Advertentie
digitaal / Nieuws

‘Phishingtest is een kansloze missie’

Hoeveel zin heeft het om nepmails te versturen als bewustwordingsmiddel? Geen, zeggen deskundigen.

16 oktober 2024
phishing
Shutterstock

Phishingtest zijn niet populair onder cybersecuritydeskundigen. De realiteit is dat er bijna altijd wel iemand klikt op een èchte malafide link, zoals de recente hack bij de politie uitwijst. Heeft het zin om jaarlijks bij te houden hoeveel medewerkers er dit keer in een nepversie stinken?

Afdelingshoofd Jeugd & Minima

SED organisatie
Afdelingshoofd Jeugd & Minima

Teamleider Openbare Orde en Veiligheid

Gemeente Leeuwarden
Teamleider Openbare Orde en Veiligheid

Niet effectief

Ethisch hacker Wietse Boonstra heeft laatst nog op een phishing link geklikt. Dat zat zo: hij wilde een screenshot maken van de phishingmail, zodat hij een melding kon doen, maar daarbij klikte hij ongewild op de link in de mail. Zo makkelijk kan het gaan, wil hij maar zeggen. ‘Hartstikke leuk dat je test of mensen op een link klikken, maar het gaat toch een keer gebeuren.’

Ook bij de gemeente Den Haag zijn ze geen fan van phishingtests. Ze zijn er zelfs verboden. ‘Ze zijn niet effectief en dat is wetenschappelijk aangetoond,’ zegt CISO Jeroen Schipper tegen de Vlaamse website Data News. ‘Wil je phishingtesten doen dan is dat gemakkelijk op te zetten. Maar veel mensen vertrouwen zo hun securityorganisatie niet meer. Je stuurt mensen iets aantrekkelijks en vervolgens vertel je hen hoe dom ze wel niet zijn. Hoe hard kan je dan zijn als organisatie?’ De opmerkingen van Schipper riepen op LinkedIn veel reacties op, wat hem verleidde tot een grapje: ‘ik pak de popcorn er even bij.’

Bij de gemeente Den Haag zijn phishingtests verboden

CISO Jeroen Schipper

Topsport

Het idee dat een nep phishingmail op zijn tijd goed is voor de bewustwording van werknemers is hardnekkig. Binnenlands Bestuur deed in 2020 een klein onderzoek onder gemeenten. Bijna alle benaderde gemeenten antwoorden bevestigend op de vraag of ze phishingtests toepassen met als doel om de bewustwording onder medewerkers te vergroten. Zij zagen geen nadelen, behalve een ambtenaar van de gemeente Schiedam, die opmerkte: ‘Het is normaal gesproken al ‘topsport’ om (digitale) risico’s te herkennen en voorkomen [en ten tijde van de coronacrisis al helemaal].’ Ook Remco Groet van de informatiebeveiligingsdienst (IBD) toonde zich geen voorstander van de methode. ‘Als je maar genoeg van iemand weet, kun je iedereen op een malafide link laten klikken.’

'Zwakste schakel'

Dat is ook de stellige overtuiging van cyberveiligheidsdeskundige Fleur van Leusden. Op de ONE conference, de jaarlijkse cybersecurityconferentie, riep zij enkele jaren geleden al op om met phishingtests te stoppen. ‘Het heeft geen enkele zin,’ zegt ze. ‘Als jouw hele beveiliging afhangt van Truus van de receptie die niet op dat ene linkje klikt en er werken meer dan 10.000 mensen bij je organisatie, zoals bij de politie, nou, succes dan.’ Ter illustratie deelde ze op de conferentie twee mails waarvan er eentje nep was. De helft van de zaal vol experts wees de verkeerde aan.

Het cliché luidt dat medewerkers de zwakste schakel in de beveiliging zijn, of de eerste verdedigingslinie. Vandaar dat bedrijven investeren in phishingtests, naast een heleboel andere veiligheidsmaatregelen. ‘Medewerkers zijn juist de allerlaatste linie,’ stelt de CISO. ‘Als al het andere gefaald heeft, dan is er nog Truus van de receptie die kan denken ‘hé, dit is wel een gek mailtje’. Dat is hoe het zou moeten werken.’

Medewerkers zijn juist de allerlaatste linie

CISO Fleur van Leusden

Wat heb je gemeten?

Hoog tijd dus om te stoppen met employee blaming bij een hack. Maar ook als de organisatie alle beveiligingsmaatregelen in orde heeft en de phishingtest alleen dient als bewustwordingsmiddel, is men bezig met een ‘kansloze missie’, aldus Van Leusden. ‘Het is window dressing.’

Het feit dat er vorig jaar bijvoorbeeld twintig procent in de testmail trapte en dit jaar tien procent, zegt hoegenaamd niets, legt ze uit. ‘Je negeert het feit dat de mail van vorig jaar totaal anders was dan dit jaar en dat een deel van de organisatie inmiddels is vervangen door nieuwe werknemers. Of je hebt de mail dit jaar wat moeilijker te herkennen gemaakt omdat er vorig jaar niet zo veel mensen op het linkje klikten. Wat heb je dan gemeten? Je hebt gemeten hoe goed jij bent in het phishen van je eigen medewerkers.’ Zelf klikt ze áltijd op een link in een nep phishingmail. ‘Al is het maar om te laten zien dat zelfs ik erin kan trappen.’

Reacties: 2

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Kees Wassenaar
Met deze 'framing' snap ik wel dat men negatief is over nep-phishing. Maar het kan en gebeurt gelukkig ook echt anders. Alles staat en valt met wat je communiceert hierover. Zo heeft JenV (nog steeds, denk ik) het programma "Hoe alert ben jij?" waar nep-phishing absoluut goede resultaten heeft. Bij de JenV-organisatie waar ik tot medio 2023 werkte, was dat ook meetbaar: gaandeweg minder kliks en meer meldingen. En als bonus een onofficiële competitie tussen afdelingen: wie doet het het beste? Dus op dit verhaal is nogal wat af te dingen.
Klaas Doornbos
Deskundigen zeggen dat dit geen zin heeft als bewustwordingsmiddel?
Inderdaad zal er - bij grote aantallen - wel een keer iemand klikken op een foute link. Dat is nog geen reden om dan maar af te raden. Zoals Kees al aangeeft is het maar net hoe je hierover communiceert. 'Employee blaming' gaat ook ver. Je hoeft iemand niet aan de schandpaal te nagelen om iemand bewust te maken - en te houden! - van het feit dat je 'altijd alert' moet zijn.
Niet alleen op verdachte emails, maar ook sms, bezoekers, telefoontjes etc.
Advertentie