Alle medewerkers en studenten ontvingen vorige week de nep-phishingmail, met daarin de oproep om hun wachtwoord zo spoedig mogelijk te wijzigen vanwege nieuwe richtlijnen. Daar zijn veel UT’ers ingetuind. ‘43 procent van de studenten en 43 procent van de medewerkers heeft de mail geopend. Van de studenten klikte 25 procent op de link in de mail, bij de medewerkers zat dat op 29 procent’, vertelt Wim Olijslager, projectleider vanuit LISA. De aantallen zijn volgens hem ‘flink meer’ dan bij vergelijkbare acties afgelopen jaar. Toen klikte respectievelijk 25 procent (studenten) en 19 procent (medewerkers) op links in de nepmails.
‘Slechter dan vorig jaar’
Er zat veel voorbereiding in deze mail, vervolgt Olijslager. ‘We hebben ook meerdere meetstappen toegevoegd – zonder dat we gegevens hebben opgeslagen overigens. Nadat je op de link klikte, kon je je wachtwoord wijzigen. Daaruit konden we meten dat 30 procent van de mensen alsnog nepgegevens heeft ingevuld. Bij hen kwam de bewustwording dus wat later in het proces. Aan het eind van het proces was er nog een scherm met een teachable moment, waarin uitgelegd staat hoe je een phishingmail kunt herkennen. Vorig jaar waren onze pogingen wat opzichtiger, met nepmails waarin we ons voordeden als een pakketbezorgdienst, bijvoorbeeld. Nu kozen we voor een realistische opzet, met een mail volledig in de huisstijl van de UT.’
Ongeacht of UT’ers de simulatiemails flauw of vervelend vinden, ze blijken en blijven noodzakelijk, vult securitymanager Peter Peters aan. ‘Bij de voorgaande phishingtests merkten we dat het aantal mensen dat erin trapte steeds minder werd. Maar die mails waren makkelijker te herkennen als een phishingpoging. Met een phishingmail die echt overtuigend was opgezet, blijkt nu dat we er eigenlijk slechter voorstaan dan toen we hier afgelopen jaar mee begonnen.’
‘Kan iedereen overkomen’
Volgens Peters moeten we waken voor victim blaming. ‘Denk niet dat je er zelf niet in zult trappen. Mensen zijn druk, hebben vaak iets anders aan hun hoofd. Daar proberen oplichters altijd misbruik van te maken. Slachtoffers zul je altijd houden. Ik haal altijd een voorbeeld aan van een organisatie in Amerika. De securitymedewerker die zelf iedere paar maanden de testmail verstuurde op vrijdagmiddag tuinde er zelf op maandagochtend in. Het kan iedereen overkomen.’
De LISA-medewerkers wilden niet alleen testen hoeveel mensen in de phishingmail zouden trappen, ook of er melding van werd gedaan. ‘Het doel is altijd tweeledig: minder slachtoffers en meer mensen die er melding van maken bij CERT (het Computer Emergency Response Team van LISA, red.). Positief aan deze actie was dat we veel meldingen kregen van oplettende medewerkers. Dat toont aan dat de awareness groeit. Hoe meer meldingen we krijgen, hoe beter we technische en niet-technische maatregelen kunnen nemen’, aldus Peters.
Verplichte training
Los van de phishingactie, heeft LISA al langer plannen om een vorm van cyberveiligheidstraining te verplichten. Momenteel is het trainingsaanbod op het zogeheten Security Education Platform nog vrijwillig. ‘Met goedkeuring van het college van bestuur gaat cybersecuritytraining voor bepaalde kwetsbaardere groepen verplicht worden’, zegt Olijslager. ‘Denk bijvoorbeeld aan nieuwe medewerkers of tijdelijke medewerkers, die nog niet bekend zijn met de gewoontes op de UT. Maar er zijn ook specifieke risico’s voor de wetenschappelijke staf bijvoorbeeld.’
Wellicht komt er ook een jaarlijkse verplichte training voor alle medewerkers. ‘In welke vorm we het trainingsaanbod gaan gieten, dat moeten we nog in overleg bepalen’, zegt Olijslager. ‘Wat we vooral willen is dat mensen zowel zichzelf als de organisatie beschermen. Data is het nieuwe goud – en het is tegenwoordig steeds meer waard.’