Van de IT-beveiligingsincidenten die vorig jaar plaatsvonden bij bedrijven wereldwijd, werd 46 procent onbedoeld of onbewust veroorzaakt door medewerkers. In 40 procent van die gevallen probeerden de betrokken medewerkers het incident na afloop te verbergen. Dat meldt Kaspersky Lab na onderzoek dat het samen met B2B International uitvoerde onder 5000 bedrijven wereldwijd.
Onwetende of onzorgvuldige medewerkers behoren volgens Kaspersky tot de meest waarschijnlijke oorzaken van een cyberbeveiligingsincident. Alleen malware scoort hoger.
Bij 28 procent van de gerichte aanvallen op bedrijven speelde phishing of social engineering een rol als bron. ‘Phishing e-mails, zwakke wachtwoorden, neptelefoontjes van de supportafdeling – we hebben het allemaal voorbij zien komen. Zelfs een doodnormale USB-stick die op de grond ligt op de parkeerplaats van het kantoor of bij het bureau van de secretaresse kan het hele netwerk in gevaar brengen’, zegt David Jacoby van Kaspersky Lab.
Angstcultuur
Volgens Kaspersky brengen werknemers uit vrees voor de gevolgen liever de organisatie in gevaar dan dat ze een probleem rapporteren. ‘Of ze schamen zich ervoor dat ze verantwoordelijk waren voor iets dat fout ging.’
In sommige gevallen introduceren bedrijven streng, maar onduidelijk beleid en wordt te veel druk uitgeoefend op medewerkers. Zo worden ze soms gewaarschuwd om bepaalde dingen niet te doen omdat ze anders verantwoordelijk zijn als er iets misgaat, aldus Martijn van Lom van Kaspersky Lab Benelux. ‘Dergelijk beleid bevordert een angstcultuur en laat medewerkers nog slechts één optie: er alles aan doen om straf te ontlopen.’ Hij adviseert daarom een positieve, op een educatieve aanpak gebaseerde cyberbeveiligingscultuur.
