blog, informatiebeveiliging
De meeste mensen zeggen phishing te herkennen en hier niet in te trappen. Toch is phishing de oorzaak van 91% van alle datalekken. 60% van alle Nederlandse bedrijven kwam in de afgelopen 5 jaar in aanraking met hacking, ransomware, datadiefstal of een andere vorm van cybercrime. Dit met miljarden euro’s schade als gevolg.
Maak jezelf niks wijs, ook jouw organisatie kan het slachtoffer worden van phishing. Het advies is en blijft: klik niet op verdachte links en reageer niet op ongevraagde e-mails. Maar ja, die cybercriminelen zitten ook niet stil en komen met steeds gehaaidere methodes en mails die bijna niet meer van de echte zijn te onderscheiden. In deze blog ga ik in op het belang van doorlopende awareness campagnes over phishing.
Door de snelle ontwikkelingen kun je niet zonder doorlopende awareness campagnes
Phishers zitten niet stil en blijven inspelen op beschikbare online-informatie en communicatiemogelijkheden. Omdat we nu meer thuiswerken delen we steeds minder bijlagen in een e-mail, maar delen we bestanden met elkaar in de cloud (via Dropbox of OneDrive). Daar spelen phishers handig op in door bestanden met een phishinglink, of macro’s die ransomware installeren, te uploaden naar deze cloudopslag en zo te delen. Medewerkers van organisaties moeten daarom eigenlijk doorlopend gewezen worden op deze nieuwe gevaren.
Awareness is geen eenmalige exercitie, juist doorlopende campagnes verdienen de aanbeveling
Simulaties moeten worden uitgebreid en aangevuld met de cases die wij (helaas) in de dagelijkse praktijk tegenkomen.
Een datalek als kans om gegevens bij andere organisaties buit te maken
Cybercriminelen je daarnaast ook te bereiken met gegevens die eerder zijn buit gemaakt door datalekken. Deze gelekte informatie wordt bijvoorbeeld gebruikt om bedrijfs- en persoonsprofielen perfect na te maken. Met zo’n niet van echt te onderscheiden profiel kunnen ze steeds gerichtere en overtuigendere phishing aanvallen uitvoeren, ook wel spearphishing genoemd. Een aanval op personen met de meeste bevoegdheden binnen een bedrijf (directie, management, IT) dat noemen we whaling. Cybercriminelen richten zich op de grote vissen. Vandaar de naam whaling. De buit is bij een geslaagde poging groter dan als ze account van een reguliere medewerker weten te hacken.
Cybercriminelen richten zich op de grote vissen; directie en MT leden. Dit wordt ook wel whaling genoemd
Awarenesstrainingen afgestemd per afdeling
Elk type afdeling heeft zijn eigen type medewerker en gevoeligheden. Een cybercrimineel kijkt vooraf goed welke afdeling de meest waardevolle data verwerkt of bij welke persoon de meeste informatie te halen valt. Een HR-afdeling verwerkt waardevolle persoonsgegevens en een IT-afdeling of directielid heeft ogenschijnlijk toegang tot veel systemen. Het is van belang om in te spelen op de werkzaamheden en risicoprofielen van afdelingen. Daarom is geen generieke training of simulatie campagne en stemmen we deze af op de branche en doelgroep.
Het is van belang om in te spelen op de werkzaamheden en risicoprofielen van afdelingen
Met phishingsimulaties krijg je inzicht waarin je moet investeren of bijsturen
Met phishingsimulaties maak je het niveau van bewustzijn van medewerkers in een organisatie inzichtelijk. Het doel van de simulaties en trainingen is om medewerkers kennis bij te brengen en er voor te zorgen dat er zoveel bewustzijn is dat er geen actie komt op een verdachte e-mail of link.
Door het periodiek simuleren van een phishingaanval en de respons in de organisatie te meten maak je zichtbaar hoe de organisatie er voor staat en identificeer de mate van bewustwording rond het omgaan met deze vorm van cybercriminaliteit in jouw organisatie. Deze feedback zet je vervolgens in om de vervolg (trainings)campagnes te verbeteren en nog beter af te stemmen op de doelgroep.
Feedback inzetten om de vervolg (trainings)campagnes te verbeteren en nog beter af te stemmen op de doelgroep
Vrijblijvende phishingsimulatie t.w.v. € 350,-?
Wil je alvast vrijblijvend kennismaken met hoe een phishingsimulatie in z’n werk gaat en inzicht krijgen in hoeveel procent van jou collega’s klikt op een phishing mail?
Meer informatie
Mocht je meer willen weten, neem dan contact met me op via 040 2370 426, stuur een e-mail naar thijs@ratho.nl of gebruik onderstaande button.
