Uit het Cybersecurityonderzoek Alert Online 2024, uitgevoerd door Ipsos I&O in opdracht van het Ministerie van Economische Zaken, blijkt dat werknemers hun eigen kennis over online veiligheid hoger inschatten dan in 2023. Toch blijft phishing een hardnekkig probleem, met name onder ICT-verantwoordelijken. Het onderzoek, dat jaarlijks wordt gehouden om de cybersecuritymaand in oktober af te trappen, richt zich op de kennis, houding en gedrag van Nederlandse werknemers ten aanzien van online veiligheid. Dit jaar deden 738 medewerkers en 417 ICT-verantwoordelijken aan het onderzoek mee.
Een opvallende uitkomst is dat ruim een kwart van de medewerkers (27%) hun eigen kennis over online veiligheid als (zeer) goed beoordeelt, een stijging ten opzichte van de 21 procent in 2023. ICT-verantwoordelijken schatten hun eigen kennis nog hoger in, met 53 procent die zichzelf een (zeer) goede score geeft.
Ondanks de toegenomen kennis over cybercrime, blijkt uit het onderzoek dat phishing nog steeds veel voorkomt. Zes op de tien medewerkers (58%) gaf aan het afgelopen jaar een phishingmail te hebben ontvangen. Onder ICT-verantwoordelijken lag dit percentage zelfs op 72 procent. Phishing is daarmee de meest voorkomende vorm van cybercrime op de werkvloer.
Naast phishing komen ook andere vormen van cybercrime voor op de werkvloer, zoals hacking en malware. ICT-verantwoordelijken blijken vaker dan andere medewerkers met deze vormen van cybercriminaliteit te maken te krijgen. Dit kan te maken hebben met het feit dat zij zich meer bewust zijn van de gevaren en de signalen van een cyberaanval beter herkennen.
Het onderzoek toont aan dat bedrijven steeds meer maatregelen nemen om de online veiligheid te vergroten. Twee-staps-inloggen is de meest genomen actie, gevolgd door het beperken van software-installaties tot systeembeheerders en het opstellen van adviezen over online thuiswerken. Toch geeft een derde van de kleine bedrijven (minder dan 10 werknemers) aan geen enkele actie te ondernemen om de online veiligheid te waarborgen.
In vergelijking met het rapport van 2023 is er een stijging te zien in het aantal bedrijven dat maatregelen neemt om veilig online gedrag te bevorderen. Zo is het aantal bedrijven dat ‘twee-staps-inloggen’ verplicht stelt gestegen, evenals het aantal bedrijven dat afspraken maakt over het uitwisselen van bestanden. Ook worden er vaker testmails verstuurd om medewerkers te trainen in het herkennen van phishing.
Een andere opvallende uitkomst is dat de nieuwe NIS2-richtlijn voor informatiebeveiliging, die vanaf oktober 2024 van kracht wordt, nog vrij onbekend is. Slechts een klein deel van de medewerkers (10%) heeft wel eens van de richtlijn gehoord. Onder ICT-verantwoordelijken ligt dit percentage hoger, maar nog steeds geeft twee derde aan niet of nauwelijks op de hoogte te zijn van de nieuwe richtlijn.
