Menselijk handelen grootste cybersecurity risico voor organisaties
Slechte gewoonten van medewerkers zorgen er voor dat de deur voor cyberaanvallen bij hun werkgever open komt te staan, blijkt uit recent onderzoek van Willis Towers Watson. In zo’n twee derde (66%) van alle gevallen worden cyberaanvallen veroorzaakt, of vergemakkelijkt, door de nalatigheid en/of kwaadwilligheid van werknemers.
Cybercrime is wereldwijd een enorm en alsmaar toenemend probleem. Volgens data van Grant Thornton zorgde cybercriminaliteit vorig jaar voor een wereldwijde kostenpost van zo’n $280 miljard, terwijl een andere, ambitieuzere, schatting van McAfee, uitgaat van een totale schade voor organisaties en samenleving van meer dan $400 miljard.
Nieuw onderzoek van Willis Towers Watson, dat heeft gekeken naar de verklarende oorzaken achter cyberaanvallen, laat zien dat menselijke fouten de grootste oorzaak (90%) vormen voor datalekclaims binnen organisaties. “Slechts 18% van de cyberaanvallen wordt veroorzaakt door externe bedreigingen en een kleine 2% is het gevolg van cyberafpersing”, schrijven de auteurs.
De resultaten liggen in lijn met ander buitenlands onderzoek, van executive search bureau Norrie Johnston Recruitment (NJR). Uit hun studie bleek dat hoewel er binnen organisaties veel aandacht uitgaat naar het tegenhouden van cybercriminelen, er weinig aandacht is voor het opleiden van hun eigen medewerkers op dit gebied. Zo bleek dat medewerkers een significant risico vormen voor de cyberveiligheid van een organisatie – meer dan 50% van werknemers heeft in de eerste helft van 2016 te maken gekregen met bijvoorbeeld nep-emails van bedrijven, oplichtingspraktijken via bijvoorbeeld Facebook of via de telefoon.
De consultants van Willis Towers Watson constateren dat de meeste organisaties bij het inperken van cyberrisico zich vooral richten op het technologische aspect van cyberdefensie. Er is dus sprake van een “mismatch van majeure omvang”, aldus de wereldwijd opererende consultant, broker en solutions provider. “Veel bedrijven perken hun cyberrisico enkel op technisch vlak in. Natuurlijk speelt technologie een belangrijke rol, maar daarachter zit altijd een mensenhand die vaak wordt vergeten. Concreet gezien, wordt een datalek eerder veroorzaakt door een medewerker die per ongeluk een verkeerd bestand downloadt, dan door een kwaadaardige criminele hack. Juist de bedrijven met bewuste medewerkers en een sterke cyberbeveiligingscultuur zijn het best beschermd tegen cybercriminaliteit”, zegt Anthony Dagostino, Head of Global Cyber Risk bij Willis Towers Watson.
Cyber Risk Culture Survey
In een poging om risicomanagers, IT- en databeveiligingsteams en HR-managers te ondersteunen bij risicobeperking, is Willis Towers Watson de Cyber Risk Culture Survey gestart. Volgens Dagostino onderscheidt de tool zich van andere oplossingen in de markt – IT-bedrijven en consultancybureaus hebben de markt overspoeld met cybersecurity assessments en quick scans – door de focus op human capital. “Het is de eerste tool die het cyberrisico onder werknemers identificeert aan de hand van menselijk gedrag en de werkcultuur”, licht hij toe.
De survey brengt de grootste menselijke valkuilen rondom cybercriminaliteit in kaart. Denk daarbij aan het weggooien van een oude pc zonder eerst de harde schijf leeg te halen, het laten rondslingeren van een USB-stick of het via de privémail behandelen van betrouwbare informatie. “Het uiteindelijke doel is op basis van de resultaten veranderingen in de werkcultuur of beloningen en ontmoedigingsmaatregelen door te voeren, die de werknemer bewuster maken van cyberrisico’s.”
