Ruim de helft van de it-beslissers in de Benelux (53 procent) schakelt eigenhandig securitymaatregelen op hun systemen uit. Wereldwijd ligt dat cijfer lager: ruim een derde. Ook phishing blijkt vaak opvallend succesvol bij it-profielen.
De bevindingen komen naar voren in het ‘2024 Human Risk Behavior’-rapport van Sapio Research in opdracht van securityspecialist Arctic Wolf. In functie daarvan werden 1.500 senior it- en securitybeslissers en eindgebruikers ondervraagd. Het gaat om respondenten uit meer dan zestien landen, waaronder 150 uit de Benelux. De studie biedt inzicht in veelvoorkomende risico’s in organisaties, met focus op de risico’s waar mensenhanden in het spel zijn. De gevolgen van menselijk security-falen kunnen alvast ernstig zijn, klinkt het. Zo heeft iets meer dan een kwart van de ondervraagde it-leiders wereldwijd meegemaakt dat een medewerker werd ontslagen omdat hij of zij in een online-scam was getrapt.
Overmoedig
Uit het hoog aandeel van de it-profielen die zelf al (minstens één keer) de securitymaatregelen op hun systemen heeft uitgeschakeld, concluderen de onderzoekers dat it-leiders flink nalatig kunnen zijn betreffende securitypraktijken. Daarnaast blijken ze ook overmoedig. Tachtig procent van de it-managers wereldwijd is ervan overtuigd dat mensen in hun organisatie niet in een phishing-aanval zullen trappen, hoewel twee derde zelf weleens op een phishing-link heeft geklikt. ‘Zowel leiders als eindgebruikers moeten nog veel stappen zetten’, stelt Adam Marrè, ciso bij Arctic Wolf. ‘Ze moeten ervoor zorgen dat zij als individu geen negatieve impact hebben op de algehele security van hun organisaties.’
Angst verkoopt waardoor dit verdienmodel zo succesvol ingezet wordt door criminelen middels low-tech social engineering zoals wij van WC-eend weten. A fool with a tool is still a fool als ik kijk naar het omzeilen van alle technische investeringen waardoor malware nog altijd het meest succesvolle aanvalswapen is van de kwaadwillende door de menselijk emotie. Want het eigenhandig uitschakelen van de technische securitymaatregelen gaat volgens een onderzoek in 90% van de gevallen om frustratie over het niet kunnen werken binnen de opgelegde beperkingen. Eventueel ontslag is in Nederland daarom met succes aan te vechten waardoor ik al één angst gemitigeerd heb in het risico management.
De genoemde 150 respondenten op de 1.500 is statistisch tenslotte maar 10% waardoor redactie vergeten is om een waarschuwing over reclame boven het artikel te zetten. Want een kwart van die 10% zijn hoogstens 2 ongelukkigen die geen goede advocaat hadden omdat les één om een ontkenning van schuld gaat. Fouten maken is tenslotte menselijk maar daarmee is nog niet gezegd dat er hoofdelijke verantwoordelijkheid geldt want te goed van vertrouwen is emotie een goede vrijbrief.
Ik klik bijvoorbeeld op alle links van mooie vrouwen omdat ik overtuigd ben van mijn aantrekkelijkheid als kalende WC-eend met 30 jaar ervaring in de adult content business.
Vaag onderzoek met vage conclusies. Gefinancierd door een partij die baat heeft bij de uitkomst.
“De studie biedt inzicht in veelvoorkomende risico’s in organisaties.” Ja, vast. Maar alleen binnen de organisaties van de respondenten. Het is maar de vraag of je de uitkomsten representatief mag noemen.
Sowieso is het bij kleine aantallen als 150 respondenten verdacht om percentages te gebruiken, zeker wanneer ze niet als bereik (bv 50-60%) gegeven worden.
Kortom: het onderzoek is prutswerk.
Deze mensen kennen de gevaren beter zullen zelf niet snel op een phishing mail clicken.
Het grootste veiligheid risico zit immers tussen het scherm en de rugleuning van de stoel, ik heb zeer hoog opgeleide mensen de meest stomme dingen zien doen, waar sommige met dit soort zaken zo naïef zijn als een kind van 4 ….
En als je in een office 365 omgeving zit met een standaard configuratie qua settings dan weet je dat de risico echt ergens anders liggen dan wat een ict kundige wat dingen uitzet die belemmerend werken, niet oke maar wel begrijpelijk.