Bijna een op de vijf Nederlandse bedrijven traint het personeel niet om cyberaanvallen te herkennen. Dat blijkt uit het nieuwe The State of Email Security-rapport van Mimecast. Ons land heeft hiermee een serieuze achterstand op andere ontwikkelde economieën zoals de Verenigde Staten, Duitsland en het Verenigd Koninkrijk.
In veel landen zijn securitytrainingen de normaalste zaak van de wereld. Slechts 1 procent van de respondenten uit de VS, Duitsland en het Verenigd Koninkrijk geeft aan dat hun werkgever helemaal geen securitytrainingen aanbiedt. In Nederland geldt dit voor maar liefst 18 procent van de organisaties. Geen van de andere onderzochte landen, waaronder Australië, Saoedi-Arabië en Zuid-Afrika, komt boven de 3 procent uit.
Frequentie en trainingsvormen
Ook qua frequentie scoort duidelijk Nederland minder goed dan andere landen. Slechts 12 procent van de Nederlandse respondenten geeft aan dat securitytrainingen op continue basis worden aangeboden. Wereldwijd gebeurt dit binnen bijna een kwart van de organisaties. Wel zijn er flink wat Nederlandse organisaties die het personeel maandelijks (24%) of elk kwartaal (28%) weerbaarder maken tegen cybercriminaliteit.
Het onderzoek keek ook naar de populariteit van diverse trainingsvormen, zoals lijstjes met securitytips, interactieve video’s en onlinetests. In Nederland zijn vooral groepstrainingen met het eigen IT- of securityteam populair: 39 procent van de organisaties maakt gebruik van deze trainingsvorm. Dit percentage ligt wel beduidend lager dan het wereldwijde gemiddelde (59%). Dat geldt voor vrijwel alle trainingsvormen.
Zorgen over menselijke fouten
Veel Nederlandse bedrijven zijn zich wel bewust van de risico’s rondom onveilig gedrag van medewerkers. Zo geeft 37 procent van de respondenten aan dat er een hoog risico is op ernstige menselijke fouten bij het gebruik van privémail. Ook maken veel IT-professionals zich zorgen over onbewuste datalekken (36%), een slechte wachtwoordhygiëne (34%) en het gebruik van cloudopslag en andere vormen van schaduw-IT (28%)
Het State of Email Security-rapport laat verder zien dat de digitale gevaren voor Nederlandse bedrijven vergelijkbaar zijn als elders. Zo kreeg een overgrote meerderheid in het afgelopen jaar te maken met phishingaanvallen (96%), impersonatiefraude (92%) en interne bedreigingen of datalekken (86%). Bijna de helft meldt een verstoring van de bedrijfsvoering door een ransomware-aanval, waarvan een kwart zelfs ernstig.
Doelwit voor cybercriminelen
“Dit onderzoek maakt pijnlijk duidelijk dat lang niet alle Nederlandse bedrijven hun cybersecurity serieus nemen”, zegt securityexpert Sander Hofman van Mimecast. “Goed getrainde werknemers vormen de eerste verdedigingslinie tegen allerlei soorten cyberaanvallen. Zonder securitytrainingen is de kans bijvoorbeeld meer dan vijf keer zo groot dat een werknemer op een schadelijke link klikt.”
Volgens Hofman is het cruciaal dat Nederland een inhaalslag maakt. “Ik vind het schokkend dat we internationaal gezien zo slecht scoren op dit gebied. Dit maakt ons land alleen maar aantrekkelijker voor cybercriminelen en schaadt onze economie. Elke Nederlandse organisatie zou in ieder geval haar basisbeveiliging op orde moeten hebben. Frequente securitytrainingen zijn hier een essentieel onderdeel van.”
Hofman geeft organisaties een aantal tips voor een effectief security-awarenessprogramma:
- Ga uit van de zwakke plekken van de organisatie. “Een zorginstelling die veel bijzondere persoonsgegevens verwerkt, loopt andere risico’s dan een retailer die vooral betaalgegegevens verwerkt. Pas daar de trainingen op aan.”
- Creëer draagvlak door het tonen van urgentie. “Het is belangrijk dat alle leidinggevenden achter het programma staan en het personeel enthousiasmeren, bijvoorbeeld via een inspirerende videoboodschap of presentatie.”
- Integreer de lessen in de praktijk. “Securitytrainingen kunnen als erg theoretisch ervaren worden. Gebruik daarom software die herkent wanneer iemand op een schadelijke linkt klikt en meteen een korte opfriscursus aanbiedt.”
- Benut de kracht van humor. “Awarenessprogramma’s stuiten nog weleens op desinteresse. Humor is een krachtig wapen om de aandacht vast te houden. Bovendien blijft lesstof die met humor wordt gebracht vaak beter hangen. “
- Maak het securitybewustzijn onderdeel van de onboardingprocedure. “Slechte gewoonten zijn moeilijk af te leren. Daarom is het wenselijk om bij nieuwe medewerkers direct aandacht te besteden aan security. “
- Doe een simulatietest. Een organisatie wil natuurlijk weten of de trainingen effectief zijn. Een periodieke phishingtest is hiervoor een goed ijkmiddel. Zo’n simulatie laat ook zien welke werknemers extra training nodig hebben.”
- Herhaling is de sleutel tot succes. “Een eenmalige securitytraining heeft doorgaans weinig zin. Structurele gedragsverandering is alleen te realiseren als de trainingen regelmatig terugkeren. Bij voorkeur elke maand of nog vaker.”
Het volledige State of Email Security-rapport kunt u hier downloaden.