Ruim securitybudget geen garantie voor immuniteit

Raf-Vervloessem-2[2]

E-mail is nog altijd de meest gebruikte methode om organisaties aan te vallen. Dat is (opnieuw) gebleken uit een recent onderzoek van Barracuda. Dit onderzoek wees uit dat bij organisaties die de bron van een ransomware-aanval wisten te achterhalen, deze aanval in driekwart (76%) van de gevallen via e-mail plaatsvond.

Als het gaat om aanvallen via e-mail, heeft phishing – en vooral het doelgerichte ‘spearphishing’ – zich ontwikkeld tot een lucratieve aanpak. Deze aanvallen zijn zo succesvol omdat ze gepersonaliseerd zijn. Cybercriminelen doen heel veel moeite om zeer ‘echt’ uitziende e-mailberichten te creëren, waarbij ze gebruikmaken van al die informatie die we ergens online zetten. Er is maar één klik op een link of een kwaadaardig bestand nodig, of één e-mail met gevoelige informatie die wordt verzonden aan een bedrieger, om de toekomst van een onderneming in gevaar te brengen.

Het wordt steeds duidelijker dat aanvallers geen onderscheid maken tussen grote en kleine organisaties. Of het nu gaat om een middelgroot bedrijf met beperkte middelen en mankracht, of een organisatie van 10.000 medewerkers met een apart securityteam en bijpassend budget – iedereen ondervindt de impact van deze aanvallen.

In een nieuw, wereldwijd onderzoek hebben we een groot aantal organisaties met 500 tot 10.000 medewerkers ondervraagd, onder andere uit Nederland en België. Ruim de helft (56%) van de respondenten gaf aan het doelwit te zijn geweest van een of meer cyberaanvallen. In EMEA ondervond 79% van de aangevallen organisaties ook daadwerkelijk een aanzienlijke impact. Gemiddeld zijn deze organisaties vijf maal het doelwit geweest van een cyberaanval, terwijl 43 procent zelfs meer dan vijf maal is aangevallen.

De gevolgen van een succesvolle aanval blijven niet beperkt tot de organisatie zelf. Ruim drie op de tien respondenten gaven aan dat klanten (35 procent) en zelfs medewerkers (32 procent) het vertrouwen in de beveiligingsmaatregelen waren verloren vanwege een aanval. Het meest opvallende was dat wereldwijd een op de vijf ondervraagde bedrijven liet weten tijdelijk gesloten te zijn geweest (21 procent) of zelfs klanten was kwijtgeraakt (17 procent). In EMEA waren deze percentages lager (respectievelijk 15% en 14%), wat er op kan duiden dat cyberverdediging in EMEA wat beter is dan het wereldwijde gemiddelde.

De resultaten van ons onderzoek wijzen er op dat een ruim securitybudget geen garantie is voor immuniteit. De meeste dreigingen dringen organisaties namelijk nog altijd via e-mail binnen. Dat brengt ons bij een belangrijk punt. Zoals inmiddels wel bekend, is de meest effectieve securityaanpak een combinatie van mensen en technologie. De best practices in deze blog vormen daarvoor een goed startpunt en daarin staat onder dat voldoende securitybewustzijn onder medewerkers absoluut essentieel is. Maar mensen maken nu eenmaal fouten. Dus moeten er maatregelen getroffen worden om die fouten op te vangen. Bijvoorbeeld een meerlaagse beveiligingsstrategie die onder andere spamdetectie en malwarefiltering omvat, evenals sandboxingtechnieken en bescherming tegen geavanceerde dreigingen. Specifieke oplossingen tegen spearphishing kunnen zeer gerichte, gepersonaliseerde aanvallen tegenhouden. Al deze maatregelen helpen om uw organisatie, uw data en uw medewerkers te beschermen.

Raf Vervloessem is Regional Director Benelux, Nordics en Frankrijk bij Barracuda Networks