Er bestaat een flinke kloof tussen wat werknemers weten van beveiligingsrisico’s en hoe ze daar mee omgaan tijdens het werk. Dat blijkt uit onderzoek onder 8.000 duizend werknemers, dat in vijftien landen is uitgevoerd door ThycoticCentrify in samenwerking met Sapio Research. De meeste werknemers verwachten dat het security-team alle beveiligingsincidenten zullen oplossen.
79 procent van de ondervraagden zegt zich bewust te zijn van beveiligingsrisico’s, maar maakt zich nog regelmatig schuldig aan riskant gedrag. Veel werknemers gaan ervan uit dat zij geen interessant doelwit zijn voor cybercriminelen. En dat zij zich daarom geen zorgen hoeven te maken over beveiligingsrisico’s. Daardoor is de kans dat ze riskante handelingen zullen uitvoeren groot. Denk daarbij aan privé-wachtwoorden gebruiken voor zakelijke accounts of het opslaan van wachtwoorden in de browser.
> LEES OOK: Gebruiksgemak versus beveiliging
Risico-inschatting per land verschillend
Het is interessant dat de inschatting van het beveiligingsrisico en het gedrag van werknemers per land verschillen. In Nederland denkt 51 procent van de werknemers dat er geen of een klein risico bestaat op een cyberaanval. Daarentegen schat twee derde van alle Japanse werknemers (66 procent) het risico van een cyberaanval in als hoog tot zeer hoog. Zij zijn dan ook het minst geneigd om riskante handelingen uit te voeren, zoals het klikken op onbekende links of het herhaaldelijk gebruiken van hetzelfde wachtwoord.
> LEES OOK: Worstelen met wachtwoorden
Wachtwoorden opgeslagen in de browser
Van de ondervraagden slaat 35 procent nog altijd wachtwoorden op in de browser van alle apparaten die ze voor werk en privé gebruiken. Als een hacker erin slaagt om slechts één van die apparaten binnen te dringen, krijgt hij daarmee toegang tot alle wachtwoorden. Dit maakt het heel simpel voor cybercriminelen om zich speciale rechten toe te eigenen zonder te worden opgemerkt. Op die manier kunnen ze toegang krijgen tot het e-mailaccount van de gebruiker, de cloudapplicaties van diens werkgever, persoonsgegevens en gevoelige bedrijfsinformatie.
> LEES OOK: Medewerkers zijn je sterkste poortwachters
Kraken van wachtwoorden
Heeft een werknemer meerdere wachtwoorden opgeslagen in hun browser, dan kunnen cybercriminelen snel nagaan of er sprake is van identieke wachtwoorden of wachtwoorden met simpele variaties. Bijvoorbeeld met slechts één teken verschil. Vervolgens kunnen ze gebruikmaken van een tool voor het kraken van wachtwoorden en woordenlijsten. Om op die manier alle mogelijke combinaties van de wachtwoordkeuzes van de werknemer te achterhalen. En dan is het een kwestie van tijd voordat de cybercriminelen zich toegang verschaffen tot alle gebruikersaccounts van een werknemer, inclusief die voor bedrijfsapplicaties en -systemen.
38 procent ziet geen enkel gevaar in het aansluiten van een privé laptop op het bedrijfsnetwerk
Gebruik van mobiele hotspot
Een ander alarmerende conclusie uit het onderzoek betreft het gebruik van hotspots. Ruim de helft (55 procent) van de respondenten ziet geen gevaar in het gebruik van een mobiele hotspot voor hun werk. Iets meer dan een derde (34 procent) heeft ooit een zakelijk document naar een privécomputer verzonden naar aanleiding van een storing op een apparaat dat ze voor hun werk gebruikten. Ook ziet 38 procent geen enkel probleem als het gaat om het aansluiten van een privé laptop of tablet op het bedrijfsnetwerk.
> LEES OOK: Cybersecurity: niet alleen een ICT-feestje
Misplaatst gevoel van veiligheid
Dat werknemers risicovolle handelingen blijven plegen, is mogelijk toe te schrijven aan een misplaatst gevoel van veiligheid. Al zeggen ze wel de organisatie te willen helpen bij de bescherming tegen cyberbedreigingen. Desondanks vindt ruim de helft (51 procent) dat de IT-afdeling als enige partij verantwoordelijk is voor de bescherming van eindgebruikers en de organisatie. De kans bestaat dus dat werknemers risico’s blijven nemen vanuit de gedachte dat de IT-afdeling het probleem zal oplossen als het tot een beveiligingsincident komt.
Nog te weinig gedaan aan training van werknemers
Met de juiste training over mogelijk cybergevaar (zoals phising) zullen werknemers minder geneigd zijn gevaarlijke mail of bijlages openen. Uit het onderzoek blijkt echter dat hier nog maar weinig aandacht wordt besteed. In Nederland geeft 39 procent van de ondervraagden aan bijgeschoold te zijn, in Frankrijk slechts 30 procent.