Beveiliging toeleveringsketen is grote zorg

Deze cijfers komen uit SoSafe’s 2024 Human Risk Review onderzoek, dat zich richt op het huidige dreigingslandschap en de beveiligingscultuur binnen bedrijven.

Gedeelde verantwoordelijkheid

Steeds meer bedrijven zijn onderdeel van de toeleveringsketen, waardoor cybersecurity een gedeelde verantwoordelijkheid is geworden. Elke schakel dient zijn eigen beveiliging op orde te hebben. Tegelijkertijd geeft 93% van de cybersecurity professionals binnen de Nederlandse productiesector aan dat geopolitieke onrust voor een stijging van beveiligingsrisico’s zorgt (73% over alle sectoren). Nieuwsartikelen en constante politieke verschuiving kunnen misbruikt worden door cybercriminelen voor social engineering tactieken. Bovendien zorgt toenemende interconnectiviteit voor steeds meer mogelijkheden om bij organisaties binnen te dringen.

Niklas Hellemann, CEO en oprichter van SoSafe, zegt: “Organisaties zitten steeds meer klem tussen bedreigingen die van allerlei kanten komen. Het geopolitieke klimaat waarin we verkeren biedt cybercriminelen nieuwe redenen en middelen om zich op organisaties te richten. Door de brede beschikbaarheid van geavanceerde AI-tools zien we aanvallen nieuwe, onbekende vormen aannemen. De omvang van deze dreiging mogen we niet onderschatten. We moeten organisaties ondersteunen om hun werknemers het meest veelzijdige onderdeel van hun beveiligingsstrategie te maken.”

Menselijke factor grootste risico

Cybersecurity specialisten stippen de menselijke factor aan als een van de grootste risico’s voor Nederlandse bedrijven (30%). Onderzoeksbureau Forrester voorspelde onlangs dat in 2024 bij 90% van de datalekken een menselijk element betrokken zal zijn. Dit onderstreept het belang om werknemers met een holistische en gedrag-gedreven aanpak een actief onderdeel van de cyberbeveiliging te maken. De situatie vergt extra inzet vanuit het bedrijfsleven om cybersecurity op niveau te krijgen, maar dat ontbreekt nog in veel gevallen. Slechts bij 62% van de Nederlandse bedrijven staat de directie open voor aanbevelingen op dit gebied en budgetten werden maar bij de helft van de bedrijven (51%) verhoogd in de afgelopen twee jaar.

Ouderwetse technieken nog steeds effectief

Terwijl nieuwe dreigingen de aandacht opeisen op security-afdelingen, worstelen bedrijven intussen nog met ouderwetse cyberaanvallen. Criminelen zien de mens als de zwakste schakel. Zo zijn standaard phishingmails nog steeds effectief. SoSafe ontdekte dat bij aanvang van een cybertrainingsprogramma 37% van de deelnemers op schadelijk materiaal klikt. 38% van hen blijft vervolgens interactie aanhouden. De meest succesvolle triggers waren gericht op autoriteit, druk of angst, en misbruik van vertrouwen. Gesimuleerde phishing-mails met ‘fout in de loonadministratie’ als onderwerp hadden het hoogste klikpercentage (62%).

Meest voorkomende cyberaanvallen

De vijf meest voorkomende soorten cyberaanvallen zijn volgens de ondervraagde bedrijven phishing, malware, DDoS, ransomware en verschillende vormen van social engineering. Opvallend is dat in 80% van de gevallen ‘geavanceerde’ aanvallen zoals malware en ransomware worden ingeleid met phishing of andere mensgerichte tactieken.
Andrew Rose, Chief Security Officer bij SoSafe, zegt: “Cybercriminelen richten zich op een mix van ‘beproefde’ en nieuwe methoden om hun aanvallen efficiënt, gepersonaliseerd en schaalbaar te maken. Werknemers moeten op meerdere fronten worden getraind. Van goede basisvaardigheden tot het creëren van ‘beveiligingsinstincten’ die opgewassen zijn tegen continu veranderende tactieken van cybercriminelen.”

Focus op werknemers

Hoewel technische beveiligingsmaatregelen essentieel zijn, zijn ze vaak niet opgewassen tegen moderne cyberaanvallen. Daarvoor moet de menselijke verdediging meer aandacht krijgen. 84% van de cybersecurity professionals geeft aan dat het verbeteren van de beveiligingscultuur een topprioriteit is binnen hun bedrijf.