Advertentie
digitaal / Achtergrond

Vissen naar inloggegevens loont nog altijd

De phishing test is een beproefd middel om medewerkers bewuster te maken van informatiebeveiliging. Maar om het aantal veiligheidsincidenten terug te dringen, is meer nodig dan een instinkmail alleen.

06 november 2020
Phishing-shutterstock-1826032604.jpg

Whatsapp heeft nog geen plek in de gemeentelijke phishing test

In de zomer van 2019 ontvangt een medewerker van de gemeente Schagen een mailtje met daarin een ‘overmakingsadvies’ en een button waarmee een rapport zou zijn te openen. De ambtenaar klikt op de link en stuurt daarmee onbedoeld de mail naar zijn volledige adressenbestand. Ook inwoners van de gemeenten ontvangen de mail.

Ongetwijfeld denkt de ambtenaar in kwestie voortaan wel twee keer na voordat deze zomaar op een link klikt, maar ook zijn collega’s zouden inmiddels alerter moeten zijn. Net als in veel andere gemeenten krijgen de ambtenaren in Schagen regelmatig – zo’n twee keer per jaar – vanuit de eigen organisatie een phishing test voor de kiezen. Doordat de zogenaamd malafide mails steeds lastiger te herkennen zijn, neemt het aantal kliks op ‘gevaarlijke links’ maar langzaam af, laat een woordvoerder van gemeente Schagen weten. ‘Het levert sowieso discussie op, wat de bewustwording ten goede komt. Medewerkers die alsnog de link aanklikken, krijgen bericht met uitleg hoe zij in het vervolg een malafide bericht kunnen herkennen.’

Phishing tests zijn een standaardmethode geworden om het bewustzijn van ambtenaren over informatiebeveiliging te bevorderen. Verzend een e-mail met daarin een link en houd bij hoeveel medewerkers nietsvermoedend op de link klikken. Stuur degenen die erin trappen een gericht bericht met feedback. Herhaal de test om te zien of het percentage medewerkers dat erin trapt, afneemt.

Spam
Bijna alle benaderde gemeenten antwoorden bevestigend op de vraag of ze phishing tests toepassen. Over het algemeen neemt de Chief Information Security Officer (CISO) hiervoor het initiatief, in samenwerking met de ict-afdeling. Opvallend is dat ze alleen gebruik maken van de beproefde e-mailmethode; WhatsApp en andere tekstberichtendiensten hebben nog geen plek in de gemeentelijke phishing test.

Zonder uitzondering stellen de benaderde gemeenten dat een phishing test de bewustwording bevordert. Zo zag Dronten, in 2018 nog bijna slachtoffer van een aanval met gijzelsoftware, het aantal medewerkers dat erin tuint flink afnemen. Bij een eerste phishing test klikte meer dan 20 procent op een nep phishing mail.

Meer dan de helft daarvan liet ook hun gegeven achter. Bij de tweede test was nog maar 8 procent van de medewerkers niet alert genoeg om het bericht als phishing mail te herkennen. Bovendien neemt het aantal meldingen uit de organisatie over spam en niet te vertrouwen mails flink toe na een phishing test, en dat geldt niet alleen voor Dronten.

Beetje flauw
De meeste benaderde gemeenten zien geen nadelen aan phishing tests. Alleen Schiedam reageert terughoudend: ‘Het is normaal gesproken al ‘topsport’ om (digitale) risico’s te herkennen en voorkomen. Met de coronacrisis, gebeurt nog meer dan normaal digitaal. Een phishing test kan dan weleens tot negatieve reacties leiden, of tot een deuk in het vertrouwen in de mens en in technologie.’

Remco Groet van de Informatiebeveiligingsdienst (IBD) onderschrijft deze kanttekening. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy en is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De phishing test is een simpele en effectieve manier om medewerkers bewust te maken, vindt ook Groet. Toch is hij geen groot voorstander van de methode. ‘Het is een beetje flauw om mensen voor het lapje te houden,’ zegt hij. ‘Als je maar genoeg van iemand weet, kun je iedereen op een malafide link laten klikken. Stuur rond de kerstperiode een mail naar de hele afdeling met daarin ‘klik hier om je kerstcadeau uit te kiezen’ en je hebt gegarandeerd prijs.’

Hoe meer er over iemand bekend is, hoe makkelijker het is om diegene in phishing te laten trappen. Daar wordt wel degelijk misbruik van gemaakt, bijvoorbeeld met behulp van openbare data. Zo ontving een medewerker van de salarisadministratie vlak voor de salarisdatum een e-mail van een ‘collega’, met daarin het verzoek om het rekeningnummer aan te passen. De salarismedewerker maakte ruim 2.800 euro over naar het nieuwe rekeningnummer.

Pas toen de echte collega een aantal weken later meldde dat hij nog geen salaris had ontvangen, werd duidelijk dat de mail van iemand anders afkomstig was. De oplichter keek simpelweg op LinkedIn wie er bij deze gemeente verantwoordelijk is voor de salarisadministratie en zocht daarna de naam op van een willekeurige collega. De salarismedewerker voelde geen nattigheid en vroeg de oplichter netjes om het complete IBAN-nummer. Toch vormen zulke uitgekookte, persoonlijke phishing mails een uitzondering. Hackers die doelgericht proberen binnen te dringen in de gemeentelijke ict-infrastructuur halen het nieuws, maar gemeenten komen vaker in de problemen door ongerichte malafide mails.

Oplichters sturen duizenden mensen tegelijk een bericht, in de hoop dat er genoeg mensen ‘happen’. Is één van de ontvangers toevallig een ambtenaar die het bericht aanklikt, dan krijgt de gemeente mogelijk zomaar een aanval van gijzelsoftware voor de kiezen. Uit het onlangs verschenen Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022 van de IBD blijkt dat gemeenten met name te kampen hebben met zulke geautomatiseerde bulkaanvallen.

Keeperstraining
Bewustwording op het gebied van informatiebeveiliging is essentieel, maar slechts een deel van het verhaal. De CISO van Smallingerland merkt op dat phishing tests niet op zichzelf moeten staan, maar passen in een pakket aan maatregelen om phishing tegen te gaan. Remco Groet van de IBD vergelijkt de phishing test met een keeperstraining. ‘Je kunt de keeper zoveel op strafschoppen laten oefenen als je wil, maar als je de rest van het spel niet traint, win je nog steeds de wedstrijd niet.’

In de strijd tegen hackers en andere kwaadwillenden is het minstens zo belangrijk om de systemen up-to-date te houden en te zorgen dat gestolen inloggegevens niet te misbruiken zijn, benadrukt hij. Het toepassen van meerfactor-authenticatie, waarbij een medewerker zich naast met gebruikersnaam en wachtwoord ook met een extra code of een hardwaresleutel moet identificeren, is daarvoor heel effectief. Het is wat meer gedoe dan een phishing test, maar het levert ook structureel meer op.

Zo laat de gemeente Den Bosch weten niet in te zetten op phishing tests, maar op een verplichte e-learning informatieveiligheid en veel aandacht voor phishing in workshops en berichten op intranet, in combinatie met technische maatregelen om de kans en impact van het klikken op phishing mails te minimaliseren. Volgens een woordvoerder zijn er bij de gemeente Den Bosch de afgelopen jaren geen incidenten geweest op het gebied van phishing.

Plaats als eerste een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Advertentie