De menselijke factor blijft een belangrijke oorzaak van cyberincidenten. KnowBe4 ziet een forse stijging in aanvallen waarbij menselijk handelen al dan niet bewust aan de basis ligt.
Steeds meer organisaties worden getroffen door cyberaanvallen waarbij medewerkers een cruciale rol spelen. In het afgelopen jaar steeg het aantal cyberincidenten door menselijk handelen met 90 procent. Dat blijkt uit wereldwijd onderzoek van KnowBe4 onder 700 cybersecurity-leiders en 3.500 medewerkers.
Phishing verspreidt zich over meerdere kanalen
E-mail blijft de voornaamste aanvalsvector: 64 procent van de organisaties meldt incidenten via dit kanaal. Daarnaast zag 57 procent een stijging van het aantal e-mailaanvallen. In 59 procent van de gevallen leidde phishing tot accountovernames.
Opvallend is dat cybercriminelen zich niet langer beperken tot e-mail. 39 procent van de organisaties rapporteerde succesvolle aanvallen via berichtenplatformen zoals Microsoft Teams en Slack. Ook sociale media (36 procent) en smishing via sms-berichten (31 procent) worden vaker gebruikt. Deze ontwikkeling leidt tot een situatie waarin medewerkers op meerdere digitale kanalen tegelijk doelwit kunnen worden.
Menselijke fouten en interne dreigingen blijven hardnekkig
Naast externe aanvallen veroorzaken ook interne dreigingen ernstige beveiligingsproblemen. 36 procent van de ondervraagde cybersecurity-leiders gaf aan dat medewerkers opzettelijk incidenten veroorzaakten. Slechts in zes procent van die gevallen kon tijdig worden ingegrepen. In 43 procent ging het om het lekken of verkopen van data aan concurrenten.
Tegelijkertijd vormen menselijke fouten een structureel risico. 90 procent van de organisaties kreeg te maken met incidenten zoals verkeerd verzonden e-mails of het delen van gevoelige informatie via samenwerkingsplatforms.
Het onderzoek toont ook een kloof tussen beleid en perceptie. Minder dan een derde van de medewerkers voelt zich verantwoordelijk voor de beveiliging van bedrijfsdata. Bijna de helft beschouwt de data waarmee ze werken niet als eigendom van de organisatie.
Slechts 16 procent van de organisaties beschikt over een programma voor menselijke risico’s. Vrijwel alle cybersecurity-leiders (97 procent) geven aan meer middelen nodig te hebben om menselijke risico’s aan te pakken.