Identificatie van phishing en gegevensbescherming belangrijkste uitdagingen voor eindgebruikers

Proofpoint heeft zijn 2019 Beyond the Phish Report uitgebracht. Het rapport onderzoekt de kennis van eindgebruikers over een groot aantal cybersecurity-onderwerpen en best practices. In het rapport zijn gegevens verwerkt van bijna 130 miljoen cybersecurity-vragen. Het biedt inzicht in de kennisniveaus van werknemers in veertien categorieën, zestien bedrijfstakken en meer dan twintig soorten bedrijfsafdelingen.

“Cybercriminelen zijn experts in het verzamelen van persoonlijke informatie om zeer gerichte aanvallen tegen individuen uit te voeren”, aldus Amy Baker, vicepresident Security Awareness Training Strategy and Development bij Proofpoint. “Regelmatige en effectieve trainingen op het gebied van security-bewustzijn zijn noodzakelijk om een sterke veiligheidscultuur op te bouwen. Dit is de beste manier om werknemers te leren hoe ze hun eigen gegevens en die van hun werkgever kunnen beschermen. Zo vormen eindgebruikers een sterke laatste verdedigingslinie tegen cyberaanvallers.”

Phishing blijft een belangrijk probleem voor bedrijven wereldwijd. In het algemeen werd één op de vier vragen in de categorieën 'Identifying Phishing Threats' en 'Protecting Data Throughout Its Lifecycle' onjuist beantwoord. Het 2019 Beyond the Phish Report toont aan dat werknemers beter bekend zijn met de kenmerken van phishingaanvallen en de noodzaak om gegevens te beschermen. Toch is er nog steeds een tekort aan kennis en hier kunnen cybercriminelen van profiteren. Als onderdeel van het 2019 State of the Phish Report stelde Proofpoint vast dat 83 procent van de bedrijven in 2018 te maken kreeg met phishingaanvallen. Dit onderstreept de noodzaak om eindgebruikers goed voor te lichten.

Enkele van de belangrijkste bevindingen in het 2019 Beyond the Phish Report:

• Communicatie was de best presterende afdeling: eindgebruikers beantwoordden 84 procent van de vragen correct.
• De financiële sector was de best presterende sector: eindgebruikers beantwoordden 80 procent van alle vragen correct.
• Eindgebruikers in de verzekeringssector scoorden het beste in 3 van de 14 geanalyseerde categorieën. Bijzonder goed deden zij het in de categorie “Avoiding Ransomware Attacks”.
• De afdelingen klantenservice, facilitair en beveiliging behoorden tot de slechtst presterende afdelingen: gemiddeld 25 procent van de vragen over cyberbeveiliging werd niet correct beantwoord. Aangezien respondenten zelf hun afdeling moesten invullen, behelst de afdeling security mogelijk zowel fysieke beveiliging als cybersecurity.
• Eindgebruikers in de onderwijs- en transportsector hebben gemiddeld de minste kennis over phishing: zij beantwoorden gemiddeld 24 procent van de vragen in alle categorieën onjuist.
• Medewerkers in de horecasector scoorden het laagst in 3 categorieën, waaronder “Physical Security Risks”, waarin zij 22 procent van de vragen verkeerd beantwoordden.

“Organisaties moeten bewustwordingstrainingen consequent en grondig toepassen en rekening houden met het gedrag van eindgebruikers dat de algemene houding ten aanzien van beveiliging beïnvloedt. Het 2019 Beyond the Phish Report bevestigt de noodzaak om meer te doen dan alleen phishingtests om de kwetsbaarheid van eindgebruikers en de kennis over cyberbedreigingen te evalueren”, aldus Baker. “Niet alle veiligheidsincidenten zijn het gevolg van een aanval; veel problemen ontstaan door beperkt bewustzijn en slechte beveiligingsprocessen. Ons rapport laat zien dat de veiligheid toeneemt wanneer bedrijven en overheidsinstellingen op een goed georganiseerde, consistente manier training geven over alle cyberonderwerpen.”

Effectieve voorlichting is noodzakelijk omdat cybercriminelen zich niet langer richten op de infrastructuur, maar op individuen. Daarom is een benadering van security essentieel die de mens centraal stelt. Proofpoint Security Awareness Training-oplossingen gebruiken op maat gemaakte cybersecurity-trainingen op basis van de meest recente informatie over dreigingen. Zo kunnen organisaties de juiste cybersecurity-training op het juiste moment aan de juiste mensen geven.