Securitybewustzijn is ondermaats in Nederlands bedrijfsleven

Ondanks alle awareness campagnes, nieuwsberichten van hacks, en de hoeveelheid malware en ransomware die er onze kant opkomt, nemen Nederlandse werknemers de dreiging van cybercriminaliteit nog altijd niet serieus genoeg.

Werkgevers kunnen dit securitybewustzijn stimuleren via trainingen, maar Nederland heeft internationaal gezien een forse achterstand op dit gebied. “Er moet echt iets veranderen in de prioriteiten van ondernemers en managers die verantwoordelijk zijn voor cybersecurity”, aldus Nick Deen van securityspecialist Mimecast.

Dit volgt als reactie op het rapport Veilig Online 2020: medewerkers bedrijfsleven, onderdeel van het jaarlijkse onderzoek naar het bewustzijn van Nederlanders rondom cybersecurity in opdracht van het ministerie van Economische Zaken en Klimaat (EZK). Uit dat onderzoek blijkt dat medewerkers in Nederland zich relatief weinig zorgen maken over hun digitale veiligheid. Dit geldt met name voor grotere mkb-bedrijven en bedrijven met meer dan 200 medewerkers.

Phishing en acquisitiefraude

Slechts een kwart van deze twee groepen is bezorgd over hun digitale veiligheid. Dat terwijl volgens het onderzoek één op de vijf bedrijven jaarlijks te maken krijgt met een cyberaanval. Pogingen tot phishing en acquisitiefraude komen het vaakst voor. “In beide gevallen maken de criminelen misbruik van de zwakste schakel in security: de mens”, stelt Deen. “Een goed getrainde medewerker vormt de eerste verdedigingslinie tegen phishing en allerlei vormen van fraude.”

Het onderzoek toont ook aan dat lang niet alle werknemers veilig online gedrag vertonen. Zo controleert de helft van de ondervraagde werknemers niet op welke links zij klikken. Ook het gebruik van lange wachtwoorden van minimaal 12 tekens en het regelmatig veranderen van wachtwoorden zijn niet de norm. Slechts een derde van de respondenten geeft aan dit te doen. “Zorgwekkend, want dat zijn vrij basale maatregelen om cybercriminelen buiten de deur te houden.”

Nederland loopt flink achter

Voor Deen is dit geen verrassing. “Het securitybewustzijn in Nederland is gewoon niet op peil. Uit ons eigen onderzoek blijkt dat 18 procent van de Nederlandse bedrijven het personeel helemaal niet traint om cyberaanvallen te herkennen. In andere ontwikkelde economieën zoals de VS, Duitsland en het Verenigd Koninkrijk is dit slechts 1 procent. Geen van de andere onderzochte landen, waaronder Australië, Zuid-Afrika en Saoedi-Arabië, komt boven de 3 procent uit.”

Ook qua frequentie moet Nederland een inhaalslag maken. Deen: “Slechts 12 procent van de Nederlandse respondenten gaf aan dat securitytrainingen binnen hun organisatie op continue basis worden aangeboden. Het wereldwijde gemiddelde is 24 procent. Gelukkig zijn er ook Nederlandse bedrijven die het belang van securitytrainingen wél inzien. Ruim de helft traint het personeel maandelijks (24%) of elk kwartaal (28%). Dat is al een goed begin.”

Gratis phishingtest voor het mkb

Het Digital Trust Center biedt sinds kort een gratis phishingtest voor mkb-bedrijven aan. “Een uitstekend initiatief”, vindt Deen. “Securitytrainingen stuiten nog weleens op weerstand binnen een organisatie, omdat medewerkers ze saai vinden of het belang ervan niet inzien. Een phishingtest zoals deze maakt de dreiging tastbaar. Ook krijgt het management hiermee inzicht in het securitybewustzijnsniveau. Op basis daarvan kunnen gerichte maatregelen worden getroffen.”

Deen benadrukt dat trainingen een zeer effectief instrument zijn om het securitybewustzijn binnen een organisatie te vergroten. “Het is wel belangrijk dat de trainingen regelmatig worden gegeven en de voorbeelden zoveel mogelijk op echte aanvallen lijken. Ook moet de training humor bevatten, want dan blijft de lesstof beter hangen. Met onze securitytrainingen is de kans dat een medewerker op een schadelijke link klikt vijf keer kleiner dan bij ongetrainde medewerkers.”

[Fotocredits © Sikov – Adobe Stock]