Onderzoek

Hoe goed zijn onze organisaties voorbereid op phishing?

Onderzoek Cybersecurity Financieel Management en AG Connect

door Jaime Donata, beeld Shutterstock

De afgelopen zomer hebben AG Connect en Financieel Management een onderzoek gedaan onder hun eigen lezers om te achterhalen hoe het staat met het bewustzijn rondom cybercrime binnen hun eigen organisaties. In deze special vindt u de eerste resultaten.

Finance en IT zijn steeds nauwer met elkaar verbonden. Deze digitale transformatie biedt allerlei mogelijkheden, maar brengt ook risico’s met zich mee op het gebied van cybercrime en security. Hackers proberen dag in dag uit binnen te dringen bij bedrijven en organisaties met phishingmails en ransomware. Steeds vaker brengen ze daarbij grote schade toe door hele systemen plat te leggen en bedrijfsgevoelige data te gijzelen. Soms worden gevoelige data of innovatieve kennis zelfs verkocht aan de hoogste bieder, of aan de opdrachtgever.


Naast operationele schade en vaak hoge losgelden om weer in hun systeem te kunnen, betalen gehackte bedrijven ook een hoge prijs aan reputatieschade. Vandaar dat wij ons bij Financieel Management en AG Connect afvroegen: hoe zit het nu eigenlijk met cybersecurity en het securitybewustzijn bij onze lezers?


De afgelopen weken hebben wij daarom een onderzoek gedaan onder zowel IT-professionals als onder finance professionals om te achterhalen hoe het staat met het securitybeleid bij hun eigen organisaties. In hoeverre zitten IT en finance eigenlijk met elkaar om de tafel om dit probleem te tackelen? Wordt er gewerkt met vaste protocollen om cybercrime te voorkomen? Hoe gaat men binnen de organisatie om met gevoelige data en grote overboekingen? Worden organisaties vaak benaderd met phishingmails?

Geef voor de volgende middelen aan of jouw werkgever die inzet of gaat inzetten. En in hoeverre krijgt de financiële afdeling toegang tot deze middelen?

Diagram 10

Maatregelen tegen phishing

Om met die laatste vraag te beginnen: zo’n 16% van de bijna 200 respondenten geeft aan dat de eigen organisatie weleens is getroffen door een phishingaanval. Daarbij moet (gelukkig) worden aangetekend dat slechts een miniem percentage van de respondenten aangeeft dat de organisatie daarbij grote schade heeft opgelopen.


Dat is op zichzelf goed nieuws – al lijkt wel bijna 34% van de deelnemers aan het onderzoek regelmatig phishingmails te ontvangen. Wat daar vervolgens mee gebeurt, vonden wij ook interessant. Van de financialrespondenten gaf 60% aan dat elke phishingmail binnen de organisatie wordt gemeld binnen de organisatie. Maar dat betekent ook dat bij 40% van de bedrijven niet alle pogingen tot phishing worden bijgehouden.

Gevraagd naar de middelen die worden ingezet tegen cyberaanvallen, lijken de meeste bedrijven van onze respondenten gebruik te maken van een variatie aan oplossingen, waarbij opvalt dat whitelistings en bewustwordingscampagnes toch nog minder gangbaar zijn dan security­oplossingen als endpointbewaking en antivirussoftware.


Met het oog op toenemende CEO-fraude vroegen wij ons ook af in hoeverre organisaties al werken met automatische IT-controle van e-mailadressen. Slechts 41% van de respondenten geeft aan zeker te weten dat deze geautomatiseerde e-mailchecks worden ingezet. Automatische IT-controle op bankrekeningnummers vindt plaats bij slechts 27% van de bedrijven waar onze respondenten werkzaam zijn. Het proces voor (formele) controle op overboekingen boven een bepaalde limiet verloopt bij 34% van de respondenten zelfs nog handmatig, door even langs te lopen.

Ontvang je regelmatig mails waarvan je denkt dat het phishing is?

Diagram 19

Samenwerking en bewustzijn

Omdat de menselijke maat vaak ook een belangrijke factor is in het voorkomen van phishing en hacks, vroegen wij onze lezers hoe zij het bewustzijn rondom cyber­criminaliteit binnen hun eigen organisatie zouden omschrijven. Opvallend in dit licht is dat slechts 51% van alle respondenten aangeeft geheel te kunnen onderschrijven dat er in hun organisatie genoeg bewustzijn is rondom cybercriminaliteit.

­

Hoe nauw werken IT en finance samen als het gaat om afspraken over data in de financiële software? Slechts 38% van de respondenten geeft aan dat er gezamenlijke afspraken zijn gemaakt met IT en finance.


Ook stelden wij aan financiële medewerkers de vraag hoe zij eigenlijk omgaan met gevoelige informatie. Daarbij viel op dat 38% van de respondenten bedrijfsgevoelige informatie nog steeds opslaat op privé apparaten, maar ook dat 64% van de financemedewerkers gevoelige informatie regelmatig doorstuurt naar externe partijen.

Geef voor de volgende acties aan of je ze herkent

Diagram 18

Verder onderzoek

De aanleiding voor deze eerste Finance en IT-special – de steeds verdergaande verstrengeling van beide sectoren – zal de komende jaren alleen nog maar groter worden. Daarom ligt het in de lijn der verwachtingen dat onze redacties elkaar steeds vaker zullen weten te vinden op overlappende thema’s.

Deze special en ons onderzoek vormen wat ons betreft een mooie aanzet tot nauwer contact. Ook de thema’s die we hier samen behandelen, prikkelen onze redacties tot verder onderzoek en diepere vragen rondom de toekomst (en de dagelijkse praktijk) van IT en finance.

Wil je meer weten over ons onderzoek, of zelf ook meepraten over IT en finance? Neem dan contact met ons op: jaimedonata@alexvangroningen.nl