Social engineering blijft grootste cyberrisico
Uit het meest recente onderzoek van SANS Institute blijkt dat 80% van de organisaties social engineering beschouwt als het grootste mensgerelateerde risico. Het is een dreiging die extra wordt versterkt door de opkomst van kunstmatige intelligentie. Nu aanvallers veelvuldig AI inzetten, zijn de risico’s van menselijke fouten groter dan ooit. Dit is een van de belangrijkste bevindingen uit de tiende editie van SANS Institute’s Security Awareness Report®: Embedding a Strong Security Culture.
Het rapport is gebaseerd op de antwoorden van meer dan 2.700 security awareness-professionals uit meer dan 70 landen. Zij hebbn hun inzichten met SANS gedeeld zodat dit zeer uitgebreide rapport kon worden samengesteld. Lance Spitzner, Technical Director van SANS Workforce Security & Risk Training: "De inmiddels tiende editie van ons Security Awareness-onderzoek is ons meest ambitieuze en omvangrijke rapport tot nu toe. Het is zo ontworpen dat het security awareness-professionals in staat stelt niet alleen organisatiebrede gedrags- en cultuurverandering te realiseren, maar ook hun eigen loopbaan verder te ontwikkelen."
De belangrijkste bevindingen van het rapport:
Grootste menselijke risico’s
De cijfers van dit jaar laten duidelijk zien dat volgens 80% van de respondenten social engineering het grootste menselijke risico blijft. Phishing gaat hierbij nog steeds aan kop. Smishing- en vishing-aanvallen nemen toe, zowel in frequentie als verfijning. In tegenstelling tot de resultaten van vorig jaar staat het onjuist omgaan met gevoelige
data nu op een tweede plaats, gevolgd door zwakke wachtwoorden en slechte authenticatie. Deze verschuivingen weerspiegelen de veranderende manieren waarop de mens de primaire aanvalsvector is en benadrukken waarom gerichte, gedragsgerichte training essentieel blijft.
Programma-uitdagingen
Gebrek aan tijd en personeel blijven de twee grootste obstakels voor professionals om een effectief programma op te bouwen en te beheren. Het rapport benadrukt het gebruik van hulpmiddelen (waaronder kunstmatige intelligentie) om securityteams te helpen bij het vergroten van hun impact.
Benchmarking en volwassenheid
Voor het zesde jaar op rij bevestigen de cijfers van het onderzoek dat grotere security awareness-teams meer volwassen programma’s opleveren. Gemiddeld zijn er minimaal 2,8 FTE nodig om gedrag merkbaar te beïnvloeden, en 4 (of meer) FTE om daadwerkelijk een cultuurverandering in gang te zetten. Maar personele bezetting is niet alles, constante inspanning in de tijd is minstens zo belangrijk. Hoe langer programma’s actief zijn, hoe groter de kans dat processen verbeteren, samenwerkingen versterken en medewerkers effectief worden betrokken bij het terugdringen van menselijk risico.
Loopbaanontwikkeling
In 2025 bedraagt het gemiddelde wereldwijde jaarsalaris voor mensen die werkzaam zijn in security awareness 99.000 euro; in Europa komt dit gemiddelde jaarsalaris op zo’n 80.000 euro neer.
"De bevindingen van dit jaar komen tegen de achtergrond van organisaties die te maken hebben met toenemende dreigingen zoals AI, deepfakes en andere opkomende risico’s”, besluit Spitzner. “Het rapport biedt actuele, data driven inzichten in hoe securityteams zich aanpassen, waar er gaten zitten en welke strategieën daadwerkelijk effect hebben. In een vakgebied waar menselijke risico’s nog steeds te weinig worden gerapporteerd, zet ons rapport een schijnwerper op een van de meest prangende uitdagingen in cybersecurity."
Het volledige rapport is hier te downloaden.
Lees meer
