“In de waan van de dag vallen phishingmails vaak niet op”
Bouwman wordt door zijn werk regelmatig geconfronteerd met verhalen van ondernemers die geld hebben overgemaakt als gevolg van CEO-fraude of om dreiging van het compleet platleggen van de operatie te voorkomen. Bij de eerste variant speelt social engineering - de aanval op de mens - een belangrijke rol. “Criminelen doen eerst grondig onderzoek en gebruiken relevante informatie, mailadressen en url’s die sterk lijken op gebruikte adressen. Ze kopiëren bovendien de taal van de contactpersonen. En in de waan van de dag vallen kleine verschillen vaak niet op. Een ‘m’ in een mailadres lijkt sterk op de combinatie ‘rn’ bijvoorbeeld. 'Wij zetten in onze tests dezelfde technieken in als cybercriminelen gebruiken. Hierdoor is het goed zichtbaar en meetbaar welke risico's de organisatie loopt bij een professionele aanval. Met een gemiddelde test klikt één op de vier werknemers op een potentieel gevaarlijke link. Bij intensieve testen loopt de score soms zelfs op naar 75%, benadrukt Bouwman. ‘Het blijkt dus niet zo eenvoudig te zijn om dagelijks scherp te zijn én te blijven op veilig werken. Ook bij werknemers die ooit een training hebben gevolgd, dreigt het nog wel eens mis te gaan.’ ‘Ons advies is dan ook om naast het inzetten van een goede training ook regelmatig te blijven toetsen of de medewerkers voldoende bewapend zijn om cyberaanvallen af te wenden. Uit onderzoek blijkt dat 90 dagen na de eerste phishing simulatie en tussentijdse training het percentage “slachtoffers” met 23% is gedaald. Getrainde medewerkers staan “aan” en bepaalde signalen worden eerder herkend. Aanbiedingen die “too good to be true” zijn bijvoorbeeld of kleine afwijkingen in de tone of voice. Urgentie zorgt er vaak voor dat men afwijkt van bestaande procedures. Net zoals bij brand. Na de digitale brandoefeningen is dit echter veel minder het geval en worden dus verstandige beslissingen genomen.’ De phishingtests zijn geschikt voor organisaties die hun continuïteit willen waarborgen. ‘Het is absoluut niet de bedoeling dat werknemers worden afgerekend op hun gedrag’, benadrukt de Managing Director van Infosequre. ‘De tests worden anoniem afgenomen en de resultaten worden anoniem gedeeld. Een werknemer die op de foute link klikt, komt op een landingspagina waarop positief stimulerend wordt uitgelegd wat er misging.’ Toen Bouwman in 2015 startte bij Infosequre heeft hij, met name door zijn learning & development ervaring, de nadruk gelegd op bewezen lesmethodieken in de tests. ‘Dit is echt een speerpunt van Infosequre. Op dit moment werken we aan storytelling, gamification en een nieuwe VR-game. Vooral beleving toevoegen en het proces leuk maken, zijn essentieel voor de betrokkenheid van werknemers’, zegt Bouwman. ‘Bij enkele opdrachtgevers laten we teams tegen zelfs elkaar strijden in phishing battles.’
“Storytelling en gamification dragen wezenlijk bij aan de betrokkenheid van het team”
Cybersecurity, daar moeten we allemaal iets mee. Of je het nu wilt of niet. Zowel ondernemers als werknemers hebben een belangrijke rol in het veilig kunnen ondernemen. Het is een gezamenlijke effort en één moment van onoplettendheid maakt de complete organisatie kwetsbaar. Het devies: maak cyberweerbaarheid een vast onderdeel van je strategie, maak het interessant en aantrekkelijk en doe het samen. Test, train en deel ervaringen met elkaar. Dat maakt je organisatie in alle opzichten sterker. De gratis mkb phishingtest is in ieder geval, een goede eerste stap.
