Cyberincidenten waarbij medewerkers een rol spelen, namen het afgelopen jaar met 90% toe. 93% van de organisaties was slachtoffer van aanvallen waarbij cybercriminelen misbruik maakten van menselijk gedrag. Menselijke fouten en interne risico’s blijven structureel bijdragen aan datalekken en accountovernames.
Dat blijkt uit onderzoek van KnowBe4. E-mail blijft bij incidenten het primaire kanaal waarmee cybercriminelen medewerkers misleiden. 64% van de organisaties rapporteerde incidenten die via e-mail ontstonden, terwijl 57% een verdere stijging van e-mailgerelateerde aanvallen zag. Phishing fungeerde bovendien als toegangspoort tot accountovernames bij 59% van de getroffen organisaties.
Tegelijkertijd verschuift het dreigingslandschap naar een bredere groep communicatiekanalen. 39% van de organisaties rapporteerde succesvolle aanvallen via messagingplatforms zoals Microsoft Teams en Slack. Ook sociale media vormen een groeiend risico (36%), net als sms-gebaseerde phishing (smishing), dat 31% van de organisaties trof. Deze ontwikkeling leidt tot zogenoemde boundaryless phishing. Hierbij vormen medewerkers op vrijwel elk digitaal kanaal een doelwit.
Interne dreigingen onderschat
Naast externe aanvallen vormen ook interne dreigingen een substantieel en vaak onderschat risico. 36% van de cybersecurity-leiders gaf aan dat medewerkers het afgelopen jaar bewust beveiligingsincidenten veroorzaakten. In de meeste gevallen konden organisaties hier nauwelijks op ingrijpen. Slechts 6% van deze incidenten werd gestopt voordat de medewerker zijn of haar doel bereikte.
Bij 43% van de incidenten ging het om het lekken of verkopen van data aan concurrenten, gevolgd door het online lekken van informatie (37%) en het meenemen van bedrijfsdata naar een nieuwe werkgever (35%).
Naast kwaadwillend handelen blijven ook vergissingen een belangrijke oorzaak van incidenten. 90% van de organisaties kreeg het afgelopen jaar te maken met beveiligingsincidenten veroorzaakt door menselijke fouten. Denk aan verkeerd geadresseerde e-mails, onjuiste opslag van gevoelige informatie en oversharing via samenwerkingsplatforms.
Het onderzoek laat zien dat veel medewerkers cybersecurity niet als hun eigen verantwoordelijkheid beschouwen. Slechts 29% voelt zich persoonlijk verantwoordelijk voor de bescherming van bedrijfsdata, terwijl 53% vindt dat deze verantwoordelijkheid vooral bij IT- en securityteams ligt.
Opvallend is bovendien dat 47% denkt dat de informatie waarmee zij werken niet eigendom is van de organisatie, maar van henzelf of hun team. Deze kloof tussen beleid en perceptie vergroot de kans op risicovol gedrag en bemoeilijkt effectieve preventie.
Slechts 16% van de organisaties beschikt over een goed ingericht Human Risk Management-programma en 71% heeft onvoldoende inzicht in individuele risicoprofielen van medewerkers. Het is dan ook niet verrassend dat vrijwel alle cybersecurity-leiders (97%) aangeven meer budget nodig te hebben om menselijke risico’s effectief te beheersen.