User awareness

Phishing als belangrijkste risico's

Uit alle statistieken over cybercriminaliteit blijkt dat een email de meest voorkomende manier is waarmee hackers hun eerste toegang krijgen tot bedrijfsnetwerken. Een phishing email versturen is dan ook vrij eenvoudig.

We weten ook dat een belangrijk deel van de emaillezers in gaan op vragen uit emails. Een deel daarvan geeft ook nog eens hun wachtwoord door en enkelingen bevestigen zelfs MFA codes. Velen kennen de risico's dus niet en/of kunnen phishing emails niet onderscheiden van de andere emails.

Maar ook zonder wachtwoord kan kan een cybercrimineel al ver doordringen in het netwerk en zich een weg banen naar de cruciale informatie. Of gewoon domweg alles encrypteren om losgeld te vragen in een ransomware aanval die we de laatste jaren veel zien. Het lijkt er niet op dat die business snel zal stoppen, organisaties zijn te kwetsbaar op hun digitale front.

Baseline phishing campagne

Hoe erg is het gesteld?

Als eerste stap stellen we voor om een eenmalige baseline phishing test uit te voeren. Op die manier breng je in kaart hoe sterk de medewerkers van jouw organisatie hierin staan. Afhankelijk van de gebruikte emails en sector klikt 30 to 50% door, te veel potentieel om als hacker mee door te gaan.

Classroom Training

Eerste onderdompeling

Om de aandacht te vestigen op de risico's is het goed om alle gebruikers hier in onder te dompelen. We merken dat een live en training presentatie het snelste leereffect heeft. Idealiter wordt dit vanuit het management aangekondigd zodat de ernst ook duidelijk is voor alle medewerkers. Zo kan iedereen zich even volledig focussen op de boodschap dat ze mee moeten helpen de organisatie te behoeden.

Naast phishing komen ook andere cyberrisico's aan bod. Savaco's trainers kunnen dit in het Nederlands, Engels en Frans doen.

Continual Phishing Campaign

Testen maar

Daarna gaan we aan de slag met een phishing tool die bijvoorbeeld elke week allerlei phishing emails op de gebruikers afvuurt. Deze phishing emails zijn zo opgesteld dat ze wel door de verschillende email filters geraken maar geen kwaadaardige zaken uitvoeren.

Daarmee kunnen we controleren hoeveel procent nog doorklikt. Mensen die zich laten vangen krijgen op dat moment aanwijzingen hoe ze konden detecteren dat het geen legitieme email was. Op die manier worden ze hier regelmatig aan herinnerd. Mensen die het goed doen krijgen steeds moeilijkere emails om het niveau nog verder op te drijven. We zijn nog altijd onder de indruk van de vindingrijkheid.

Er zijn rangschikkingen per afdeling mogelijk en het management kan dit ook op individueel niveau opvolgen. We adviseren dit op het niveau van HR op te volgen.

Savaco biedt de oplossingen van KnowBe4 en Phished aan en ontzorgen onze klanten graag met de opzet en opvolging ervan via onze managed services. Op die manier garanderen we dat alle mogelijkheden uit de tool gehaald worden en zorgen we voor opvolging van de resultaten met de verantwoordelijken.

Continual User Awareness Training

En de kennis blijven onderhouden

Naast de phishing emails als herinnering biedt de phishing tool ook trainingsmogelijkheden. Dat zijn typisch korte stukjes die de gebruikers zelfstandig kunnen uitvoeren. Het gaat van een kort informatief tekstje, naar een presentatie, een filmpje of zelfs een spelletje over cybersecurity. KnowBe4 voorziet hiervoor zelfs verschillende seizoenen fictieseries zoals The Inside Man om het bewustzijn hoog te houden. Hier maandelijks 5 minuten aan besteden onderhoudt de kennis bij de medewerkers. Afhankelijk van de sector en doelgroep wordt het ene type training beter onthaald dan het andere. Naast internationale talen is er ook Nederlandstalige content voorzien, de filmpjes eventueel met ondertitels.

Ook hier adviseren we graag om de meest relevante content te selecteren voor je medewerkers. Ook hier helpen we opvolgen wie welke training volgde, of net niet. De quizresultaten helpen hier ook richting te geven.

The Inside Man