‘Phishingtest is een kansloze missie’

Phishingtest zijn niet populair onder cybersecuritydeskundigen. De realiteit is dat er bijna altijd wel iemand klikt op een èchte malafide link, zoals de recente hack bij de politie uitwijst. Heeft het zin om jaarlijks bij te houden hoeveel medewerkers er dit keer in een nepversie stinken?

Niet effectief

Ethisch hacker Wietse Boonstra heeft laatst nog op een phishing link geklikt. Dat zat zo: hij wilde een screenshot maken van de phishingmail, zodat hij een melding kon doen, maar daarbij klikte hij ongewild op de link in de mail. Zo makkelijk kan het gaan, wil hij maar zeggen. ‘Hartstikke leuk dat je test of mensen op een link klikken, maar het gaat toch een keer gebeuren.’

Ook bij de gemeente Den Haag zijn ze geen fan van phishingtests. Ze zijn er zelfs verboden. ‘Ze zijn niet effectief en dat is wetenschappelijk aangetoond,’ zegt CISO Jeroen Schipper tegen de Vlaamse website Data News. ‘Wil je phishingtesten doen dan is dat gemakkelijk op te zetten. Maar veel mensen vertrouwen zo hun securityorganisatie niet meer. Je stuurt mensen iets aantrekkelijks en vervolgens vertel je hen hoe dom ze wel niet zijn. Hoe hard kan je dan zijn als organisatie?’ De opmerkingen van Schipper riepen op LinkedIn veel reacties op, wat hem verleidde tot een grapje: ‘ik pak de popcorn er even bij.’

Topsport

Het idee dat een nep phishingmail op zijn tijd goed is voor de bewustwording van werknemers is hardnekkig. Binnenlands Bestuur deed in 2020 een klein onderzoek onder gemeenten. Bijna alle benaderde gemeenten antwoorden bevestigend op de vraag of ze phishingtests toepassen met als doel om de bewustwording onder medewerkers te vergroten. Zij zagen geen nadelen, behalve een ambtenaar van de gemeente Schiedam, die opmerkte: ‘Het is normaal gesproken al ‘topsport’ om (digitale) risico’s te herkennen en voorkomen [en ten tijde van de coronacrisis al helemaal].’ Ook Remco Groet van de informatiebeveiligingsdienst (IBD) toonde zich geen voorstander van de methode. ‘Als je maar genoeg van iemand weet, kun je iedereen op een malafide link laten klikken.’

'Zwakste schakel'

Dat is ook de stellige overtuiging van cyberveiligheidsdeskundige Fleur van Leusden. Op de ONE conference, de jaarlijkse cybersecurityconferentie, riep zij enkele jaren geleden al op om met phishingtests te stoppen. ‘Het heeft geen enkele zin,’ zegt ze. ‘Als jouw hele beveiliging afhangt van Truus van de receptie die niet op dat ene linkje klikt en er werken meer dan 10.000 mensen bij je organisatie, zoals bij de politie, nou, succes dan.’ Ter illustratie deelde ze op de conferentie twee mails waarvan er eentje nep was. De helft van de zaal vol experts wees de verkeerde aan.

Het cliché luidt dat medewerkers de zwakste schakel in de beveiliging zijn, of de eerste verdedigingslinie. Vandaar dat bedrijven investeren in phishingtests, naast een heleboel andere veiligheidsmaatregelen. ‘Medewerkers zijn juist de allerlaatste linie,’ stelt de CISO. ‘Als al het andere gefaald heeft, dan is er nog Truus van de receptie die kan denken ‘hé, dit is wel een gek mailtje’. Dat is hoe het zou moeten werken.’

Wat heb je gemeten?

Hoog tijd dus om te stoppen met employee blaming bij een hack. Maar ook als de organisatie alle beveiligingsmaatregelen in orde heeft en de phishingtest alleen dient als bewustwordingsmiddel, is men bezig met een ‘kansloze missie’, aldus Van Leusden. ‘Het is window dressing.’

Het feit dat er vorig jaar bijvoorbeeld twintig procent in de testmail trapte en dit jaar tien procent, zegt hoegenaamd niets, legt ze uit. ‘Je negeert het feit dat de mail van vorig jaar totaal anders was dan dit jaar en dat een deel van de organisatie inmiddels is vervangen door nieuwe werknemers. Of je hebt de mail dit jaar wat moeilijker te herkennen gemaakt omdat er vorig jaar niet zo veel mensen op het linkje klikten. Wat heb je dan gemeten? Je hebt gemeten hoe goed jij bent in het phishen van je eigen medewerkers.’ Zelf klikt ze áltijd op een link in een nep phishingmail. ‘Al is het maar om te laten zien dat zelfs ik erin kan trappen.’