Cyberdreigingen door interne medewerkers krijgen te weinig aandacht

Bedrijven besteden te weinig aandacht aan dreigingen die interne medewerkers kunnen veroorzaken. Dit terwijl medewerkers die bewust of onbewust schadelijke handelingen uitvoeren forse schade kunnen veroorzaken.

Hiervoor waarschuwt het SANS Institute op basis van eigen onderzoek. Bedrijven hebben hun IT-beveiliging steeds beter op orde, waardoor het voor cybercriminelen steeds moeilijker wordt bedrijfsnetwerken binnen te dringen. Aanvallers benaderen daarom steeds vaker interne medewerkers en proberen hen te overtuigen malafide handelingen uit te voeren, zonder dat werknemers zich hiervan bewust zijn. SANS Institute waarschuwt voor de impact die dit kan hebben. Zo kunnen financiële medewerkers worden overtuigd grote geldbedragen over te schrijven naar cybercriminelen (CEO fraude) of kunnen werknemers worden verleid aanvallers onbewust toegang te geven tot bedrijfssystemen.

Maatregelen ontbreken

Opvallend is dat security-professionals zich wel bewust zijn van dit risico, maar verzuimen daadwerkelijk maatregelen te nemen. Zo geeft 36% van de ondervraagde security-professionals in het onderzoek aan te verwachten dat onbewuste schadelijke acties van werknemers de meeste schade kunnen veroorzaken. 40% verwacht dat kwaadwillende medewerkers de meeste schade opleveren, terwijl 23% denkt dat externe cyberaanvallen het meest schadelijk zijn. Eén op de drie respondenten heeft echter geen idee hoe hoog deze schade precies kan zijn.

Daarnaast geeft 62% van de respondenten aan nog nooit slachtoffer te zijn geweest van een aanval waarbij medewerkers betrokken waren. Eric Cole, instructeur bij het SANS Institute, denkt dat dit vooral komt doordat bedrijven dergelijke aanvallen niet of nauwelijks opmerken. Zo geeft 38% van de ondervraagde security professionals aan dat de systemen en methodes die zij gebruiken om handelingen van werknemers te monitoren ineffectief zijn.

Webcast

Alle resultaten van het onderzoek worden door Cole gepresenteerd tijdens een webcast, die voor 1 augustus op de planning staat. Meer informatie over de webcast is hier te vinden.