Wat kwamen jullie sinds de start van de online lessen zoal tegen?
‘Zo’n 50 procent van de medewerkers en studenten deed de starttraining. Qua respons is dat erg hoog – misschien dat het door de serieuze toonzetting kwam in de mail. We zagen dat de score op 85 procent zat, wat ook erg hoog is. Met de basiskennis zit het wel goed, kun je stellen. Maar daartegenover staat dat we ook vier verschillende phishingmails naar vier verschillende groepen hebben gestuurd. Ongeveer een kwart van de studenten en een vijfde van de medewerkers trapte in zo’n phishingmail. Ja, dat was absoluut schrikken. Mensen klikten met name veel op een link in een mail waarin we ons voordeden als bezorgdienst DHL. Zeker als je niets besteld hebt, dan klik je niet op een link, zou je toch zeggen?’
We hebben als UT-gemeenschap nog genoeg te leren dus?
‘Ik denk wel dat de bewustwording is gegroeid. Of dat ook komt door deze online trainingen, is een relatie die we niet zomaar kunnen leggen. Maar we zien dat er meer aandacht aan besteed wordt en we weten ook dat de trainingen veel beter gewaardeerd worden dan initiatieven in het verleden, zoals flyers en escape rooms. Tegelijkertijd zien we ook dat steeds minder mensen gebruikmaken van het online trainingsprogramma.’
Ligt dat niet aan de hoeveelheid mailtjes die mensen krijgen? Of zijn ze gewoonweg te druk?
‘Over beide zaken hebben we wel een aantal kritische mailtjes ontvangen. We hebben de herinneringen die we per mail sturen in aantallen teruggeschroefd. En we horen inderdaad ook dat mensen te druk zijn en geen tijd hebben. Ik snap dat. Toch is het belangrijk dat we de aandacht niet laten verslappen.’
Waarom is dat zo belangrijk?
‘De vuistregel bij cyberveiligheid is dat de mens altijd de zwakste schakel is. De online trainingen die we aanbieden moeten helpen om die schakel wat sterker te maken. Cybercriminelen richten zich juist via zogeheten social engineeringstechnieken op de mens. De risico’s zijn gewoon reëel. Mensen denken dat het een ver-van-m’n-bedshow is, totdat bijvoorbeeld de Universiteit Maastricht werd aangevallen. Zeker op universiteiten zeggen we al snel dat we een open gemeenschap zijn; we leven op samenwerking en kennisdeling. Dat klopt allemaal, maar er zijn gewoonweg legio risico’s, bijvoorbeeld spionage. Het is niet voor niets dat de minister extra aandacht schenkt aan kennisveiligheid. Het kan gewoonweg voorkomen dat als jij je wachtwoordbeheer niet op orde hebt, het werk van je collega verloren kan gaan. Het kan zelfs ten koste gaan van de hele organisatie. Het is, als je het mij vraagt, oncollegiaal om je informatiebeveiliging niet op orde te hebben.’
Hoe krijg je de aandacht van mensen er weer bij?
‘We willen na de zomervakantie een bewustwordingscampagne houden. Niet met een belerende boodschap en een wijzende vinger, maar op een ludieke manier en met praktijkvoorbeelden. Ook willen we aandacht besteden aan het verhogen van meldingen bij verdachte situaties aan CERT-UT.’
Moet het trainingsaanbod nog verbeterd worden?
‘Samen met Jan-Willem Bullee, een onderzoeker aan de faculteit BMS, proberen we zoveel mogelijk te meten en inzichtelijk te krijgen. Zo valt ons bijvoorbeeld op dat ondersteunend personeel relatief gezien de laagste phishingscores noteert en tijdelijk personeel de hoogste. Op het onderwerp ‘mobiel gebruik’ wordt bij kennismetingen over het algemeen het slechtst gescoord. Idealiter gaan we aan de hand van de meetgegevens – die we op geaggregeerd niveau verzamelen – aan bepaalde functiegroepen specifieke trainingen aanbieden. Hoe dan ook, het is belangrijk om je kennis over cyberveiligheid te onderhouden. Gemiddeld zakt die kennis na ongeveer drie weken al weg.’