Cartoon man hanging on a fishhook over a computer

Phishing test: verhoog het cyberbewustzijn van je werknemers

In de afgelopen maanden werden per maand meer cyberaanvallen uitgevoerd dan in 2017 en 2018 in een heel jaar, meldt Digital Trust Center, onderdeel van het Ministerie van Economische Zaken en Klimaat. En nu iedereen nog steeds massaal thuiswerkt, zijn bedrijven nóg kwetsbaarder geworden. Met name thuiswerkers blijken namelijk onvoldoende voorbereid te zijn op phishing. Genoeg aanleiding voor het Digital Trust Center om een gratis MKB Phishing test te organiseren, een soort digitale brandoefening. Eerste stap om een phishing test te doorstaan: verhoog het cyberbewustzijn van je werknemers.

Digital Trust Center geeft aan dat er veel te winnen valt door je bewust te worden van de aanpak die cyberciminelen hanteren. Een kwart van de werknemers zou een standaard phishingmail inderdaad niet herkennen, waardoor ze de organisatie kwetsbaar maken voor cyberaanvallen. Vooral slecht nieuws voor mkb’ers: cybercriminelen hebben het steeds vaker gemunt op mkb-bedrijven – en phishingmails worden steeds realistischer. Maar mkb-bedrijven (met 8 tot 250 werknemers) zijn vaak vooral druk bezig met hun werk, en beschouwen automatisering als een bijkomstigheid; zeker als het om beveiliging gaat.

Tijd voor verbetering in Nederland

Het is tegenwoordig echter niet meer de vraag óf je een keer geraakt wordt door cybercrime, maar wannéér. Die mindset is helaas nog niet op grote schaal doorgedrongen bij organisaties. Daardoor hebben cybercriminelen vaak vrij baan. Vooral in Nederland is de situatie zorgwekkend. Uit Hiscox’ Cyber Readiness Report 2020 blijkt dat organisaties in Nederland helemaal onderaan de Cyber Readiness tabel staan; slechts één op de acht organisaties (twaalf procent) wordt beoordeeld als expert op het gebied van cybersecurity. Dat staat tegenover 24 procent experts in de VS, waar volgens Hiscox de bewustwording onder werknemers groter is, en meer gedaan wordt aan preventie. Dat is dan ook te zien in de cijfers. Tijd voor verbetering in Nederland!

Cybersecurity: geen project, maar een proces

De beste manier om werknemers bewust te maken van de kenmerken van onder andere phishingmails, en daarmee van de risico’s voor jouw organisatie, is ze doorlopend trainen en leren waarop ze moeten letten om een cyberaanval op hun organisatie te vermijden. Security awareness is namelijk geen project, maar een proces. Kennis en oplettendheid moeten diep in de bedrijfscultuur geworteld zijn; dan pas wordt de kans dat werknemers alle phishingmails onderscheppen, het allergrootst (en het risico op cyberaanvallen een stuk kleiner).

Dat lukt niet met één trainingsmoment, dat misschien slechts jaarlijks wordt herhaald. Informatie kan niet worden geleerd en onthouden door een enkele herhaling, zelfs niet door een individu met een zeer groot vermogen en de grootste concentratie. Dat wist de Duitse psycholoog Hermann Ebbinghaus in 1885 al, en het geldt 135 jaar later (!) nog steeds.

Wat volgens Ebbinghaus wél werkt, is informatie herhaaldelijk en in kleine stukjes aanbieden. Herhaling is onontbeerlijk om reproductie en begrip van bepaalde informatie mogelijk te maken. Naarmate het aantal herhalingen toeneemt, wordt de informatie steeds dieper en onuitwisbaarder ingebed. Wil je jouw werknemers dus veranderen in een cyberbewuste human firewall, en je organisatie in een expert op het gebied van cybersecurity? Dan moet je informatie over cybercriminaliteit en cybersecurity doorlopend en herhaaldelijk aanbieden.

Slaag voor de phishing test: verhoog cyberbewustzijn

Dat kan door kleine stukjes informatie te tonen op narrowcastingschermen op drukke plekken in je gebouw. Of, nu een groot gedeelte van de werknemers nog steeds thuiswerkt, via je eigen bedrijfsapp, of via de screensavers of wallpapers op de laptops van je werknemers. Zelfs via Microsoft Teams kun je je werknemers bewuster van cybersecurity maken. Zo hoeven je werknemers niet in dezelfde ruimte te zijn om getraind te worden en kunnen ze vanuit thuis meer leren over cyberrisico’s en cybersecurity.

Die afstand van elkaar maakt werknemers bovendien kwetsbaarder voor phishing; ze kunnen elkaar immers niet even snel om hulp vragen. Als een werknemer een bericht niet helemaal vertrouwt, maar door tijdsdruk niet om hulp durft te vragen, of doordat hij of zij collega’s niet met ‘zoiets kleins’ durft ‘te storen, maakt iemand soms een inschattingsfout. Zo komt de phisher aan gevoelige informatie.

Wie het echt goed wil aanpakken, toont daarom niet alleen informatie over cybersecurity, maar ook de gegevens van experts op het gebied van cybersecurity binnen de organisatie. Maak daarbij ook duidelijk dat ze altijd met vragen over cybersecurity bij deze persoon terecht kunnen; de veiligheid van je organisatie moet prioriteit hebben.

Als je al deze informatie vervolgens toont via ons omnichannel platform, kun je er zeker van zijn dat je iedereen in je organisatie bereikt. En pas als je echt ál je werknemers bekend maakt met de gevaren voor je organisatie, ga je van bewustwording en gedragsverandering naar een werkomgeving waarin veilig en informatiebewust werken de norm is.

Wil je weten hoe je jouw werknemers bewuster kunt maken van de risico’s voor jouw organisatie en hoe je de MKB Phishing test van Digital Trust Center glansrijk doorstaat? Download dan deze 10 handige tips om je medewerkers’ cybersecurity awareness te verbeteren

Over de auteur

mm

Bente Pieters

Bente is, naast taalpurist, allesweter op het gebied van interne communicatie. Ze kent op dat vlak alle ins en outs en deelt die graag in foutloze taal. In haar vrije tijd vind je haar in de sportschool of op de bank met een boek.