April Awareness 2014 heeft als resultaat dat 80% van de organisaties niet bestand was tegen een aanval met Phishing e-mail. Bij deze organisaties konden we onopgemerkt door de spamfilter heen komen. 23% van de medewerkers die de Phishing e-mail in hun e-mailbox ontvingen, klikten op de link in de Phishing e-mail.
20% van de deelnemende organisaties had zijn beveiliging wel goed op orde: de Phishing e-mails kwamen in eerste instantie niet door het spamfilter heen. Nadat de afdelingen ICT ervoor zorgden dat onze Phishing e-mails wel in de e-mailboxen terechtkwamen, klikten maar 10% van de medewerkers op de phishinglink.
De medewerkers die op de phishinglink hadden geklikt kwamen terecht op een landingspagina. Op deze pagina werd duidelijk gemaakt dat ze slachtoffer waren van phishing en kregen zij tips om zich beter te kunnen wapenen tegen phishing. Ook hadden ze de mogelijkheid om de Phishing e-mail door te sturen naar bekenden, met als doel ook het bewustzijn van deze ontvangers te verhogen. Dit was echter een tweede phishingpoging: zouden de, nu bewuste, medewerkers nogmaals slachtoffer worden van phishing? Slechts 0,5% van de getroffen medewerkers heeft de Phishing e-mail doorgestuurd. Dat is een uitstekend resultaat: 99,5% was zich goed bewust van de risico’s van phishing en klikte dus niet op de doorstuurbutton.
De techniek is de zwakste schakel? We constateerden in April Awareness 2014 dat de techniek de zwakste schakel lijkt. Slechts 20% van de organisaties had zijn spamfilters zo ingesteld dat onze Phishing e-mails werden tegengehouden. Dit is gevaarlijk omdat medewerkers ervan uitgaan dat de e-mails in hun mailbox veilig zijn. Zij vertrouwen erop dat de afdeling ICT phishing e-mails tegenhoudt. Natuurlijk is de vraag relevant waar echt de zwakste schakel ligt: bij de techniek of bij de mens die de techniek instelt?
Sterken helpen de zwakkeren Het goede nieuws is dat minder sterke organisaties die hun spamfilters niet goed genoeg hadden ingesteld, geholpen worden door de sterkere organisaties. LBVD verzamelt de instellingen van de spamfilters, geeft zelf aanbevelingen en deelt dit in een later stadium met de minder sterke organisaties. Sommige organisaties hebben direct actie ondernomen en ervoor gezorgd dat ook hun spamfilters voortaan phishing e-mails tegenhouden.
Wat is April Awareness? April Awareness is onderdeel van het jaarlijks terugkerend onderzoek van LBVD naar de digitale wereld, met als doel het leefbaar maken van de digitale wereld. De digitale wereld brengt gemak en comfort, maar ook risico’s met zich mee. Organisaties die deelnemen aan April Awareness kunnen het bewustzijnsniveau van hun directie en medewerkers verhogen en in dit geval ook de techniek verbeteren. Hierdoor maken de organisaties samen met LBVD, de digitale wereld leefbaar.
Hoe werkt April Awareness? In maart en april 2014 kregen alle medewerkers van de deelnemende organisaties een Phishing e-mail toegestuurd. De organisaties kozen vooraf uit drie scenario’s, waarmee ze hun medewerkers “aan de haak wilden slaan”. Medewerkers hadden de keus de mail wel of niet te openen en te klikken op de phishinglink. Medewerkers die wel hadden geklikt kwamen op een landingspagina terecht. Op deze pagina ontdekten ze dat ze slachtoffer waren van phishing. Daarnaast kregen ze meer informatie over phishing en tips en adviezen tegen phishing.
De deelnemers van April Awareness blijven anoniem. Wel noemen we de diverse sectoren: zorginstellingen, vervoersbedrijven, lokale overheden, provinciale overheden, zakelijke dienstverleners, ICT-dienstverleners, banken en verzekeraars.
