In 3 stappen naar bewustwording voor phishingmails
Een collega heeft een phishingmail geopend en zijn inloggegevens gedeeld met “ICT”. Of… dat dacht je collega. De hacker heeft inmiddels toegang tot jullie omgeving. Een uitgebreid onderzoek volgt en de dienstverlening ligt een week stil.
Dit voorbeeld is niet verzonnen. Wij zien dat klanten steeds meer én betere phishingmails ontvangen. Als maar één collega die mail opent, kan dat grote gevolgen hebben. Naast het stilleggen van de dienstverlening, komt gevoelige informatie van de organisatie of medewerkers op straat te liggen, betalen organisaties losgeld, of volgt een aanwijzing van de AP. Dit heeft grote impact op jouw werk als professional en op de organisatie. Om nog maar niet over de benadeelde te spreken.
Het grootste risico is hier de menselijke factor. Met het creëren van bewustwording (awareness) rondom phishing dring je het aantal incidenten snel drastisch terug. Hoe je daar zelf mee aan de slag kan, lees je hier.
Stap 1: Bepaal het doelgedrag bij phishingmails
Wat wil je dat collega’s doen als zij een phishingmail ontvangen? Dat lijkt een overbodige vraag, maar dat is het niet.
Als wij deze vraag stellen, geven collega’s vaak verschillende antwoorden. Sommige willen dat ontvangers de ICT-helpdesk bellen. Andere willen dat ze de mail doorsturen naar een meldpunt. Weer andere collega’s willen dat ze de mail direct verwijderen.
Stel dus eerst het doelgedrag vast. Bijvoorbeeld: “Iedere medewerker stuurt bij de ontvangst van een vermoedelijke phishingmail de mail direct door naar het meldpunt (spam@organisatie.nl)”
Stap 2: Bepaal de knelpunten
Bedenk waarom je collega’s het gewenste gedrag niet vertonen. Vaak zien wij dat er meerdere factoren spelen.
Organisaties zoeken de oorzaak meestal in capaciteit. Medewerkers kunnen de mails bijvoorbeeld niet goed genoeg herkennen. Of ze weten niet wat ze met die mail moeten doen.
Maar vergeet ook de motivatie van een medewerker niet. Soms zien medewerkers helemaal geen probleem in phishingmails. Ze hebben er geen aandacht voor.
Stap 3: Bedenk passende oplossingen
Afhankelijk van de knelpunten die je in stap 2 vindt, selecteer je verschillende oplossingen (interventies).
Wij gebruiken daarbij het wetenschappelijke COM-B model. Dat verklaart en beïnvloedt gedrag op basis van drie factoren:
Motivatie
Een voorbeeld van een interventie op het vlak van motivatie is voorlichting. Voorlichting waarbij de omvang van het probleem wordt getoond, wat er al aan wordt gedaan en het aanspreken van de eigen verantwoordelijkheid. Dit kun je met verschillende middelen doen. Denk aan infographics, het uitnodigen van een ervaringsdeskundige of het maken van een instructiefilmpje.
Capaciteit
Op het vlak van capaciteit kun je denken aan trainingen. Dat kan een e-learning zijn, phishingmailsimulaties of zelfs een phishing-challenge. Je kunt ook een interactieve workshop organiseren.
Omgeving
Je zou het collega’s ook makkelijker kunnen maken om een phishingmail te herkennen. Bijvoorbeeld door het toevoegen van een meldknop in je mailomgeving. Hierdoor kunnen ze een verdachte mail met één klik op de knop melden. Door de knop opvallend te maken, houd je het melden onder de aandacht.
Vergeet niet de melder te bedanken voor de melding. Geef ook terugkoppeling. Melders vinden dit belangrijk. Het uitblijven van een reactie kan ertoe leiden dat melders de volgende keer niet meer melden (“Er wordt toch niks met mijn melding gedaan…”)
Niet vergeten: neem de interventies op in je bewustwordingsprogramma
Voor bewustwording (awareness) en het bereiken van veilig gedrag is continuïteit erg belangrijk. Vergeet daarom niet om de interventies op te nemen in het bewustwordingsprogramma. Het kan daarbij helpen om een kernboodschap voor verschillende doelgroepen te formuleren.
Nu ben jij klaar om zelf te zorgen voor bewustwording rondom phishingmails. Succes en veel plezier! Mocht je nog eens met ons van gedachte willen wisselen, neem hier contact op of bel ons 085 06 08 419.