Guardian360 en Witlox van den Boomen

Extra awareness rond IT security bij medewerkers prikkelen? Hoe doe je dat?

Over de case

Eind 2015 werd bekend dat de meldplicht datalekken van kracht zou worden. Voor Witlox van den Boomen was dat een extra stimulans om de awareness rond IT security bij haar medewerkers te prikkelen. Zij schakelden hun partner Guardian360 in, die een slimme phishing case uitwerkte voor het accountantskantoor. Het resultaat? Zelfs digitaal bewuste twintigers en dertigers konden echt en nep niet altijd van elkaar onderscheiden.

”Een phisher is al geslaagd, wanneer slechts één persoon binnen de organisatie doorklikt en gegevens invoert.”

Jan Martijn Broekhof

Algemeen directeur

Guardian360

John Schrijvers, directeur Rsult-IT: “Kort nadat de meldplicht datalekken van kracht werd, vroeg Bart Wijlaars van Witlox van den Boomen mij hoe hij hun medewerkers bewuster zou kunnen maken van IT security. Hij gaf daarbij aan dat zij de maand februari hadden uitgeroepen tot ‘themamaand ‘bescherming persoonsgegevens’, en dat zij in dat kader een bewustwordingscampagne wilden.

Guardian360

Wij hebben daarop onze partner Guardian360 (leverancier informatiebeveiligingsdiensten) gevraagd om een slimme phishing case bij hen uit te voeren: ‘Bedenk maar een manier waarop kwaadwillenden onze medewerkers kunnen verleiden om gegevens achter te laten.’ Die opdracht werd voortvarend uitgevoerd.” Bart Wijlaars: “Vervolgens hebben we onze medewerkers uitgenodigd voor een voorlichtingsbijeenkomst, waarin de nieuwe wetgeving, de phishing case en de resultaten daarvan werden besproken. Tijdens die sessie is medewerkers verteld wat er veranderd is in de wetgeving en welke praktische consequenties dat heeft voor ons kantoor.

“Zelfs de groep digitaal bewuste twintigers en dertigers werd aan het twijfelen gebracht.”

Datalek

Zo moet er in geval van een datalek een heldere procedure voorhanden zijn, waardoor medewerkers weten dat ze een lek op 1 centraal punt moeten melden. Een ‘responsteam’ moet vervolgens kunnen wegen of iets al dan niet een datalek is, en zo ja, hoe zwaar dit weegt en of er gemeld moet worden. Maar uiteraard waren de aanwezigen ook erg nieuwsgierig naar de uitkomsten van de phishing case.”

Over phishing
Phishing is niets anders dan het hengelen naar je gebruikersnaam en wachtwoord, om op die manier toegang te krijgen tot je IT-infrastructuur en je data.

Ontwikkeling phishing

Jan Martijn Broekhof, directeur van Guardian360, legt uit dat phishing zich in de afgelopen jaren behoorlijk ontwikkeld heeft. “Een paar jaar geleden kreeg je nog mailtjes van verdachte afzenders, gebrekkig vertaald uit het ‘Nigeriaans’, maar de tegenwoordige phishing mails zijn opgesteld in keurig Nederlands en zien er heel gelikt uit. Inclusief logo’s, adresgegevens, de directeur uit wiens naam de mail is opgesteld, enz. Sommige mails bevatten zelfs een waarschuwing à la ‘verstrek uw wachtwoord niet aan derden’, zoals je dat van een betrouwbare afzender zou verwachten.”
Jan Martijn Broekhof: “Wat we bij Witlox hebben gedaan, is ‘spear phishing’. We hebben een mail opgemaakt in de huisstijl van Witlox van den Boomen, die afkomstig leek te zijn van hun eigen IT-afdeling. Alleen werd er een andere ondertekening gebruikt en week de link in deze mail op twee letters af van hun eigen vertrouwde domeinnaam. Vervolgens hebben we gekeken wie er op de malafide link klikt. Bedenk wel dat de actie van een phisher al geslaagd is, wanneer slechts één persoon binnen de organisatie doorklikt en gegevens invoert.”

Impact phishing case

Bart Wijlaars maakt de balans op na deze eerste Guardian360-phishing case bij Witlox van den Boomen: “De case waar wij onze medewerkers aan hebben blootgesteld, heeft een behoorlijke impact gehad. Zelfs de groep digitaal bewuste twintigers en dertigers werd aan het twijfelen gebracht. Dit soort sentimenten beklijft veel beter dan een platte folder of een verplicht uurtje webinar. Voor ons is het natuurlijk vooral interessant om te kijken wat nu de oorzaak is waarom medewerkers niet altijd actief bezig zijn met de betrouwbaarheid van e-mails en websites.