Veel Nederlandse werknemers zijn onvoldoende bewust van cyberrisico’s
Fortinet, speler in cybersecurity en de drijvende kracht achter de convergentie van netwerk- en beveiligingstechnologie, publiceert het jaarlijkse 2024 Security Awareness & Training Global Research Report. Het rapport maakt gebruik van cijfers uit de enquête die recentelijk werd uitgevoerd onder ruim 1.850 senior managers en directieleden in 29 landen, waaronder Nederland. Het snelle ontwikkelingstempo van cyberaanvallen maakt security awareness en training steeds belangrijker. Werknemers kunnen dan ook een cruciale rol vervullen bij het terugdringen van de beveiligingsrisico’s voor organisaties.
Belangrijke bevindingen op basis van de wereldwijde enquête zijn onder meer:
Nu cybercriminelen AI inzetten om het aantal en de snelheid van cyberaanvallen op te voeren, vrezen zakelijke beslissers dat deze bedreigingen moeilijker te spotten zijn voor werknemers. De helft van de Nederlandse respondenten verwacht dat meer werknemers slachtoffer zullen worden van cyberaanvallen die gebruikmaken van AI. Maar er is ook goed nieuws: de meeste respondenten wereldwijd (80%) zeggen dat hun management oog heeft voor deze bedreiging en daardoor meer openstaat voor het aanbieden van bedrijfsbrede security awareness- en beveiligingstraining.
Werknemers kunnen dienen als eerste verdedigingslinie van een organisatie, maar zakelijke beslissers maken zich steeds grotere zorgen dat het personeel onvoldoende bewust is van de cyberrisico’s. Bijna 70% van alle wereldwijde respondenten is van mening dat het werknemers binnen hun organisatie aan cruciale beveiligingskennis ontbreekt. In 2023 was dit nog 56%. In Nederland zegt 78% van alle respondenten dat hun werknemers onvoldoende bewust zijn van cyberrisico’s.
Zakelijke beslissers wereldwijd onderkennen het belang van security awareness-training, maar wijzen op specifieke kenmerken die bepalend zijn voor de effectiviteit van programma’s. Driekwart van alle zakelijke beslissers zegt dat zij security awareness-campagnes op stapel hebben staan. Het gaat in Nederland om maandelijkse training (28%) of kwartaaltraining (34%). De respondenten geven daarnaast aan dat het succes van hun programma staat of valt bij de kwaliteit van de inhoud van de training.
De nieuwe cyberbedreigingen die werknemers moeten bevechten
Cybercriminelen maken steeds vaker gebruik van AI om hun phishing-trucs geloofwaardiger en moeilijker detecteerbaar te maken. Aangezien phishing-aanvallen rechtstreeks op eindgebruikers zijn gericht, leggen organisaties een sterke nadruk op training die medewerkers helpt met het herkennen van deze aanvallen, om te voorkomen dat zij er het slachtoffer van worden.
Eindgebruikers zijn en blijven een aantrekkelijk doelwit. Ruim 80% van alle organisaties wereldwijd kreeg vorig jaar te maken met cyberaanvallen die rechtstreeks op eindgebruikers waren gericht. Het ging onder meer om malware-infecties, phishing en wachtwoordaanvallen.
Het snelle ontwikkelingstempo van cyberaanvallen maakt security awareness en training steeds belangrijker. Bijna alle respondenten (92%) in Nederland zeggen dat steun van het management te krijgen voor security awareness-training van het personeel.
Bijna alle Nederlandse respondenten (80%) zegt dat het voorkomen van phishing deel uitmaakt van hun trainingprogramma. Andere topprioriteiten op het gebied van training zijn gegevensbeveiliging (36%) en privacy (38%).
Werknemers vormen sterke eerste verdedigingslinie
Hoewel security- en IT-teams van cruciaal belang zijn om organisaties tegen cyberbedreigingen te beschermen, kan het personeel eveneens een belangrijke rol spelen bij de preventie van beveiligingsincidenten.
Werknemers staan open voor security awareness- en beveiligingstraining. De meeste zakelijke beslissers (78%) zeggen dat werknemers binnen hun organisatie positief staan tegenover de mogelijkheid van security awareness- en beveiligingstraining.
Organisaties boeken positieve resultaten met hun trainingsprogramma’s. Een overweldigende meerderheid van de respondenten (94%) zegt dat hun organisatie op zijn minst enige verbetering zag in de bedrijfsbrede beveiliging na de introductie van security awareness- en beveiligingstraining. Er was geen enkele respondent die geen verbetering bespeurde.
Niet alle security awareness-programma’s zijn even goed
De meeste organisaties willen security awareness- en beveiligingstraining binnen hun organisatie introduceren na ervaringen met een beveiligingsincident of na kennis te hebben genomen van de cyberbedreigingen in de sector waarin zij actief zijn.
Bijna alle zakelijke beslissers (92%) zegt dat het management steun verleent aan de invoering van training die werknemers bewuster maakt van de beveiligingsrisico’s.
Volgens de enquêteresultaten van dit jaar is 97% van alle zakelijke beslissers wereldwijd van mening dat het bevorderen van security awareness bij het personeel de bedrijfsbrede beveiliging een boost zou geven. De respondenten zijn het er echter ook mee eens dat de effectiviteit van trainingsprogramma’s afhankelijk is van bepaalde kernaspecten:
Boeiende content is van cruciaal belang. 84% van alle beslissers zei tevreden te zijn met hun oplossing voor security awareness en training. De vaakst gehoorde klacht onder de groep ontevreden respondenten was een gebrek aan boeiende content.
Houd rekening met de drukke agenda van werknemers. Voorkom trainingsmoeheid door rekening te houden met de tijd die deelnemers moeten uittrekken. Als dat te veel is, kunnen zij daardoor overbelast raken. Meestal wordt een trainingsduur van 1 tot 2 uur aanbevolen. De gemiddelde duur van trainingen bedraagt 3 uur.
John Maddison, chief marketing officer bij Fortinet: “Cybercriminelen maken gebruik van nieuwe technologieën zoals AI om steeds geavanceerdere aanvallen uit te voeren. Het is daarom belangrijker dan ooit dat werknemers een krachtige eerste verdedigingslinie vormen. Het enquêterapport van Fortinet wijst op de noodzaak om een beveiligingscultuur in het leven te roepen en voor bedrijfsbrede security awareness- en beveiligingstraining te zorgen. Deze bevindingen onderschrijven het belang van onze bekroonde Security Awareness & Training-dienst voor het opvoeren van de cyberveerkracht van bedrijven. Er is ook een gratis versie van deze dienst beschikbaar voor basisscholen en middelbare scholen in alle delen van de wereld.”
De Fortinet Security Awareness & Training Service
Slechts één beveiligingsincident kan al funeste gevolgen voor een organisatie hebben. Het is daarom van cruciaal belang om een drieledige beveiligingsstrategie te ontwikkelen. Deze moet voorzien in security awareness-training voor alle werknemers, technische training voor het IT- en security-personeel en geavanceerde oplossingen voor netwerkbeveiliging.
Security awareness- en beveiligingstraining maken werknemers duidelijk wat zij moeten doen wanneer zij met cyberbedreigingen te maken krijgen en leggen de basis voor een bedrijfsbrede beveiligingscultuur. De Security Awareness & Training-dienst van Fortinet helpt bedrijven om hun medewerkers cyberbewust te maken. Deze dienst is ontwikkeld door de trainers van wereldformaat van het Fortinet Training Institute en beslaat een uitgebreide reeks van onderwerpen, biedt mogelijkheden voor het aanpassen van het lesaanbod en versterkt het leerproces met periodieke controles en opfriscursussen. Organisaties die deze dienst gebruiken krijgen toegang tot diverse dashboards waarmee zij de voortgang van deelnemers kunnen bijhouden en rapporten die hen helpen om te voorzien in hun behoeften op het gebied van cyberverzekeringen en compliance.
Over de Fortinet Cyber Awareness Survey
De enquête werd uitgevoerd onder ruim 1.850 senior managers en directieleden in 29 landen bij organisaties die hun personeel security awareness- en beveiligingstraining aanboden. De respondenten waren actief in diverse sectoren, waaronder de maakindustrie (17%), financiële dienstverlening (13%) en technologie en zakelijke dienstverlening (11%).
