Explosieve stijging van betrokkenheid medewerkers bij cyberincidenten

Dit blijkt uit onderzoek van KnowBe4 onder 700 cybersecurity-leiders en 3.500 medewerkers. E-mail blijft het belangrijkste kanaal voor cybercriminelen om medewerkers te misleiden. Bij 64% van de organisaties ontstonden incidenten via e-mail, terwijl 57% een verdere stijging zag in e-mailgerelateerde aanvallen. Phishing fungeerde bij 59% van de getroffen organisaties als toegangspoort tot accountovernames.

Het dreigingslandschap verschuift naar meerdere communicatiekanalen. Zo rapporteerde 39% van de organisaties succesvolle aanvallen via messagingplatforms zoals Microsoft Teams en Slack. Ook sociale media die via zakelijke apparaten wordt bezocht vormen een groeiend risico (36%), net als sms-gebaseerde phishing (31%). KnowBe4 waarschuwt dat deze ontwikkeling leidt tot boundaryless phishing, waarbij medewerkers op vrijwel elk digitaal kanaal doelwit kunnen worden.

Interne dreigingen vaak onopgemerkt

Naast externe aanvallen vormen interne dreigingen een aanzienlijk risico. 36% van de cybersecurity-leiders gaf aan dat medewerkers het afgelopen jaar bewust beveiligingsincidenten veroorzaakten. In de meeste gevallen konden organisaties hier nauwelijks op ingrijpen: slechts 6% van deze incidenten werd gestopt voordat de medewerker zijn of haar doel bereikte. Bij 43% van de incidenten ging het om het lekken of verkopen van data aan concurrenten, gevolgd door het online lekken van informatie (37%) en het meenemen van bedrijfsdata naar een nieuwe werkgever (35%).

Naast kwaadwillend handelen blijven vergissingen een belangrijke oorzaak van incidenten. 90% van de organisaties kreeg te maken met beveiligingsincidenten door menselijke fouten, zoals verkeerd geadresseerde e-mails, onjuiste opslag van gevoelige informatie en oversharing via samenwerkingsplatforms.

Onduidelijkheid over verantwoordelijkheid vergroot risico

Uit het onderzoek blijkt dat veel medewerkers cybersecurity niet als hun eigen verantwoordelijkheid zien. Slechts 29% voelt zich persoonlijk verantwoordelijk voor de bescherming van bedrijfsdata, terwijl 53% vindt dat deze verantwoordelijkheid vooral bij IT- en securityteams ligt. Daarnaast denkt 47% dat de informatie waarmee zij werken niet eigendom is van de organisatie, maar van henzelf of hun team. Deze kloof tussen beleid en perceptie vergroot de kans op risicovol gedrag.

Slechts 16% van de organisaties beschikt over een goed ingericht Human Risk Management-programma, en 71% heeft onvoldoende inzicht in individuele risicoprofielen van medewerkers. Bijna alle cybersecurity-leiders (97%) geven aan meer budget nodig te hebben om menselijke risico’s effectief te beheersen.

'De mens wordt vaak uit het oog verloren'

“Organisaties investeren veel in technologie, maar verliezen daarbij vaak de mens uit het oog,” zegt Javvad Malik, Lead CISO Advisor bij KnowBe4. “Zolang medewerkers dagelijks beslissingen nemen over data en systemen zonder real-time begeleiding, blijven zij het grootste aanvalsoppervlak. Human Risk Management helpt organisaties om menselijk gedrag beter te begrijpen en medewerkers actief te ondersteunen op het moment dat het ertoe doet.”

Het rapport ‘The State of Human Risk 2025: The New Paradigm of Securing People in the AI Era’ is gebaseerd op onafhankelijk onderzoek van Arlington Research onder 700 cybersecurity-leiders en 3.500 medewerkers wereldwijd, verspreid over meerdere sectoren en landen.