Twintig procent mkb-medewerkers trapt in phishingtest van overheid

Twintig procent mkb-medewerkers trapt in phishingtest van overheid

Meer dan twintig procent van de mkb-medewerkers is getrapt in een test-phishingmail die door het Digital Trust Center (DTC) van het ministerie van Economische Zaken werd aangeboden. Volgens het DTC hebben mkb-bedrijven nog niet altijd het besef van de urgentie en de juiste kennis en vaardigheden in huis om weerbaar te zijn tegen cybercrime. “Ook zijn mkb-bedrijven vaak onderdeel van grotere toeleveringsketens, waardoor één kwetsbaar bedrijf gevolgen kan hebben voor een hele keten van bedrijven”, aldus de overheidsinstantie.

Op verzoek van het DTC en het Regionaal Platform Criminaliteitsbeheersing Noord-Holland werd de MKB Phishingtest opgezet, om inzicht te krijgen in de kwetsbaarheid van het mkb voor phishing en om te kijken hoe de cyberweerbaarheid van het mkb is te vergroten. Aan de hand van een grootschalig veldexperiment is onderzocht of een phishingtest een effectieve methode is om de cyberweerbaarheid van het mkb te vergroten en hoe lang dit eventuele effect standhoudt.

In totaal namen er 33.000 medewerkers werkzaam bij 667 bedrijven deel aan het experiment. Van mei tot en met oktober vorig jaar ontvingen zij ieder twee verschillende test-phishingmails. De test-phishingmail bevatte kenmerken van een ‘echte’ phishingmail, waarbij de medewerker werd gestimuleerd om op de link in de mail te klikken. Zodra de medewerkers op de link in de phishingmail klikten, belandden zij op een pagina met informatie over waar ze de phishingmail aan hadden kunnen herkennen. Het klikken op de link in dit onderzoek had geen gevolgen.

Van alle deelnemers bleek dat 22 procent de link in het bericht opende. Daarnaast klikten medewerkers die aangaven de afgelopen twaalf maanden geen phishingmails te hebben ontvangen gemiddeld vaker op de link dan degenen die wel één of meerdere phishingmails hadden ontvangen.

Regressie

Volgens het DTC zijn er aanwijzingen voor een effect van een phishingtest op korte termijn, maar niet op de middel of middellange termijn. Uit een regressieanalyse bleek dat medewerkers die ongeveer een maand eerder een phishingmail hadden ontvangen, significant minder vaak op een tweede phishingmail klikten dan degenen die daarvoor geen phishingmail hadden ontvangen. Er was geen significant effect van een phishingtest op de middellange termijn (na 2,5 maand) en de lange termijn (na 3,5 maand).

Verder toont het onderzoek aan dat risicozoekende medewerkers de meeste baat bij een phishingtest hebben. Risicovoorkeur bleek ook een positieve samenhang te hebben met één van de significante voorspellers voor het klikken op een phishingmail. “Medewerkers die aangeven meer risicozoekend te zijn, lijken dus meer baat te hebben bij de ervaring van een phishingtest op korte termijn dan medewerkers die meer risicomijdend zijn”, aldus het DTC.

De overheidsinstantie gaat met de resultaten in het achterhoofd een bewustwordingscampagne rondom phishing starten. Deze campagne moet ondernemers stimuleren om phishing te herkennen, voorkomen en bestrijden. Zo worden onder andere tools en informatie aangeboden om veilige e-mailinstellingen te kiezen en andere benodigde stappen te zetten.

Image

Bron: https://www.security.nl/posting/758769/Twintig+procent+mkb-medewerkers+trapt+in+phishingtest+van+overheid?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.