Joop Schoppers (De Woonplaats): "Onze ervaring met de Audittrail phishingtest"
Hoe alert zijn wij bij De Woonplaats?
Een jaar na de invoering van de Algemene verordening gegevensbescherming (AVG) waren we erg benieuwd hoe we bij De Woonplaats ervoor stonden qua bewustzijn. Als organisatie moet je technische en organisatorische maatregelen treffen om bijvoorbeeld datalekken te voorkomen.
Een belangrijke organisatorische maatregel is het vergroten van bewustwording bij medewerkers. Zij gaan om met (vertrouwelijke) gegevens en zijn daarmee een gemakkelijk doelwit voor anderen met minder goede bedoelingen. Een methode om informatie te stelen is het sturen van een phishing mail. Hierbij wordt gebruik gemaakt van “slimme” technieken die inspelen op de angst of nieuwsgierigheid van de geadresseerde.
Phishingtest
Omdat we graag wilden weten hoe het met de bewustwording (awareness) van onze medewerkers stond, is in samenwerking met Audittrail op maandag 3 juni rond de klok van 10.00 uur een phishing mail verstuurd naar alle medewerkers. In totaal ging het om ruim 200 verstuurde mails.
Het betrof een mail waarin medewerkers de mogelijkheid werd geboden zich in te schrijven voor een diner bon voor twee. Daarvoor moest wel op een link worden geklikt (eerste stap) om je daarvoor in te schrijven en vervolgens in te loggen (tweede stap) ter verificatie.
Ruim twee weken daarvoor plaatsten we een nieuwsbericht “Reminder: digitale veiligheid” op ons SharePoint Portaal (intranet). Speciale aandacht werd gevraagd voor het vissen naar informatie (Phishing).
Resultaten
Via een dashboard konden we de resultaten van deze actie “live” bekijken. Op de vraag of het goed is gegaan kunnen we zowel ja als nee antwoorden. Ja: de actie verliep procedureel en systeemtechnisch goed. Nee: de resultaten geven aan dat er aan de bewustwording nog wel iets moet gebeuren.
Van alle ontvangers heeft ruim 50% ook werkelijk geklikt op de link. Daaropvolgend heeft ook bijna 30% daadwerkelijk ingelogd en zijn dus gevoelige gegevens ‘gephisht’. De resultaten zijn niet terug te herleiden naar personen, er is gewerkt met een groepsindeling. Evenmin zijn de gebruikersnamen en wachtwoorden opgeslagen. Wel is getoetst of er sprake was van het willekeurig invullen van gebruikersnaam en wachtwoord. In het merendeel van de gevallen is de gebruikersnaam volgens de De Woonplaats-standaard ingevuld. Gelukkig ging het goed met de oplettendheid van een aantal medewerkers die al vrij snel bij de Servicedesk en/of privacy officer/security officer kwamen met de vraag of hier sprake was van spam/phishing. Er waren ook medewerkers die kwamen melden dat ze er te laat achter kwamen en hebben ingelogd. Die hebben we natuurlijk allemaal hartelijk bedankt voor het melden.
De definitieve rapportage en analyse kwam de week erna en die is teruggekoppeld naar alle teams.
Awareness met Audittrail
Een phishingtest is een effectieve, directe manier om medewerkers te confronteren met hun bewustzijnsniveau. Maar, Audittrail biedt ook andere maatregelen om het bewustzijn van uw organisatie naar het volgende niveau te tillen. Wat dacht u bijvoorbeeld van een bezoek van onze Mystery Guest, een USB-test of bijvoorbeeld een datalekkenspeurtocht? U kunt ook in een keer voor het hele pretpakket kiezen in de vorm van de Mystery box. Bijkomend voordeel van de Mystery box is dat de tests op onaangekondigde momenten worden uitgevoerd. Zo krijgt u de meest objectieve resultaten. We zijn altijd bereid een passende oplossing voor uw organisatie te bedenken. Neem eens contact op voor een vrijblijvend, gezellig gesprek met een van onze consultants!