Social engineering wordt door 80% van de organisaties gezien als het grootste mensgerelateerde risico binnen cybersecurity. Dit blijkt uit de tiende editie van het Security Awareness Report van SANS Institute.
Uit het onderzoek komt naar voren dat met name phishing de belangrijkste aanvalsvector blijft, terwijl zogenoemde smishing- en vishing-aanvallen (aanvallen via sms-berichten en telefoongesprekken) zowel in aantal als in complexiteit toenemen. Het onjuist omgaan met gevoelige data staat op de tweede plaats, gevolgd door zwakke wachtwoorden en gebrekkige authenticatie.
Volgens SANS laat deze verschuiving zien dat aanvallers steeds nadrukkelijker inspelen op menselijk gedrag, waardoor gerichte training en bewustwordingsprogramma’s noodzakelijk blijven.
Het rapport benoemt het tekort aan tijd en personeel als de grootste belemmeringen voor de ontwikkeling van effectieve awareness-programma’s. Gemiddeld zijn volgens SANS minimaal 2,8 fte nodig om merkbare gedragsverandering te realiseren, en 4 of meer fte om daadwerkelijk een organisatiebrede cultuurverandering te bereiken. Ook benadrukt het rapport dat programma’s effectiever worden naarmate ze langer lopen, doordat processen, samenwerking en betrokkenheid van medewerkers zich gaandeweg versterken.
Om de beperkte capaciteit van securityteams te ondersteunen, adviseert SANS het gebruik van hulpmiddelen zoals AI, die de effectiviteit en impact van awareness-programma’s kunnen vergroten.
