Mensen zijn niet de zwakste, maar juist de sterkste schakel als het gaat om cybersecurity. Zij vormen namelijk een extra detectie laag, op het moment dat technische detectie onvoldoende is. Maar daarvoor moeten je medewerkers zich wel bewust zijn van de gevaren van bijvoorbeeld phishing. Ethical Hacker Sanne Maasakkers vertelde tijdens het KPN Security-event NLSecure[ID] hoe je dat als bedrijf aanpakt.
Phishing is here to stay, zo lijkt het. Het afgelopen jaar groeide het aantal gevallen van phishing via e-mail hard, mede door het vele thuiswerken. Voor cybercriminelen is het een vruchtbare manier om nietsvermoedende mailontvangers te kunnen laten klikken op een link of attachment met malware. Of het slachtoffer inlognamen en wachtwoorden in te laten vullen.
Sanne Maasakkers is cybersecurity-expert en ethical hacker voor Fox-IT. Voor haar is phishing dagelijkse kost: ze test de veiligheid van systemen van klanten en houdt zich bezig met social engineering. Bij dat laatste kijkt ze naar hoe het gedrag van mensen systemen kwetsbaar maakt. Bijvoorbeeld door phishing.
Tip: Word door verschillende topsprekers bijgepraat over cybersecurity tijdens het NLSecure[ID]-event. Op 25, 26 en 27 januari 2022. Schrijf u gratis in.
Cyber Security Checklist
Wil jij weten hoe het met de cybersecurity van jouw bedrijf gesteld is? Download de checklist en ontdek wat je (nog meer) kunt doen!
DownloadBewustzijn van medewerkers
“Het uitvoeren van phishingtesten is een manier om te meten hoe het staat met het bewustzijn van medewerkers over dit thema”, vertelde ze tijdens NLSecure[ID], een online KPN Security-event over cybersecurity voor ondernemingen. “Het aantal clicks, downloads en ingevulde logingegevens kan inzicht geven in de manier waarop medewerkers reageren op phishingmails. Ze maken het meetbaar en dat maakt het inzichtelijk hoe succesvol awareness-interventies op het gebied van cybersecurity zijn.”
Toch waarschuwt ze voor al te veel optimisme bij een laag aantal kliks na een e-mail phishingtest. Want de ene phishingactie is de andere niet. “Een van onze klanten vroeg bij een test eerst om een mail die lastig te onderscheiden was van een ‘echte’ mail waar het ging om de afzender, tekstopbouw en huisstijl.
Bij een tweede testmail wilde het bedrijf graag taalfouten, Engels als voertaal terwijl altijd Nederlands werd gebruikt en geen persoonlijke aanhef terwijl dat wel gebruikelijk was. Daardoor konden de clickrates een stuk lager uitvallen dan bij de tweede mail. Dikke pluim dus voor de security officer, want dat is toch precies wat we willen, die lage clickrate?”
Niet alleen maar, antwoordt Maasakkers op die retorische vraag. “Een lage clickrate is maar een deel van het geheel dat aangeeft hoe succesvol een phishingactie is en zegt verder niets over de weerbaarheid. Om te weten wat we moeten meten is het belangrijk om te weten waarom mensen juist wel of niet ingaan op een phishing e-mail.” In een blogpost somt de cybersecurity-expert drie redenen op waarom iemand een phishingmail opent:
Omdat diegene onvoldoende kennis heeft over wat een phishingmail is
Omdat de mail zo legitiem lijkt dat diegene hem niet kan onderscheiden van een ‘echte’ mail
Omdat diegene zijn aandacht er even niet bij heeft door een volle dag met Teams-meetings of een gebrek aan koffie
Alleen aan die eerste twee redenen kun je structureel wat veranderen door het vergroten van awareness. Aan dat laatste niet. Daarom zijn detectie en respons zo belangrijk, vertelde Maasakkers op NLSecure[ID].
Detectiekracht
Daarvoor is het belangrijk om te weten waar de pijnpunten liggen en wat de zwakke plekken zijn in de ‘detectiekracht’ van de medewerkers. “Vraagt een mail om een ongebruikelijke gunst, bijvoorbeeld het opsturen van documenten? Probeert de verzender de ontvanger te laten handelen uit angst, omdat hij een factuur heeft gemist waar hij niets van af wist? Of maakt de mail de ontvanger nieuwsgierig omdat er een autoriteit tot hem spreekt, bijvoorbeeld een CEO?”
Door het analyseren van datasets met e-mails uit een organisatie krijg je een beter inzicht in de manier waarop e-mails van elkaar te onderscheiden zijn en wat de belangrijke punten zijn. Uit een analyse kan bijvoorbeeld komen dat zaken zoals de afzender, manier van aanspreken of huisstijl belangrijk zijn. Aan al die onderdelen kan een score gegeven worden.
Daarnaast is het ook goed om te kijken naar hoe de mails van relevante hackersgroepen uit je bedrijfssector eruitzien. "Je kunt je testmails dan een stuk realistischer maken door dezelfde kenmerken te gebruiken qua scenario en mailopbouw.”
Aan al die onderdelen kan een score gegeven worden. “Hoe meer de mail lijkt op een legitieme mail, hoe hoger die score is”, aldus Maasakkers. Ze ontwikkelde een tool om te meten hoe geavanceerd een phishingactie is en om dit soort acties met elkaar te vergelijken. De tool kan worden aangepast op het niveau van awareness dat een organisatie heeft op het gebied van cybersecurity.
Weerbaarheid
Het bewustzijn binnen een organisatie kan op zijn beurt weer vergroot worden door een goede phishingtest, vertelt de expert. Door na een phishingtest een interventie te laten plaatsvinden, gevolgd door een phishingtest met vergelijkbare score, kun je iets zeggen over de effectiviteit van de interventie.
Daarnaast kun je als bedrijf zo’n test ook gebruiken voor het verzamelen van data over het herkennen van phishing e-mails. Blijkt bijvoorbeeld dat een ander soort afzender ervoor zorgt dat men wel klikt, zorg er dan voor dat medewerkers hierop getraind worden. Daarnaast kan zon test ook worden gebruikt voor het testen van de weerbaarheid tegen phishing.
In dat laatste geval zijn alleen het aantal clicks, logins en downloads niet genoeg. Wat veel meer zegt over die weerbaarheid zijn de tijd tussen ontvangst van de eerste melding bij de servicedesk en de stappen die daarna worden ondernomen. Dat is namelijk de tijd waarin een aanvaller vrij spel heeft om te kijken binnen systemen.”
Phishing 100 procent de kop indrukken zal volgens Maasakkers nooit lukken. “Maar medewerkers testen en trainen op dit gebied is zeker nuttig om een deel van de onveiligheid het hoofd te bieden dat door techniek niet wordt gecoverd. Wees echter altijd kritisch op de manier waarop je een phishingsimulatie uitvoert en welk scenario’s je hiervoor gebruikt. Staar je dus niet blind op clickrates en het aantal gephishte inloggegevens. Want die zeggen lang niet alles over de weerbaarheid van je organisatie tegen phishing.”
Cybersecurity van KPN
Aan de slag met cybersecurity voor jouw bedrijf of organisatie? Ontdek alle mogelijkheden in een vrijblijvend adviesgesprek. Maak hier direct een afspraak.