Gemeente Westerlo
Gemeente Westerlo schakelt ethisch hacker in om haar medewerkers attent te maken voor phishing
De Kempense gemeente Westerlo heeft ruim 200 administratieve medewerkers in dienst. Zoals in elke organisatie worden ook zij geconfronteerd met ongewenste en gevaarlijke e-mails. Op initiatief van de dienst ict werden alle collega’s bijkomend getraind in het herkennen van dit soort phishing emails.
Wat is phishing?
Phishing is een vorm van interfraude waarbij valse emails verstuurd worden, en waarbij de afzender probeert om inloggegevens, kredietkaartinformatie, pincodes of andere waardevolle gegevens te achterhalen.
Een valse email om iedereen te misleiden
Een ethisch hacker van Fox&Fish Cyberdefense stuurde in samenwerking met de dienst ict van de gemeente een valse, maar geheel onschadelijke, e-mail naar alle medewerkers. De e-mail leek afkomstig te zijn van een ict-er van de gemeente; het uitzicht van de email, de schrijfstijl en de ondertekening klopten allemaal. Enkel het verzendadres was licht afwijkend, de e-mail kwam niet van @westerlo.be. In feite een onbekende afzender dus, maar dat valt niet altijd op, en is daarom een populaire techniek bij hackers.
In de e-mail werd de medewerkers gevraagd om opnieuw in te loggen. Maar op de achtergrond werd elke gebruiker omgeleid naar een nagemaakte website. Die was eveneens opgezet door de ethisch hacker.
Sprekende resultaten
In de phishing-test stuurde onze ethisch hacker alle administratieve medewerkers van de gemeente Westerlo een valse e-mail. Bijna de helft klikte op de link in de valse e-mail. Een deel van hen gaf ook effectief zijn paswoord in op de valse website.
Met deze resultaten zou een echte hacker veel kans maken om zich toegang te kunnen verschaffen tot het systeem, en data te stelen of een ransomware te activeren.
Positief was dat een aanzienlijk deel van de medewerkers spontaan het bericht rapporteerden als verdacht. Hierdoor kan de dienst ict snel ingrijpen en dergelijke verdachte e-mails op netwerkniveau blokkeren.
The human firewall
The human firewall is een term die in cybersecurity wordt gebruikt om het menselijke aspect van cyberveiligheid te duiden.
Technische maatregelen zoals firewalls & virusscanners bieden nooit 100% bescherming. De cyberveiligheid van een organisatie wordt ook versterkt naargelang medewerkers attenter zijn voor verdachte situaties, zoals valse e-mails of bijlages, dubieuze websites of verdacht gedrag van bezoekers, enzovoort.
Een duidelijk actieplan
We vinden bij veel bedrijven en organisaties, waar nog geen of onvoldoende actieve training en bewustwording van medewerkers heeft plaatsgevonden, gelijkaardige cijfers terug (cfr. de helft of meer klikken in het valse bericht). Initiatieven als deze leveren een goede nulmeting voor cybersecurity bewustzijn bij medewerkers, en zijn essentieel om een gepast actieplan op te stellen.
Fox&Fish Cyberdefense organiseert voor u verschillende opleidingen die medewerkers bewust maken van de risico’s, en hen leert valse e-mails en websites te herkennen. Na de opleidingen blijven we de medewerkers testen op hun kennis door regelmatig valse e-mails te sturen. Daarvoor gebruiken we een systeem gebaseerd op artificiële intelligentie. Dat wordt verrijkt met een dynamisch e-learningplatform dat automatisch lesmateriaal op maat aan de gebruiker aanbiedt, volgens de leemtes en behoeftes die ons systeem detecteert.
Deze manier van werken verhoogt telkens opnieuw in kleine stapjes de kennis en het bewustzijn van de gebruiker. De resultaten die we met dit systeem behalen, bewijzen dat dit trainingsprogramma erg succesvol is. Organisaties waarin 30-60% van de medewerkers zich laten vangen door een phishing oefening, zien we na 12 maanden op ons platform typisch terugvallen naar 2-5%.
Een greep uit onze tevreden cyberveilige klanten…
Meer weten? Contacteer ons voor een vrijblijvend gesprek.
