Proofpoint: 82% van de organisaties hanteert een thuiswerkmodel, maar slechts 30% traint gebruikers in veilig werken op afstand

proofpoint

Proofpoint presenteert voor het zevende jaar zijn State of the Phish-rapport. Dit rapport beschrijft in hoeverre bedrijven te maken hebben met phishing. Daarnaast werpt het een blik op de kennis, kwetsbaarheid en weerbaarheid van gebruikers. Meer dan 75% van de ondervraagden gaf aan dat zijn of haar organisatie in 2020 te maken kreeg met grootschalige phishing-aanvallen, zowel succesvolle als mislukte. 66% van de respondenten gaf aan het slachtoffer te zijn geweest van ransomware. 
 
Het huidige State of the Phish-rapport is gebaseerd op antwoorden van meer dan zeshonderd professionals in informatiebeveiliging uit de Verenigde Staten, Australië, Frankrijk, Duitsland, Japan, Spanje en het Verenigd Koninkrijk. Daarnaast zijn de bevindingen van 3.500 werkende volwassenen uit diezelfde zeven landen onder de loep genomen. Het rapport analyseert ook gegevens van meer dan zestig miljoen gesimuleerde phishing-aanvallen die door Proofpoint-klanten over een periode van een jaar naar hun werknemers zijn gestuurd. Verder zijn ongeveer vijftien miljoen mails geanalyseerd die gebruikers meldden via de PhishAlarm-meldknop
 
“Cybercriminelen over de hele wereld blijven zich richten op mensen met handige, relevante en uitgekiende berichten. Dit gebeurt vooral via e-mail, het meest gebruikte aanvalsmiddel”, zegt Jim Cox, Area Vice President Benelux bij Proofpoint. “Het is cruciaal dat gebruikers begrijpen hoe ze cyberaanvallen kunnen herkennen en melden. Vooral omdat gebruikers grotendeels vanuit huis blijven werken - vaak in een minder beveiligde omgeving. Hoewel veel organisaties zeggen dat ze hun werknemers trainingen geven op het gebied van beveiligingsbewustzijn, blijkt uit onze gegevens dat de meeste van hen dat niet goed genoeg doen.” 
 
Het State of the Phish-rapport van Proofpoint benadrukt de noodzaak van een mensgerichte aanpak van cybersecurity-maatregelen en -trainingen. Hierbij moet rekening worden gehouden met veranderende omstandigheden, zoals organisaties tijdens de pandemie hebben ervaren. Uit enquêtes blijkt dat er een gebrek is aan gerichte training. Zo gaf 82% van de professionals aan dat hun organisatie het afgelopen jaar was overgestapt op een thuiswerkmodel, maar slechts 30% gaf aan dat gebruikers worden getraind in veilig werken op afstand. 
 
“De bevindingen met betrekking tot werken op afstand zijn verontrustend,” stelt Cox. “Een groot deel van de beveiligingsprofessionals die we hebben ondervraagd, gaf aan het afgelopen jaar een nieuw model voor werken op afstand te hebben ingevoerd voor minstens de helft van de werknemers. Toch blijkt minder dan een derde van hen medewerkers te trainen over hoe ze veilig vanuit huis kunnen werken. Tegelijkertijd staat ruim de helft van de werknemers toe dat hun zakelijke apparatuur door vrienden en familie wordt gebruikt voor bijvoorbeeld gamen of online shoppen. Dit brengt grote risicio's met zich mee en versterkt de behoefte aan trainingen op het gebied van beveiligingsbewustzijn die zijn toegespitst op het werken op afstand.” 
 
Het State of the Phish-rapport biedt bruikbare adviezen en een grondige analyse van het phishing-landschap om risico's te helpen verminderen. De belangrijkste bevindingen zijn: 
 
  • Er zijn in 2020 meer organisaties slachtoffer geworden van succesvolle phishing-aanvallen dan in 2019 (57% tegenover 55%). Daarnaast blijven Business Email Compromise (BEC)-aanvallen een zorgwekkend probleem.  
  • Twee derde van de respondenten gaf aan dat hun organisatie in 2020 te maken kreeg met ransomware. Meer dan de helft van hen besloot het losgeld te betalen in de hoop snel weer toegang te krijgen tot de gegevens. Van degenen die betaalden, kreeg 60% na de eerste betaling weer toegang tot de gegevens of systemen. Bijna 40% kreeg echter te maken met aanvullende eisen na een eerste betaling - een stijging van 320% ten opzichte van vorig jaar. 32% gaf aan vervolgens akkoord te zijn gegaan met het betalen van het aanvullende losgeld - een toename van 1500% ten opzichte van 2019. 
  • 80% van de onderzochte professionals gaf aan dat training in beveiligingsbewustzijn de kwetsbaarheid van werknemers voor phishing-aanvallen heeft verminderd. Maar hoewel 98% van de ondervraagde professionals zegt dat hun organisatie een trainingsprogramma voor beveiligingsbewustzijn heeft, biedt slechts 64% gebruikers formele trainingssessies aan als onderdeel van cybersecurity-trainingen.  
  • Het gemiddelde aantal werknemers bij Proofpoint-klanten dat niet slaagde voor phishing-simulaties was 11%, een daling ten opzichte van 12% in 2019. De gemiddelde weerbaarheidsfactor was 1,2. Dit duidt erop dat werknemers binnen deze organisaties eerder geneigd zijn om een verdachte e-mail te melden dan dat ze op die mail reageren. 
  • Organisaties in de maakindustrie kregen in 2020 het vaakst te maken met phishing-aanvallen. Organisaties in deze branche zijn daarnaast het meest actief in het testen van hun gebruikers op phishing-aanvallen. Het percentage dat niet slaagde voor phishing-simulaties lag op 11%. 
  • Op afdelingsniveau presteerden inkoopteams het beste. Slechts 7% van hen slaagde niet voor de phishing-simulaties. Onderhouds- en facilitaire teams waren de slechtst presterende afdelingen, met gemiddelde percentages van respectievelijk 15% en 17%.  
Organisaties worden aangemoedigd om proactief mensgerichte strategieën voor cybersecurity te ontwikkelen. Daarbij moeten ze niet alleen kijken naar vergelijkbare situaties in andere regio's, branches en afdelingen, maar ook naar bedreigingen die uniek zijn voor hun eigen missies, doelen en mensen. 
 
Het State of the Phish 2021 report en een lijst met regionale vergelijkingen, is beschikbaar via https://www.proofpoint.com/us/resources/threat-reports/state-of-phish
 
Meer informatie over best practices en trainingen op het gebied van cybersecurity-bewustzijn is te vinden op https://www.proofpoint.com/us/product-family/security-awareness-training
Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Hoe phishingbewust is jouw organisatie echt?

Hoe phishingbewust is jouw organisatie echt?

Het NK-Phishing is terug! Na vier succesvolle edities is de competitie waarbij medewerkers van verschillende organisaties worden getest er weer. Lukt het jouw team om de phishing mails van dit jaar te herkennen? In teams van 10 strijd jouw organisatie tegen meer dan 500 andere deelnemers voor een mooie prijs.

Proofpoint publiceert vandaag nieuw onderzoek naar TA4903

Proofpoint publiceert vandaag nieuw onderzoek naar TA4903

Proofpoint publiceert vandaag nieuw onderzoek naar TA4903. Deze dreigingsactor heeft een financieel motief en bespied zowel Amerikaanse overheidsinstanties als particuliere bedrijven in meerdere sectoren. De actor richt zich vooral op bedrijven in de Verenigde Staten, maar soms zijn ook wereldwijde organisaties slachtoffer van grote hoeveelheden e1