Ondanks dat ze het aantal phishing-aanvallen zien toenemen, maken de meeste managers zich slechts licht tot gematigd zorgen. Dat blijkt uit onderzoek van Capterra. Zijn ze zich bewust genoeg van de gevaren van phishing?

bewustzijn gevaren van phishing-aanvallen bij Nederlands bedrijven

In dit artikel

Volgens een onderzoek van het Digital Trust Center is vooral het mkb kwetsbaar voor phishing-aanvallen. Het centrum, dat door het Ministerie van Economische Zaken is opgezet om bedrijven en zzp’ers te helpen hun cyberveiligheid te verhogen, zette een groot veldexperiment op om inzicht te krijgen in de kwetsbaarheden van het mkb. Enkele tienduizenden medewerkers kregen een nep-phishing-mail gestuurd en werden daarin verleid om op een link te klikken. Het bleek dat ruim één op de vijf medewerkers (22%) dat ook daadwerkelijk deed. 

Hoe langer het geleden was dat de medewerkers een échte phishing-mail hadden gezien, hoe meer ze geneigd waren op de link te klikken. Het is, met andere woorden, van groot belang om werknemers waakzaam te houden op phishing, zelfs als het al het maar heel weinig voorkomt.

De vraag is hoe alert bedrijven zijn als het om phishing gaat. Hoeveel zorgen maken ze zich om phishing-aanvallen? Wat zijn, volgens medewerkers zelf, de zwakste plekken? En hoe worden medewerkers getraind in cyberrisico’s om phishing-aanvallen te herkennen? 

Om op die vragen antwoord te vinden, ondervroeg Capterra 339 reguliere werknemers en 131 managers in verschillende sectoren in heel Nederland. De ondervraagde leidinggevenden bekleden een senior of executive managementfunctie of zijn de eigenaar van het bedrijf. Wanneer we in het artikel refereren aan “managers” bedoelen we die groep.  

De respondenten moesten voor hun dagelijkse werk een computer gebruiken en op het werk een poging tot phishing hebben meegemaakt. In sommige gevallen hebben we de resultaten vergeleken met die in andere Europese landen. 

De volledige methodologie vind je onderaan dit artikel

Slechts 13% van de managers maakt zich serieus zorgen om phishing-aanvallen

Zoals in het eerste onderzoek beschreven, hebben de meeste respondenten de indruk dat het aantal phishingaanvallen de afgelopen drie jaar behoorlijk is gestegen. Zo denkt 39% dat het aantal aanvallen minstens met 21% is gestegen en volgens sommigen (8%) zelfs met meer dan 40% is gestegen.

Toch lijken de meeste ondervraagde managers zich niet al te veel zorgen te maken over de aanvallen. Volgens de meeste respondenten zijn phishing-aanvallen slechts een lichte (39%) tot gematigde (39%) reden tot zorg. Voor bijna één op de tien ondervraagden (9%) is het zelfs helemaal geen reden tot zorg. 

Slechts 13% van de ondervraagde managers in Nederland zegt dat phishing-aanvallen een ernstige reden tot zorg zijn. Om dat in perspectief te plaatsen: volgens 29% van de ondervraagde managers in Groot-Brittannië zijn phishing-aanvallen een reden tot grote zorg en volgens 23% van de ondervraagden in Duitsland.

bezorgdheid bij bedrijven over phishing-aanvallen

Eén op de tien managers heeft weleens op een phishing-link geklikt

De vraag is waar dat optimisme vandaan komt, gezien de door hen zelf gesignaleerde toename van het aantal aanvallen. Zeker gezien het feit dat één op de tien (11%) van de ondervraagde managers aangeeft weleens op een link in een phishing-mail te hebben geklikt. Dat is een stuk hoger dan het percentage bij de ondervraagde reguliere medewerkers, waarbij slechts 2% zei op een link te hebben geklikt. 

Eén van de redenen daarvoor zou kunnen zijn dat managers zich zekerder van hun zaak voelen en meer risico’s durven te nemen. Volgens het eerdergenoemde onderzoek van het Digital Trust Center is er een samenhang tussen hoeveel risico’s medewerkers durven te nemen en het klikken op een link in een phishing-mail. Vooral risicozoekende medewerkers zouden veel baat kunnen hebben bij phishing-testen.

Slechts 46% van de werknemers zegt training te hebben gekregen om zich bewust te worden van phishing

In veel bedrijven lijkt het te ontbreken aan voldoende training om medewerkers bewust te maken van de gevaren van phishing. Zeker in vergelijking met andere landen lijken bedrijven in Nederland op dit gebied laag te scoren. 

Zo zegt minder dan de helft (46%) van de ondervraagde werknemers in Nederland dat hun bedrijf een training heeft geïmplementeerd om hen bewust te maken van de gevaren van phishing. Ter vergelijking: in het Verenigd Koninkrijk zegt bijna driekwart (74%) van de werknemers dat hun bedrijf een dergelijke training heeft opgezet en Duitsland 61% van de werknemers.

Ruim twee op de drie medewerkers (64%) die geen training hebben gekregen, of daar niet zeker van zijn, zouden dan ook willen dat hun bedrijf zo'n training aanbiedt.

bedrijven die een training hebben om werknemers bewust te maken van phishing

Gesimuleerde phishing-berichten minst gebruikte trainingsmethode

Bij werknemers die wél een training hebben ontvangen gaat het in slechts in één op de vijf gevallen (20%) een gesimuleerde phishing-campagne. Zoals het voorbeeld van het Digital Trust Center laat zien, is dat de beste manier om inzicht te krijgen in hoe kwetsbaar medewerkers zijn voor een phishing-aanval.

De meest gebruikte trainingsmethodes, volgens de werknemers die een training hebben ontvangen, zijn een video waarin het gevaar van phishing wordt uitgelegd (48%), een document waarin het veiligheidsbeleid van het bedrijf bij een phishing-aanval wordt toegelicht (47%) en een voorlichtingsbijeenkomst waarin iemand uitlegt wat de gevaren zijn van phishing (43%).

de meest gebruikte trainingsmethoden om werknemers bewust te maken van phishing
Welke soorten phishing zijn er?

Om een goede phishing-campagne te simuleren of om ze succesvol te kunnen afslaan, is het belangrijk om te weten dat aanvallen via verschillende kanalen kunnen worden gepleegd. Dit zijn de kanalen die het meest worden gebruikt:

1. Phishing via mail

De meest bekende vorm van phishing gaat via de mail, waarbij potentiële slachtoffers een nepbericht krijgen toegestuurd waarbij ze worden verleid om een link of een bijlage te openen. Zodra ze dat doen is de computer besmet of komen ze op een website terecht waar ze worden misleid om hun persoonlijke gegevens zoals wachtwoorden in te vullen. In veel gevallen doen cybercriminelen zich in de mail voor als een bekend bedrijf of officiële instantie.

2. Phishing via sms of WhatsApp

Hierbij krijgen slachtoffers een nep-berichtje gestuurd, ofwel van een bekende van het slachtoffer, een bedrijf of officiële instantie. Soms wordt gevraagd per direct geld over te maken, bijvoorbeeld vanwege een belastingschuld en soms wordt gevraagd om op een link te klikken, bijvoorbeeld omdat een pakket niet kon worden afgeleverd.

3. Phishing via sociale media

Veel bedrijven gebruiken social-media-platforms om klanten te informeren over nieuwe producten of aanbiedingen. Het is daarom aantrekkelijk voor cybercriminelen om zich op social media voor te doen als een bestaand bedrijf. De slachtoffers krijgen dan bijvoorbeeld een persoonlijk bericht gestuurd waarin wordt gevraagd om creditcardgegevens of andere persoonlijke data.

4. Phishing via de telefoon

Het komt ook voor dat slachtoffers via de telefoon worden benaderd, waarbij criminelen zich bijvoorbeeld voordoen als een vertegenwoordiger van een bekend bedrijf, een officiële instantie of een bank. Er kan dan gevraagd worden om tijdelijk toegang te krijgen tot je computer, bijvoorbeeld vanwege een foutmelding, of om persoonlijke data.

Volgens meeste managers maakt hybride werken of thuiswerken phishing een grotere bedreiging

Thuiswerken maakt het ingewikkelder om werknemers te beschermen tegen phishing en andere vormen van cybercriminaliteit. De redenen hiervoor zijn dat thuiswerkers vaker hun persoonlijke laptop gebruiken, vaker apps van derden gebruiken en zich mogelijk minder bewust zijn van de gevaren.

Uit het onderzoek naar thuiswerken van Capterra blijkt inderdaad dat op afstand werken risico‘s met zich meebrengt. Zo blijkt dat de helft van thuiswerkers geen uniek wachtwoord gebruikt voor iedere site waar ze gebruik van maken: 21% gebruikt vaak dezelfde wachtwoorden voor alle sites en 28% slechts een aantal verschillende wachtwoorden.

Managers zijn zich bewust van deze gevaren, aangezien een grote meerderheid (85%) antwoordt dat phishing een grotere bedreiging is voor bedrijven die op afstand opereren of een hybride model gebruiken.

maakt thuiswerken bedrijven kwetsbaarder voor phishing-aanvallen?
Hoe kunnen mkb-bedrijven thuiswerkers beschermen tegen de gevaren van phishing?

1. Zorg dat werknemers zich bewust zijn van de gevaren

Met behulp van goede training-software kun je één of twee keer per jaar de kennis van je medewerkers  van het IT-veiligheidsbeleid bijwerken en testen.

2. Moedig medewerkers aan om hun wachtwoorden op een veilige plaats te bewaren

Door wachtwoorden te delen met collega's of ze in een document op uw laptop te bewaren, kunnen cybercriminelen ze gemakkelijker vinden. Beter is het gebruik van een wachtwoordbeheersysteem waarin medewerkers alle verschillende wachtwoorden veilig kunnen opslaan.

3. Gebruik een goede spamfilter-software

Door een spamfilter te implementeren zorgt je ervoor dat e-mail van onbetrouwbare bronnen rechtstreeks naar de spambox wordt gestuurd, waardoor de kans op een succesvolle phishing-aanval kleiner wordt

4. Stuur regelmatig onze phishing-tests

De beste manier om mensen bewust te maken van de gevaren van phishing, en goed inzicht te krijgen in wie kwetsbaar is voor phishingberichten, is door regelmatig valse phishingberichten te versturen. Je kunt het combineren met een training over het herkennen van een phishing-e-mail.

Meeste bedrijven gebruiken anti-phishing software

Een populaire manier voor bedrijven om zichzelf te beschermen tegen phishing-aanvallen is het gebruik van anti-phishing-software, zoals antivirusprogramma's, firewalls of e-mail beveiligingssoftware. Van alle ondervraagde managers antwoordde 84% dat hun bedrijf over dergelijke software beschikt, terwijl 9% zegt dat hun bedrijf dat niet heeft en 7% het niet zeker weet.

Ze erkennen echter ook dat beveiligingssoftware alleen niet voldoende is om bescherming te bieden tegen phishing-aanvallen. Volgens 68% van degenen wier bedrijf anti-phishing-software gebruikt, voorkomt de software regelmatig phishingaanvallen, terwijl 29% zegt dat het slechts af en toe een aanval voorkomt.

Het is daarom aan te raden om niet alleen te vertrouwen op technologie, maar zorg er ook voor dat jouw medewerkers zich bewust zijn van de gevaren en getraind worden in het herkennen van phishing-aanvallen.

percentage bedrijven dat anti-phishing-software gebruikt

Op welke punten kan het mkb zich beter indekken tegen phishing?

Managers van bedrijven in Nederland zijn niet zo bezorgd over phishing als hun collega's in een aantal andere Europese landen. Zoals gezegd is het percentage managers dat zich grote zorgen maakt over phishing-aanvallen bijna het dubbele of meer dan het dubbele in Duitsland en het Verenigd Koninkrijk.

Om het gevoel van urgentie te vergroten zouden bedrijven kunnen investeren in meer bewustwordings- en opleidingsprogramma's voor zowel vaste medewerkers als managers. Onderdeel van het programma zou een phishing-test kunnen zijn, om mensen bewust te maken van hoe kwetsbaar ze zijn voor phishing-aanvallen. Want ook al lijkt de kans op een succesvolle aanval relatief klein, de gevolgen zijn te groot om uitsluitend op technologische oplossingen te vertrouwen.

Wil je meer weten? Bekijk ons online overzicht van software voor veiligheid-bewustzijns- training om de juiste keuze te maken.

Methodologie

Om deze gegevens te verzamelen heeft Capterra in augustus 2023 470 werknemers bij bedrijven in Nederland geïnterviewd. Hiervan waren 339 vaste werknemers en 131 bekleedden één van de volgende leidinggevende functies:

  • Senior management: multifunctioneel management, waarbij doorgaans leden betrokken zijn die managers van managers zijn;
  • Uitvoerend management: verwijst doorgaans naar het hoofd van een belangrijke zakelijke functie;
  • Eigenaar: volledige operationele controle met grote invloed.

In het Verenigd Koninkrijk zijn 564 medewerkers geïnterviewd, waarvan 349 reguliere werknemers en 215 in een leidinggevende functie. In Duitsland zijn 441 medewerkers geïnterviewd, waarvan 351 reguliere medewerkers en 90 in een leidinggevende functie.

De kandidaten moesten aan de volgende criteria voldoen:

  • Woonachtig in Nederland, Groot-Brittannië of Duitsland;
  • Tussen de 18 en 65 jaar oud zijn;
  • Een fulltime of parttime dienstverband hebben;
  • Gebruik een computer voor hun werk, tenminste soms;
  • Moest de juiste definitie van een phishing-aanval kunnen identificeren nadat hem een definitie werd getoond;
  • Moet bekend zijn geweest met het concept van een phishing-aanval voordat hij aan het onderzoek deelnam;
  • Moet een phishing-aanval op het werk hebben ontvangen (die niet als test door het bedrijf is verzonden).