak van een mensgerichte aanpak van cybersecurity-maatregelen en -trainingen. Hierbij moet rekening worden gehouden met veranderende omstandigheden, zoals organisaties tijdens de pandemie hebben ervaren. Uit enquêtes blijkt dat er een gebrek is aan gerichte training. Zo gaf 82% van de professionals aan dat hun organisatie het afgelopen jaar was overgestapt op een thuiswerkmodel, maar slechts 30% gaf aan dat gebruikers worden getraind in veilig werken op afstand. 
 
“De bevindingen met betrekking tot werken op afstand zijn verontrustend,” stelt Cox. “Een groot deel van de beveiligingsprofessionals die we hebben ondervraagd, gaf aan het afgelopen jaar een nieuw model voor werken op afstand te hebben ingevoerd voor minstens de helft van de werknemers. Toch blijkt minder dan een derde van hen medewerkers te trainen over hoe ze veilig vanuit huis kunnen werken. Tegelijkertijd staat ruim de helft van de werknemers toe dat hun zakelijke apparatuur door vrienden en familie wordt gebruikt voor bijvoorbeeld gamen of online shoppen. Dit brengt grote risicio's met zich mee en versterkt de behoefte aan trainingen op het gebied van beveiligingsbewustzijn die zijn toegespitst op het werken op afstand.” 
 
Het State of the Phish-rapport biedt bruikbare adviezen en een grondige analyse van het phishing-landschap om risico's te helpen verminderen. De belangrijkste bevindingen zijn: 
 
  • Er zijn in 2020 meer organisaties slachtoffer geworden van succesvolle phishing-aanvallen dan in 2019 (57% tegenover 55%). Daarnaast blijven Business Email Compromise (BEC)-aanvallen een zorgwekkend probleem.  
  • Twee derde van de respondenten gaf aan dat hun organisatie in 2020 te maken kreeg met ransomware. Meer dan de helft van hen besloot het losgeld te betalen in de hoop snel weer toegang te krijgen tot de gegevens. Van degenen die betaalden, kreeg 60% na de eerste betaling weer toegang tot de gegevens of systemen. Bijna 40% kreeg echter te maken met aanvullende eisen na een eerste betaling - een stijging van 320% ten opzichte van vorig jaar. 32% gaf aan vervolgens akkoord te zijn gegaan met het betalen van het aanvullende losgeld - een toename van 1500% ten opzichte van 2019. 
  • 80% van de onderzochte professionals gaf aan dat training in beveiligingsbewustzijn de kwetsbaarheid van werknemers voor phishing-aanvallen heeft verminderd. Maar hoewel 98% van de ondervraagde professionals zegt dat hun organisatie een trainingsprogramma voor beveiligingsbewustzijn heeft, biedt slechts 64% gebruikers formele trainingssessies aan als onderdeel van cybersecurity-trainingen.  
  • Het gemiddelde aantal werknemers bij Proofpoint-klanten dat niet slaagde voor phishing-simulaties was 11%, een daling ten opzichte van 12% in 2019. De gemiddelde weerbaarheidsfactor was 1,2. Dit duidt erop dat werknemers binnen deze organisaties eerder geneigd zijn om een verdachte e-mail te melden dan dat ze op die mail reageren. 
  • Organisaties in de maakindustrie kregen in 2020 het vaakst te maken met phishing-aanvallen. Organisaties in deze branche zijn daarnaast het meest actief in het testen van hun gebruikers op phishing-aanvallen. Het percentage dat niet slaagde voor phishing-simulaties lag op 11%. 
  • Op afdelingsniveau presteerden inkoopteams het beste. Slechts 7% van hen slaagde niet voor de phishing-simulaties. Onderhouds- en facilitaire teams waren de slechtst presterende afdelingen, met gemiddelde percentages van respectievelijk 15% en 17%.  
Organisaties worden aangemoedigd om proactief mensgerichte strategieën voor cybersecurity te ontwikkelen. Daarbij moeten ze niet alleen kijken naar vergelijkbare situaties in andere regio's, branches en afdelingen, maar ook naar bedreigingen die uniek zijn voor hun eigen missies, doelen en mensen. 
 
Het State of the Phish 2021 report en een lijst met regionale vergelijkingen, is beschikbaar via https://www.proofpoint.com/us/resources/threat-reports/state-of-phish
 
Meer informatie over best practices en trainingen op het gebied van cybersecurity-bewustzijn is te vinden op https://www.proofpoint.com/us/product-family/security-awareness-training
Meer over
Lees ook
AI-aangedreven muterende phishingcampagnes zijn in opmars, waarschuwt KnowBe4-rapport

AI-aangedreven muterende phishingcampagnes zijn in opmars, waarschuwt KnowBe4-rapport

Uit een nieuw onderzoek van KnowBe4 blijkt dat cybercriminelen veelvuldig gebruik maken van polymorfe phishingtechnieken, die aanwezig zijn in 76,4% van alle phishingcampagnes. Bij deze vorm van phishing wordt een e-mail, vaak met behulp van AI, telkens subtiel aangepast om zo beveiligingsfilters te omzeilen

Nieuw onderzoek van KnowBe4 toont aan dat online zelfoverschatting de werkplek kwetsbaar maakt

Nieuw onderzoek van KnowBe4 toont aan dat online zelfoverschatting de werkplek kwetsbaar maakt

86% van de medewerkers denkt phishing met vertrouwen te herkennen. Toch is bijna de helft van hen al eens slachtoffer geworden van oplichtingspraktijken. Dit blijkt uit het rapport ‘Security Approaches Around the Globe: The Confidence Gap’ van KnowBe4.

Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt

Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt

Een nieuw rapport over de tools en technieken die bij deze aanvallen worden gebruikt laat zien dat PhaaS-platforms zich snel ontwikkelen, gevaarlijker en beter worden in het ontwijken van detectie. Veel aanvallen zijn gericht op gebruikers van populaire cloud platforms zoals Microsoft 365.