De phishing test is een beproefd middel om ook ambtenaren bewuster te maken van informatiebeveiliging. Maar om het aantal veiligheidsincidenten terug te dringen, is meer nodig dan een instinkmail alleen.
In veel gemeenten krijgen medewerkers regelmatig – zo’n twee keer per jaar – vanuit de eigen organisatie een phishing test voor de kiezen. Phishing tests zijn een standaardmethode geworden om het bewustzijn over informatiebeveiliging te bevorderen. Verzend een e-mail met daarin een link en houd bij hoeveel medewerkers nietsvermoedend op de link klikken. Stuur degenen die erin trappen een gericht bericht met feedback. Herhaal de test om te zien of het percentage medewerkers dat erin trapt, afneemt.
Spam
Bijna alle door Binnenlands Bestuur benaderde gemeenten antwoorden bevestigend op de vraag of ze phishing tests toepassen. Over het algemeen neemt de Chief Information Security Officer (CISO) hiervoor het initiatief, in samenwerking met de ict-afdeling. Opvallend is dat ze alleen gebruikmaken van de beproefde e-mailmethode; WhatsApp en andere tekstberichtendiensten hebben nog geen plek in de gemeentelijke phishing test.
Zonder uitzondering stellen de benaderde gemeenten dat een phishing test de bewustwording bevordert. Zo zag Dronten, in 2018 nog bijna slachtoffer van een aanval met gijzelsoftware, het aantal medewerkers dat erin tuint flink afnemen. Bij een eerste phishing test klikte meer dan 20 procent op een nep phishing mail. Meer dan de helft daarvan liet ook hun gegeven achter. Bij de tweede test was nog maar 8 procent van de medewerkers niet alert genoeg om het bericht als phishing mail te herkennen.
Beetje flauw
De Informatiebeveiligingsdienst (IBD) ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy. De phishing test is een simpele en effectieve manier om medewerkers bewust te maken, vindt IBD-medewerker Remco Groet. Toch is hij geen groot voorstander van de methode. ‘Het is een beetje flauw om mensen voor het lapje te houden,’ zegt hij. ‘Als je maar genoeg van iemand weet, kun je iedereen op een malafide link laten klikken. Stuur rond de kerstperiode een mail naar de hele afdeling met daarin ‘klik hier om je kerstcadeau uit te kiezen’ en je hebt gegarandeerd prijs.’
Bulkaanval
Hoe meer er over iemand bekend is, hoe makkelijker het is om diegene in phishing te laten trappen. Daar wordt wel degelijk misbruik van gemaakt, bijvoorbeeld met behulp van openbare data. Oplichters sturen duizenden mensen tegelijk een bericht, in de hoop dat er genoeg mensen ‘happen’. Is één van de ontvangers toevallig een ambtenaar die het bericht aanklikt, dan krijgt de gemeente mogelijk zomaar een aanval van gijzelsoftware voor de kiezen. Uit het onlangs verschenen Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022 van de IBD blijkt dat gemeenten met name te kampen hebben met zulke geautomatiseerde bulkaanvallen.
Keeperstraining
Bewustwording op het gebied van informatiebeveiliging is essentieel, maar slechts een deel van het verhaal. Groet vergelijkt de phishing test met een keeperstraining. ‘Je kunt de keeper zoveel op strafschoppen laten oefenen als je wil, maar als je de rest van het spel niet traint, win je nog steeds de wedstrijd niet.’
In de strijd tegen hackers en andere kwaadwillenden is het minstens zo belangrijk om de systemen up-to-date te houden en te zorgen dat gestolen inloggegevens niet te misbruiken zijn, benadrukt hij. Het toepassen van meerfactor-authenticatie, waarbij een medewerker zich naast met gebruikersnaam en wachtwoord ook met een extra code of een hardwaresleutel moet identificeren, is daarvoor heel effectief. Het is wat meer gedoe dan een phishing test, maar het levert ook structureel meer op.
Bron BinnenlandsBestuur Digitaal. Lees het volledige artikel in Binnenlands Bestuur nr. 21