Cyberweerbaarheid op kosten van de Staat

Stephan Bos

Stephan Bos – Business Consultant

Test de cyberweerbaarheid van uw medewerkers op kosten van de Staat

Stel: uw medewerkers ontvangen een phishing e-mail met daarin een malafide link – Hoeveel van uw medewerkers zullen er dan op die link klikken?

Phishing is een veel voorkomende vorm van internetfraude. Door middel van phishing aanvallen proberen internetcriminelen gegevens en wachtwoorden te verzamelen of grote systemen te infecteren met bijvoorbeeld ransomware.


Gratis testen op kosten van de overheid

Cyberaanvallen door middel van phishing nemen in rap tempo toe. Nu veel mensen sinds de coronacrisis vanuit huis werken, schalen internetcriminelen het aantal phishing aanvallen op. Het idee hierachter is dat mensen minder alert zijn wanneer zij vanuit huis werken, waardoor hun cyberweerbaarheid lager is. Gelukkig is er nu een mogelijkheid om de cyberweerbaarheid van uw medewerkers kosteloos te peilen.


Het ministerie van Economische Zaken biedt 1000 gratis phishing tests aan.


Even niet opletten en het is gebeurd

Phishing aanvallen komen in de vorm van e-mails en websites die authentiek lijken maar eigenlijk opgezet zijn door internetcriminelen. Het kwaad geschiedt zodra je op deze authentiek lijkende website inlogt of een link/bijlage opent in de authentiek lijkende e-mail.

Door op deze malafide links te klikken installeer je bijvoorbeeld, zonder dat je daarvan bewust bent, malafide software die de bedrijfssystemen infecteren, of je deelt per ongeluk je inloggegevens waardoor de cyber criminelen nu met jouw accounts toegang krijgen tot het bedrijfsnetwerk. Iedereen met een e-mailadres kan het slachtoffer worden van een phishing aanval.

 

In de maanden sinds het uitbreken van de coronacrisis zijn er evenveel phishing aanvallen uitgevoerd als in heel 2017 en 2018 bij elkaar, meldt het Digital trust Center.
Phishing mail

Gedrag als zwakste schakel

Phishing maakt misbruik van de zwakste schakel binnen informatiebeveiliging: het gedrag van mensen. De cybercriminelen maken misbruik van ons vertrouwen door zich voor te doen in iets wat we herkennen. De phishingmails lijken vaak authentiek en onschuldig. Het gaat bijvoorbeeld om een mail van je bank of een mail van je collega. De aanhef, het onderwerp en de opmaak van de mails lijken allemaal te kloppen. Toch is het goed om sceptisch te zijn wanneer er een ongebruikelijke link of een vreemd verzoek in de mail staat.


Cyberweerbaarheid als nieuw begrip

De mate waarin we in staat zijn om dit soort eigenaardigheden en dreigingen te herkennen wordt ook wel onze ‘cyberweerbaarheid’ genoemd. Door de cyberweerbaarheid van uw medewerkers te verhogen kunt u de risico’s die u loopt op het gebied van informatiebeveiliging aanzienlijk verkleinen.


De overheid biedt een helpende hand

Het Digital Trust Center van het Ministerie van Economische Zaken biedt mkb-bedrijven in Nederland nu een helpende hand om de cyberweerbaarheid van uw organisatie te peilen en te verbeteren. Hoe? Door 1000 gratis phishing tests beschikbaar te stellen.

De 1000 gratis phishing tests zijn specifiek bedoeld voor mkb-bedrijven met 8 tot 250 medewerkers. Deze actie is onder andere interessant voor organisaties met medewerkers die vanuit huis werken. Mocht uw organisatie hiervoor in aanmerking komen, dan is het zeker de moeite waar om deze actie nader te bekijken.


Invulling aan eisen ISO 27001

Met uw deelname geeft u effectief invulling aan de eisen op het gebied van bewustzijn uit de normenkaders voor informatiebeveiliging zoals ISO27001 en NEN7510. Daarnaast is een phishing test uitermate geschikt om inzichtelijk te krijgen hoe het met de cyberweerbaarheid van de medewerkers gesteld is.

Naast inzicht zorgt de test ook voor bewustzijn. Na de test ontvangen de medewerkers namelijk feedback en tips om phishing in de toekomst beter te herkennen.

Phishing tests hebben een direct raakvlak met maatregelen uit de ISO 27001 norm voor informatiebeveiliging. Denk voorbeeld aan de maatregelen op het gebied van bewustzijn (7.3) en de beheersmaatregelen tegen malware (A.12.2.1.).

 

Hoe werken deze tests?

Hoe gaan deze phishing tests in zijn werk? Gedurende de testperiode ontvangen medewerkers 1 of meer phishing mails. Achteraf ontvangt uw organisatie een overzicht van het percentage medewerkers dat op de link in de phishing mail heeft geklikt. De resultaten zijn niet terug te herleiden tot specifieke medewerkers.

Aanmelden voor de gratis phishing tests kan via de volgende link: https://www.rpcnh.nl/gratis-mkb-phishingtest/. De tests gaan door op voorwaarde dat er minstens 400 aanmeldingen zijn. Na het aanmelden kunt u er altijd nog voor kiezen om niet deel te nemen aan de test.


Twee tips

Wilt u aandacht besteden aan het onderwerp phishing, maar komt u niet in aanmerking voor de phishing test? Of wilt u nu al iets doen aan het bewustzijn van uw medewerkers rond dit onderwerp? Hieronder twee tips die u gelijk kunt toepassen.

  1. Training bewustwording
    Maak in de eerste plaats phishing het onderwerp van uw eerstvolgende bewustwordingstraining. Hiervoor kunt u bijvoorbeeld gebruikmaken van tal van phishing voorbeelden die u online kunt vinden. Probeer aan de hand van deze voorbeelden samen te ontdekken waar de phishing mails uit te herkennen zijn.
  2. Heldere afspraken wat te doen als…
    Het is ook goed om duidelijke afspraken te maken over de werkwijze rond vreemde verzoeken en verdachte emails. Spreek bijvoorbeeld onderling af dat je altijd belt wanneer er sprake is van een email met een niet-regulier verzoek. En spreek ook af bij wie de collega’s het moeten melden mocht zich dit voordoen.

 

Blog geschreven door Stephan Bos, Business Consultant