Phishingsimulatie – Verminder het risico op hacks van 50% naar 5%

‘Helaas, je slaagde er niet in onze phishingsimulatie te herkennen.’ Dat is een mail die je liever niet krijgt. Herken je een neppe phishing wél en stuur je die door naar Digivit dan kun je rekenen op een felicitatie. Eigenaar Peter Vlaanderen maakt het zo leuk en makkelijk mogelijk om zorgmedewerkers te trainen in online veiligheid. Maar de phishingsimulatie is geen spelletje. Weten hoe je phishingmails leert onderscheppen? Dat lees je in dit interview met Peter.   

Het gevaar van phishing  

Zorginstellingen kennen allemaal het belang van cybersecurity en hebben het technische gedeelte van online veiligheid meestal redelijk op orde. Maar hoe zit het met de kennis van medewerkers? Peter ziet in de praktijk vaak genoeg dat daar nog veel te leren valt. Met Digivit geeft hij trainingen om de digivaardigheden van zorgmedewerkers te verbeteren.  

Die trainingen breidde hij recent uit met een phishingsimulatie. ‘’Digivaardigheid gaat niet alleen over bijvoorbeeld goed kunnen werken met Office 365, maar ook over het verhogen van de online veiligheid. Phishingsimulatie maakt medewerkers bewust van de gevaren van phishing en leert ze onveilige mails herkennen. Dit maakt de kans op hacks en ransomware beduidend kleiner. Dat is voor iedereen leerzaam.’’   

Zo werkt het  

Hoe zo’n mail uit de phishingsimulatie eruitziet? ‘’Iedereen krijgt een andere mail op basis van willekeurige selectie uit een database van honderden phishingmails. De een leest dat zijn pakketje morgen wordt bezorgd, de ander ontvangt een melding dat de doktersafspraak is geannuleerd. Herkent iemand de phishing? Dan stuurt hij de mail door naar phishing@digivit.nl en krijgt hij of zij één van de volgende keren een complexere variant.’’   

Het opvoeren van de moeilijkheidsgraad is alleen mogelijk wanneer deelnemers weten dat ze onderdeel zijn van de phishingsimulatie. Dat is niet per se nodig, legt Peter uit. ‘’Je kunt er ook voor kiezen om je collega’s niet in te lichten. Hiermee kun je bijvoorbeeld een eenmalige nulmeting doen, maar het leereffect is dan wel beperkt.’’  

Daarom vertellen de meeste organisaties hun medewerkers vooraf dat ze gebruikmaken van deze tool. ‘’Het doel is dat deelnemers zich continu bewust zijn van het gevaar van deze mails. Daarmee wordt het voor medewerkers ook een beetje een spel om de phishingsimulatie te herkennen. Dit kun je uiteraard ook combineren met zo’n nulmeting. Deze nulmeting bieden we kosteloos aan wanneer je kiest voor langer gebruik van de tool.’’  

Nieuwe gewoonte aanleren   

Een nieuwe gewoonte aanleren duurt een paar maanden. De phishingsimulatie dus ook. Peter: ‘’We sturen de mails elke paar weken, verdeeld over een periode van een jaar. Zo wordt het echt een nieuwe gewoonte om mails van buiten de organisatie altijd eerst in te schatten op het gebied van veiligheid.’’  

Wie denkt dat hij met gemak alle phishings eruit pikt, kan nog weleens bedrogen uitkomen. ‘’We organiseren bijvoorbeeld thema-simulaties, zoals met Valentijn. Je krijgt het bericht dat een collega een chocoladeverrassing stuurt. Natuurlijk wil je dan weten wie die collega is en klik je al gauw op de link. En tijdens de coronaperiode ontvingen mensen mails van de GGD, waarbij vaak werd doorgeklikt. Ook kunnen we een spear phishing sturen. Dat is een phishingsimulatie gericht op een specifiek persoon. Smishings, phishingberichten via sms, behoren ook tot de mogelijkheden. Het gaat daarbij nooit om zo hoog mogelijke phishingscores behalen, maar altijd om het beste leereffect en om het creëren van een constant bewustzijnsniveau.’’ 

De phishingsimulatie werkt met een tool van Phished, een zeer gespecialiseerd Belgisch bedrijf. ‘’De tool is uniek, omdat hij werkt met Artificial Intelligence (AI). Hierdoor is het mogelijk zowel gerandomiseerde als gepersonaliseerde simulaties te versturen. Daarnaast worden de phishingmails automatisch complexer wanneer de gebruiker van de tool dit aan kan.’’  

Meerdere levels   

De tool werkt daarvoor met een Academy. Je kunt verschillende levels en certificaten behalen. Ook al geeft dat je het gevoel dat je meedoet aan een spelletje, dat is het zeker niet, benadrukt Peter. ‘’Natuurlijk bouwden we bewust het spelelement in en feliciteren we je met een terecht herkende phishing. Maar de kans op een hack is echt aanwezig. Recent nog was een tandartsenpraktijk slachtoffer. Het kostte ze twee miljoen om de hackers af te kopen.’’   

Niet alleen geld staat op het spel, ook gegevens zijn soms doelwit van een hack. ‘’In de meeste gevallen gaat het wel om criminele organisaties die uit zijn op geld. Maar het komt ook voor dat buitenlandse overheden of geheime diensten verantwoordelijk zijn voor hacks. Zij kunnen interesse hebben in persoonsgegevens of andere bedrijfsspecifieke gegevens. Hoe dan ook, het risico is er en je kunt dat verkleinen.’’  

Cyberverzekering  

Op basis van het resultaat van de phishingsimulaties is het voor Digivit sinds kort voor mogelijk automatisch een behavioral risk score vast te stellen. Deze score geeft aan in welke mate het gedrag van de deelnemer een cyberrisico met zich meebrengt. Waarom dit handig is? ‘’Dit zijn nuttige gegevens voor jezelf, maar ook voor verzekeraars van cyberrisico’s. Zij hebben dan onafhankelijke gegevens over het gedragsgerelateerde cyberrisico van de organisatie en zien ook de risicodaling door het gebruik van de phishingtool.’’  

Gedragsfilter  

Dat het risico enorm daalt, blijkt elke keer weer uit de praktijk. ‘’Technische filters voorkomen veel, maar met alerte medewerkers creëer je een gedragsfilter, zoals ik dat noem. Door onderzoek weten we dat vóór de phishingsimulaties gemiddeld 50% van de deelnemers in een phishing trapt en erna nog maar 5%. En dan is het óók nog eens leuk ook om mee te doen. Een kleine moeite dus met enorme winst!’’  

Ben jij benieuwd of jij en je collega’s phishingmails herkennen? Neem contact op met Peter voor een gratis nulmeting!   

Meer inspiratie