90% meer cyberincidenten waarbij medewerkers een rol spelen

Daarnaast verschuift het dreigingslandschap naar meerdere communicatiekanalen. Succesvolle aanvallen via messagingplatforms zoals Microsoft Teams en Slack werden gerapporteerd door 39% van de organisaties. Ook sociale media, toegankelijk via zakelijke apparaten, vormen een groeiend risico (36%), net als sms-gebaseerde phishing (smishing), dat 31% van de organisaties trof. Deze ontwikkeling leidt tot boundaryless phishing, waarbij medewerkers op vrijwel elk digitaal kanaal doelwit kunnen worden.

Interne dreigingen vaak onopgemerkt

Naast externe aanvallen vormen ook interne dreigingen een aanzienlijk risico. Volgens 36% van de cybersecurity-leiders veroorzaakten medewerkers het afgelopen jaar bewust beveiligingsincidenten. In de meeste gevallen konden organisaties hier nauwelijks op ingrijpen: slechts 6% van deze incidenten werd gestopt voordat de medewerker zijn of haar doel bereikte.

Bij 43% van de incidenten ging het om het lekken of verkopen van data aan concurrenten, gevolgd door het online lekken van informatie (37%) en het meenemen van bedrijfsdata naar een nieuwe werkgever (35%).

Menselijke fouten blijven een structurele factor

Naast opzettelijk handelen blijven ook vergissingen een belangrijke oorzaak van incidenten. Bij 90% van de organisaties leidden menselijke fouten, zoals verkeerd geadresseerde e-mails, onjuiste opslag van gevoelige informatie en oversharing via samenwerkingsplatforms, tot beveiligingsincidenten.

Uit het onderzoek komt naar voren dat veel medewerkers cybersecurity niet als hun eigen verantwoordelijkheid zien. Slechts 29% voelt zich persoonlijk verantwoordelijk voor de bescherming van bedrijfsdata, terwijl 53% vindt dat deze verantwoordelijkheid vooral bij IT- en securityteams ligt. Daarnaast denkt 47% dat de informatie waarmee zij werken niet eigendom is van de organisatie, maar van henzelf of hun team. Deze kloof tussen beleid en perceptie vergroot de kans op risicovol gedrag en bemoeilijkt effectieve preventie.

Human Risk Management-programma

Slechts 16% van de organisaties beschikt over een goed ingericht Human Risk Management-programma, en 71% heeft onvoldoende inzicht in individuele risicoprofielen van medewerkers. Bijna alle cybersecurity-leiders (97%) geven aan meer budget nodig te hebben om menselijke risico’s effectief te beheersen.

“Hoewel investeren in technologie belangrijk is, mag dit niet ten koste gaan van het menselijke aspect”, zegt Javvad Malik, Lead CISO Advisor bij KnowBe4. “Zolang medewerkers dagelijks beslissingen nemen over data en systemen zonder real-time begeleiding, blijven zij het grootste aanvalsoppervlak. Human Risk Management helpt organisaties om menselijk gedrag beter te begrijpen en medewerkers actief te ondersteunen op het moment dat het ertoe doet.”