Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee. Meldingen van financiële sancties, waaronder boetes, zijn toegenomen met 460%. Daarop duidt jaarlijks onderzoek van Proofpoint, gepubliceerd in diens State of the Phish-rapport.

Werknemers ondernemen geen risicovolle acties omdat securitybewustzijn ontbreekt. Van de ondervraagde werkende respondenten onderneemt bijna driekwart risicovolle acties, zoals het hergebruiken of delen van wachtwoorden, het klikken op links van onbekende afzenders of het overhandigen van gegevens aan onbetrouwbare bronnen. Van hen is 95 procent zich bewust de risico’s. Dit betekent dat 69% van de Nederlandse werknemers vrijwillig de security van hun organisatie ondermijnt. Mensen zeggen dit te doen vanwege gemakzucht (47%), tijdsbesparing (32%) en een gevoel van urgentie (15%).

IT-teams en medewerkers verschillen in mening over het stimuleren van gedragsverandering. Terwijl 84 procent van de ondervraagde securityprofessionals verantwoordelijk zegt te zijn voor security, weet 66 procent dit niet zeker of beweert niet verantwoordelijk te zijn. Vrijwel alle medewerkers zijn op de hoogte van de inherente risico’s (95%).

Er zijn duidelijke verschillen tussen wat securityprofessionals en medewerkers denken werkt in het stimuleren van gedragsverandering. Securityprofessionals denken dat meer training (87%) en strengere controles (74%) het antwoord zijn, maar bijna alle respondenten (96%) geven prioriteit aan security bij eenvoudigere en gebruiksvriendelijkere controles.

MFA geeft nog steeds een vals gevoel van veiligheid, met als gevolg blootstelling van bedrijven. Iedere maand vinden er meer dan een miljoen aanvallen plaats met een MFA-bypass framework genaamd Evil Proxy. Zorgwekkend genoeg denkt 82 procent van securityprofessionals dat MFA volledige bescherming biedt tegen accountovername.

Bij business email compromise (BEC) wordt nu ook AI ingezet. Driekwart van de Nederlandse bedrijven was in 2023 slachtoffer van BEC-aanvallen (een daling ten opzichte van 92% in 2022). Wereldwijd rapporteerden minder organisaties pogingen tot e-mailfraude. Het aanvalsvolume groeide wel in landen als Japan (jaarlijkse stijging van 35%), Zuid-Korea (+31%) en de Verenigde Arabische Emiraten (+29%). Culturele- of taalbarrières zijn mogelijk oorzaken waarom hier eerder minder BEC-aanvallen voorvielen. Maar generatieve AI stelt aanvallers in staat om meer overtuigende en gepersonaliseerde e-mails in verschillende talen te maken. Maandelijks detecteert Proofpoint gemiddeld 66 miljoen gerichte BEC-aanvallen.

Cyberafpersing blijft onderwijl een lucratieve aanvalsvorm. Bijna driekwart van de onderzochte Nederlandse bedrijven was in 2023 slachtoffer van een succesvolle ransomware-infectie, een daling ten opzichte van 76 procent in 2022. Ruim de helft van Nederlandse IT-professionals geeft aan dat hun organisatie de dupe was van verschillende ransomware-aanvallen. Van de getroffen organisaties betaalde 56 procent losgeld (een daling t.o.v. 76% in 2023). Hiervan kreeg een kwart na betaling weer toegang tot hun gegevens (daling t.o.v. 52% in 2023).

Telephone-oriented attack delivery (TOAD) blijft toenemen. Hoewel TOAD-berichten in eerste instantie niet kwaadwillend lijken, activeren zij de aanvalsketen van zodra een nietsvermoedende werknemer een frauduleus callcenter belt en zijn of haar informatie verstrekt. Proofpoint detecteert gemiddeld 10 miljoen TOAD-aanvallen per maand. In augustus bereikte dit een piek met 13 miljoen incidenten.

Ondanks de toename in bekendheid en geavanceerdheid van dreigingen zoals ransomware, TOAD en MFA-bypass, blijven verschillende organisaties hier onvoldoende op voorbereid. Maar 32 procent van Nederlandse bedrijven leidt gebruikers op in preventie van TOAD-aanvallen en 18 procent onderwijst gebruikers over de veiligheid van generatieve AI.