Meet de weerbaarheid van medewerkers op school tegen phishing-e-mails!

In ons recente artikel hebben we het belang van pentests besproken, waarbij de veiligheid van ICT-systemen wordt getest door een gesimuleerde aanval. Maar laten we niet vergeten dat medewerkers een cruciale rol spelen in de verdediging tegen cyberaanvallen.

Hoe Weerbaar Zijn Jouw Collega’s tegen Phishing-e-mails?

Weet jij hoe goed jouw collega’s bestand zijn tegen phishing-e-mails? Voert jouw onderwijsinstelling nog geen regelmatige phishingcampagnes uit? Sluit dit schooljaar af met een phishing campagne om meer inzicht te krijgen in de weerbaarheid van het personeel tegen cyberaanvallen via phishing-e-mails. Gelukkig is er een manier om te testen hoe vatbaar de medewerkers zijn voor phishingmails. Namelijk door middel van het simuleren van een phishing-e-mail om te kijken of het lukt om gevoelige informatie bij medewerkers te achterhalen.

Start met een Nulmeting

Wellicht worden er momenteel nog geen phishingcampagnes uitgevoerd binnen jouw onderwijsinstelling. Er is dan hoogstwaarschijnlijk ook geen beeld van hoeveel procent van de medewerkers bestand is tegen phishingaanvallen. Een goed moment om te starten met phishingcampagnes. De resultaten uit een eerste phishingcampagne kunnen namelijk worden gezien als een nulmeting. Als de score dermate hoog is, zullen er andere acties moeten worden ondernomen dan bij een lage score. Denk aan het trainen van medewerkers, waarover later meer.

Hoe Wordt de Weerbaarheid van Medewerkers tegen Phishingmails Gemeten?

1. Scenario Bepalen: In samenwerking met jou wordt een scenario bepaald voor de e-mail. Denk aan “claimen van gratis lunch of printertegoed” of het selecteren van het kerstpakket. Allemaal zaken die erg verleidelijk zijn.
2. Phishing-e-mail Opstellen: Op basis van het scenario wordt een phishing-e-mail opgesteld ter goedkeuring.
3. Landingspagina Maken: Er wordt een bijpassende landingspagina gemaakt. Dit is de pagina waar de ontvanger op landt als hij/zij op de link klikt om gegevens achter te laten. Denk aan een nagebouwde Microsoft-inlogpagina.
4. Phishing-e-mail Versturen: Als alles is goedgekeurd, wordt de phishing-e-mail verstuurd.
5. Resultaten Verzamelen: Na de afgesproken periode worden de resultaten verzameld en in een rapportage samengevat.

Resultaat en Vervolgstappen

Op basis van deze resultaten wordt een rapportage opgesteld. Concreet worden de volgende resultaten achterhaald en beschreven in de rapportage:

• Het aantal medewerkers naar wie de phishing-e-mail verzonden is.
• Het aantal medewerkers dat de phishing-e-mail heeft opengeklikt.
• Het aantal medewerkers dat gevoelige informatie heeft achtergelaten.

Op basis van de conclusies en aanbevelingen kunnen vervolgstappen worden genomen om de beveiliging van de ICT-omgeving te verbeteren en medewerkers beter weerbaar te maken, zodat de kans dat een échte hackpoging slaagt, zo klein mogelijk wordt.

Voordelen van Security Awareness Trainingen

Als de score van medewerkers dermate hoog is dat er actie moet worden ondernomen, zijn online Security Awareness Trainingen een goede oplossing. Dit is een toegankelijke manier om de kennis van medewerkers over cybersecurity te verhogen. Voordelen van Security Awareness Trainingen zijn:

• Verhoogd Bewustzijn: Medewerkers worden zich bewuster van cybersecurityrisico’s.
• Betere Herkenning: Verbeterde herkenning van phishing-e-mails en andere bedreigingen.
• Snellere Reactie: Medewerkers reageren sneller en adequater op verdachte situaties.
• Preventie van Inbreuken: Door kennis en alertheid wordt de kans op succesvolle cyberaanvallen verkleind.

Voorbeeld uit de Praktijk

Resultaten uit recent uitgevoerde phishingtests zijn wisselend. Soms is er nooit aandacht besteed aan security awareness en zijn de resultaten beduidend slecht. Het is heel belangrijk om draagvlak te creëren bij medewerkers om dit onderwerp te verbeteren binnen de organisatie. Medewerkers moeten het als een uitdaging gaan zien. Een leuke anekdote is dat een contactpersoon van een opdrachtgever ons belde met de vraag of “het normaal is dat haar collega’s boos op haar worden en dat mensen hadden gevraagd of de phishingcampagne niet aangekondigd had kunnen worden.” Dat is natuurlijk erg grappig, maar benadrukt ook het belang om mensen goed te begeleiden. Dus dat zij geen weerstand gaan tonen, maar juist gaan bijdragen aan de veiligheid binnen de organisatie. Dat kan al heel klein beginnen, bijvoorbeeld door een spreker in te huren.

Zijn er nog vragen over het uitvoeren van een pentest binnen jouw onderwijsinstelling? Wij staan graag voor je klaar!