Nederlandse medewerkers hebben gemiddeld genomen een lakse houding ten opzichte van het voorkomen van cybersecurityrisico’s. Die conclusie trekt e-mailbeveiligingsbedrijf Mimecast naar aanleiding van een onderzoek uitgevoerd in het kader van European Cybersecurity Month. Nederland scoort op dit gebied slecht in vergelijking met andere Europese landen.
Zo gebruiken Nederlanders zakelijke apparatuur opvallend vaak voor privédoeleinden. Tijdens de pandemie heeft 65% van de respondenten gemiddeld 1 à 2 uur per dag langer gebruikgemaakt van hun zakelijke devices voor privéactiviteiten. Daardoor staan organisaties onnodig bloot aan cyberrisico’s. Ter vergelijking: in het Verenigd Koninkrijk ligt dat percentage op 56% (met een gemiddelde extra tijd van slechts 30 minuten). 56% van de Duitsers gebruikt zakelijke apparatuur 1 tot 2 uur langer voor privédoeleinden.
Privémail
Het versturen van privémail is in Nederland de meest populaire private bezigheid op zakelijke apparaten. 45% van de medewerkers maakt zich hieraan schuldig. Een net zo groot deel bankiert online op zakelijke apparatuur. Ook persoonlijke video calls (31%) en zelfs onlinedating (19%) zijn geliefde bezigheden op systemen van de baas.
Nederlanders blijken daarnaast weinig zicht te hebben op of rekening te houden met de consequenties van hun handelen. Zo opent 41% van de respondenten een e-mail, ook al oogt deze verdacht. Thuiswerkers zijn dan ook een populair doelwit. Eerder dit jaar zagen we bijvoorbeeld een gewiekste phishingcampagne waarbij thuiswerkers in de val worden gelokt met een verzoek om de nieuwe bedrijfsprocedures rondom het coronavirus te lezen. Bij Britten en Duitsers ligt het openingspercentage op 34%.
Bovendien is de meldingsbereidheid van de Nederlanders laag: maar liefst 49% meldt een verdacht uitziende e-mail niet aan IT. Ook hier scoren Britten en Duitsers met respectievelijk 37% en 35% beter.
Alertheid en overzicht nodig
Mimecast adviseert bedrijven rekening te houden met het volgende:
- Ga ervan uit dat uw medewerkers zakelijke apparatuur voor privédoeleinden gebruiken.
- Probeer uw beveiligingsstrategieën daar zo goed mogelijk op in te richten.
- Zorg dat niet-goedgekeurde software niet kan worden geïnstalleerd op zakelijke apparaten, en dat malafide devices geen toegang hebben tot het bedrijfsnetwerk en uw applicaties.
- Voorkom dat medewerkers op zakelijke apparaten over onnodige administratieve privileges beschikken.
- Blijf werken aan awarenesstrainingen.
- Test uw mensen regelmatig middels simulaties om te zien hoe goed ze cyberattacks zoals phishing herkennen.
- Zorg voor een duidelijk en eenvoudig proces voor het melden van verdachte e-mails en andere securityrisico’s.
Zorgwekkend
Volgens het beveiligingsbedrijf is de lakse houding van Nederlandse medewerkers zorgwekkend. Michael Madon, VP en GM, Security Awareness bij Mimecast: “In een hybride wereld is het geen wonder dat werknemers hun persoonlijke en professionele apparaten zonder onderscheid gaan gebruiken. Wel is er reden tot zorg als blijkt dat medewerkers zich onvoldoende bewust zijn van de potentiële risico’s of hier laconiek mee omgaan.”
“In elk geval moeten bedrijven niet op hun lauweren rusten: hackers werken snel en veranderen vaak van methode, waardoor het zelfs voor de meest waakzame werknemer moeilijk is om op de hoogte te blijven van de nieuwste bedreigingen. Om dit probleem aan te pakken, moeten bedrijven hun hele personeelsbestand regelmatig bewustmaken van cybersecurity. En hen continu trainingen op het gebied van cyberhygiëne aanbieden. Dit zal helpen om het idee te normaliseren dat security een gedeelde verantwoordelijkheid is en dat iedereen een rol moet spelen in het op afstand houden van bedreigingen. Dit is immers een uitdaging die zal blijven toenemen doordat bedrijven hun medewerkers gedurende de aanhoudende pandemie van nieuwe werkwijzen blijven voorzien.”
Maatregelen
Naast solide securityvoorzieningen is het vergroten van het bewustzijn onder medewerkers dus een must. Op dit gebied is er bij Nederlandse organisaties nog veel verbetering mogelijk. Zo heeft bijna de helft (48%) van de medewerkers geen specifieke cybersecuritytraining voor thuiswerken gekregen.
En dat terwijl thuiswerkers het aanvalsoppervlak voor cybercriminelen aanzienlijk vergroten. Dat vraagt om gerichte maatregelen die het personeel weerbaarder maken. Toch blijkt uit eerder onderzoek van Mimecast dat ook op dit vlak in Nederland nog een flinke inhaalslag nodig is. Bijna een op de vijf Nederlandse bedrijven traint het personeel niet om cyberaanvallen te herkennen. Nederland heeft daarmee een serieuze achterstand op andere ontwikkelde economieën zoals de Verenigde Staten en Duitsland.
Meer informatie over en tips voor het verbeteren van awarenesstrainingen vindt u hier.