Zes op de tien werknemers onvoldoende getraind in security awareness
60% van de Nederlandse werknemers krijgt van hun werkgever geen enkele training die hen inzicht moet geven in en weerbaar moet maken tegen cyberdreigingen. De werknemers die wel deelnemen aan deze zogenoemde ‘security awareness-programma’s’ trainen vaak erg weinig en niet consistent. Dit is met name het geval in de gezondheidszorg en het onderwijs.
Dat blijkt uit een onderzoek van KnowBe4 naar de aard en gesteldheid van interne trainingen en het kennisniveau van medewerkers op het gebied van cybersecurity in diverse sectoren. Security awareness-training zorgt er niet alleen voor dat medewerkers zich bewust zijn van cyberdreigingen, maar ook dat ze weten hoe ze zichzelf én hun organisatie tegen dreigingen zoals phishing-aanvallen kunnen beschermen. Bijna alle respondenten (96%) geven aan dat ze de waarde van security awareness-trainingen om mensen bewust te maken van de risico’s van cyberaanvallen begrijpen. Opvallend is echter dat maar 40% van de medewerkers daadwerkelijk security awareness-trainingen krijgt aangeboden van zijn of haar werkgever. En van die 40% wordt de meerderheid niet eens frequent getraind. Van het aantal medewerkers dat zegt security awareness-training te ontvangen, geeft maar liefst 45% aan dat dit slechts één keer per jaar gebeurt, terwijl dat voor 15% zelfs minder vaak dan één keer per jaar het geval is.
Grote verschillen tussen sectoren
Óf en hoe vaak medewerkers security awareness-training krijgen, hangt ook af van de sector waarin ze werkzaam zijn. De financiële dienstverlening loopt voorop: 70% van de medewerkers ontvangt security awareness-training en 48% daarvan krijgt die training elk kwartaal of vaker. Daarentegen ontvangen medewerkers die werkzaam zijn in het onderwijs (25%) en in de gezondheidszorg (22%) aanzienlijk minder training en ook minder frequent. Maar liefst 43% van de medewerkers in het onderwijs krijgt die training minder vaak dan een keer per jaar aangeboden. In de gezondheidszorg ligt dit percentage met 27% iets lager.
Jelle Wieringa (foto), Security Awareness Advocate bij KnowBe4: “Blijkbaar krijgt het trainen van medewerkers om zichzelf én hun organisatie beter te beschermen tegen aanvallen van cybercriminelen in het algemeen nog altijd te weinig aandacht in Nederland. Een spijtige constatering als je je bedenkt dat aan 70 tot 90 procent van alle cyberaanvallen een menselijke vergissing vooraf gaat, bijvoorbeeld doordat een medewerker op een linkje in een phishing e-mail klikt. Hoewel een sector als de financiële dienstverlening het goede voorbeeld geeft, traint de meerderheid van de Nederlandse organisaties nog steeds helemaal niet. Mijn advies is om vaker en korter te trainen. Onderzoek wijst uit dat het veel effectiever is om bijvoorbeeld medewerkers een keer per week een korte video te laten zien met enkele tips dan ze één keer paar jaar een paar uur lang in een zaaltje te zetten. Als het gaat om cybersecurity, is op dit vlak nog een hoop te winnen.”