Er zijn drie duidelijke conclusies uit het rapport van SoSafe ‘SoSafe publiceert ‘Human Risk Review 2022’ – onderzoek naar cyberbedreigingen in Europa’te trekken.
Het gaat om:
- Negen op de tien IT-security-specialisten geven aan dat het cybersecurity klimaat het afgelopen jaar is verslechterd. Dit geldt met name voor supply-chain en ransomware aanvallen. Drie van de vier ondervraagden voegen hieraan toe dat de cyberdreiging sterk is toegenomen door het thuiswerken en hybride werkmodellen.
- Bijna de helft van alle gebruikers opent phishing-mails, en één op de drie gebruikers klikt op de schadelijke inhoud van dezeemails, dit betekent dat de open- en klikpercentages weer zijn gestegen. Er wordt duidelijk misbruik gemaakt van de huidige politieke en maatschappelijkesituatie.
- Door het systematisch inzetten van cybersecurity awareness maatregelen kan het risico op cyberincidenten tot wel 90 procent worden verminderd.
SoSafe, een cybersecurity awareness speler, heeft de ‘Human Risk Review 2022’ gepubliceerd: “Met de Human Risk Review willen we inzicht geven in de huidige trends op het gebied van cyberbedreigingen in Europa. Ons doel is om dit onderwerp nog meer onder de aandacht te brengen – met name wat betreft de ‘human factor’ op het gebied van cybersecurity”, aldus Dr. Niklas Hellemann, Managing Director van SoSafe. Andere bronnen bevestigen dit beeld: een enquête van verzekeringsmaatschappij Allianz toont aan dat cyberincidenten wereldwijd het nummer 1 bedrijfsrisico zijn. Op de RSA Conference 2021 gaf Cisco CEO Chuck Robbins aan, dat de aan hieraan gerelateerde schade 6 miljard dollar per jaar is[2]. De interactie tussen mens en machine blijft daarbij de belangrijkste oorzaak – meer dan 85% van alle cyberaanvallen beginnen met een menselijke fout.[3]
Omdat cybercriminelen steeds professioneler worden, is het belangrijk dat de verdedigende partij haar positie navenant verbetert: “Werknemers hebben meer nodig dan alleen veiligheidsprotocollen, ze kunnen juist als ‘human firewall’ worden ingezet om het veiligheidsrisico structureel te verlagen. Om dit te bereiken, is het nodig om een cultuur te creëren rondom cyberveiligheid waarin medewerkers worden getraind om cybergevaar te herkennen en hier op een veilige manier mee om te gaan,” aldus psycholoog Hellemann. De Human Risk Review helpt daar een handje bij, het bevat aanbevelingen voor IT-security professionals om de cultuur rondom cybersecurity integraal en op lange termijn te verbeteren. Door het systematisch inzetten van cybersecurity awareness maatregelen en Sosafe’s ‘Behavioral Security Models’, kunnen organisaties het risico op cyberincidenten tot wel 90 procent verminderden, blijkt uit Sosafe’s cijfers.
De Human Risk Review is gebaseerd op verschillende gegevensbronnen: een enquête van SoSafe onder 251 IT-security-specialisten, exclusieve reactiegegevens van Sosafe’s awareness-platform (4,3 miljoen gesimuleerde phishing-aanvallen bij 1500 bedrijven en organisaties) en uit het onderzoek ‘Phish-Test’ (1350 gebruikers in 2021 die binnen één week met drie phishing-simulaties te maken kregen), dat SoSafe enBotfrei elk jaar uitvoeren. Bovendien worden bestaande onderzoeken en inhoud geanalyseerd en worden deskundigen uit de sector geïnterviewd.
Toename en professionalisering van cybercriminaliteit
Uit de enquête van SoSafe blijkt dat het aantal cyberdreigingen nog verder is toegenomen: één op de drie bedrijven (35%) heeft het afgelopen jaar te maken gehad met een succesvolle cyberaanval. Verder hebben negen van de tien (90%) IT-security-specialisten aangegeven dat het cybersecurity landschap verder is verslechterd. De aanvalsmethodes en de bedrijfsmodellen van cybercriminelen zijn nog professioneler geworden: “Bedrijven en organisaties worden geconfronteerd met een innovatieve dark economy, waar cybercrime-as-a-service nu het gebruikelijke bedrijfsmodel is, daarin worden de aanvalsmethodes aan de lopende band doorontwikkeld”, aldus Hellemann.
Er tekenen zich twee cybercrime trends af: grootschalige supply-chain-aanvallen die gericht zijn op de zwakke schakels in de keten en zodoende hele industrieën of bevoorradingssystemen plat leggen. Verder spreekt het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) van het ‘gouden tijdperk’ voor ransomware aanvallen. Volgens dit rapport verhogen gecompliceerde aanvalsmethodes zoals meervoudige afpersing het risico op informatie-misbruik met 800%.
Eén op de drie klikt op de schadelijke inhoud in phishing-mails
Phishing en social engineering zijn een terugkerend onderwerp. Op basis van de huidige politieke en maatschappelijke situatie worden phishing aanvallen continu doorontwikkeld, neem bijvoorbeeld de oorlog in de Oekraïne: “Binnen de kortste tijd werden er social engineering-aanvallen gepleegd, waarbij misbruik werd gemaakt van de bereidheid van mensen om de Oekraïne te helpen”, aldus Hellemann. Uit gegevens van SoSafe blijkt dat deze methodes succesvol zijn: bijna de helft van de mensen (45%) opent phishing-mails. Van deze groep klikt bijna één op de drie (30%) op links in de mail, bijlagen of andere schadelijke inhoud. Er is een duidelijke trend te zien in het onderscheid tussen de verschillende demografische groepen: net als in 2021 klikken mannen vaker op phishing-mails (23%) dan vrouwen (20%) en jongere mensen vaker (18-49 jaar; 29%) dan oudere mensen (boven de 50; 19%). 58 procent van de gebruikers die op een e-mail klikten, hebben ook daadwerkelijk gereageerd op de inhoud en voerde bijvoorbeeld persoonsgegevens in gefingeerde aanmeldschermen in. Zodoende zijn de open-, klikpercentages bij phishing-mails nog steeds hoog en zijn deze in vergelijking met het voorgaande jaar zelfs nog verder gestegen.
Hybride werkmethodes vormen nog steeds een uitdaging voor bedrijven
Drie van de vier (75%) ondervraagden geven aan dat de cyberdreiging is toegenomen als gevolg van thuiswerken en andere hybride werkmodellen. Dit is natuurlijk geen verrassing: door hybride
werkmodellen zijn er nieuwe communicatiekanalen ontstaan en cybercriminelen gebruiken deze kanalen als nieuwe ingang om aanvallen uit te voeren. Daarbij richten de cybercriminelen zich vooral op social engineering: er wordt gebruikt gemaakt van emotionele manipulatie om mensen te verleiden om op links, bijlagen of andere schadelijke inhoud van e-mails te klikken. Een cybersecurity awareness aanpak met een psychologische grondslag werkt doeltreffend bij het verminderen van het succes van dit soort aanvallen en 99 procent van de ondervraagden wil daarom volgend jaar door middel van awareness training de cybersecuritycultuur in de eigen organisatie verbeteren.