Hoe ver te gaan met security awareness en phishing tests

Awareness en trainingen: hangt erg af van het soort organisatie / personen. Is vaak vrij zinloos. Ik kan niet met droge ogen beweren dat ik zelf alle interne cursussen die me minder interesseren met volle aandacht volg. Laat staan als het online dingen zijn.

Een external mail-melding heeft IMHO alleen zin als er vooral intern wordt gemaild. Anders ziet al snel niemand die melding meer. En als je vooral intern mailt dan wil je afstappen van mail. Voor enkele personen (CEO, anderen die betaalopdrachten zouden kunnen geven) impersonation protection inschakelen lijkt me dan beter.

En allerhande conditional access policies etc. om misbruik te voorkomen.

Hier een mix van phishing tests: een of twee brede per jaar, en tussendoor gefocust op bepaalde groepen users. En verder ook aandacht geven aan praktijkgevallen van binnen of buiten de organisatie.

En bij CEO-fraude: geef ook ruim aandacht aan preventie: het financieel systeem moet het simpelweg niet mogelijk maken een betaling te doen zonder vier- of liever veel meer-ogenprincipe. Factuur komt binnen, wordt bekeken door persoon1 op de vakafdeling: is de dienst geleverd, dan persoon2: is er een onderliggend contract. Als beide akkoord dan pas (automatisch) naar de financiele afdeling. Checkt of het gaat om het bekende bankrekeningnummer (nooit alleen vertrouwen op niet het nummer dat in de factuur staat) en tenslotte betaling. En ja dat kost tijd en moeite en is 99% van de gevallen niet nodig.
Slechts een heel klein aantal mensen een omweg laten hebben (creditard-betalingen of zo), met nog steeds vier-ogen. En daar veel aandacht aan hoe en wat waarom zou worden betaald. Nooit via alleen mailtje, des te meer aar nieuwe partijen / bij niet-kleine bedragen. Ook niet bij letterlijke brand en de baas vd baas vd baas die het vraagt.

Naar mijn idee komt het grootste deel van de succesvolle CEO truukjes door de cultuur die een CEO zelf voedt; alles snel afvuren via mail,"regel dit, doe dat" kort, weinig info maar wel verwachten dat het dan direct gaat gebeuren en boos worden als het niet is gedaan. Bij bedrijven waar de CEO/baas nooit zulke mailtjes stuurt zal de secretaresse/financieel persoon nooit in zulke phishing trappen.

Je kan namelijk allemaal leuke 4 of 6 ogen principes gaan bedenken maar er zijn weinig mensen die bereid zijn om elke betaalopdracht inhoudelijk te toetsen. Dat gaat misschien een week goed, of 2, maar daarna wordt het een automatische "OK" omdat je vertrouwt dat je collega het wel goed heeft gedaan. Die hele opdracht moet er in de eerste plek gewoon niet komen.

Dus leidinggevende moeten opgevoed worden; geen mails vanuit prive mailboxen, geen betalingsverzoeken via de mail maar via het juiste proces, en ja daar hoort dus ook die "werklunch" bij in de Bananenbar.

Bezulba schreef op vrijdag 7 maart 2025 @ 13:03:
Bij bedrijven waar de CEO/baas nooit zulke mailtjes stuurt zal de secretaresse/financieel persoon nooit in zulke phishing trappen.

Was het maar zo. De praktijk laat helaas echt anders zien. Ik mag geen namen noemen (want NDA) - maar een bekende Nederlandse stichting is vorig jaar in phoshing getrapt wat ze behoorlijk wat geld gekost heeft.

Zonder nare C-level exec / bestuurder.

jurroen schreef op vrijdag 7 maart 2025 @ 23:46:
[...]


Was het maar zo. De praktijk laat helaas echt anders zien. Ik mag geen namen noemen (want NDA) - maar een bekende Nederlandse stichting is vorig jaar in phoshing getrapt wat ze behoorlijk wat geld gekost heeft.

Zonder nare C-level exec / bestuurder.

Maar dan zou het sowieso gebeuren ook met training want dan kan de persoon die grote bedragen over kan maken blijkbaar heel slecht herkennen wat een normaal verzoek is en wat niet.

Er zijn twee aspecten die awareness in cybersecurity lastig maken. Ten eerste is het 1 van de weinige onderwerpen die bestuurders zonder technische achtergrond begrijpen en waar je goede kpi's op kan zetten. Daarmee is het in allerlei compliance frameworks beland als vereist. De tweede is dat dit gecombineerd is met allerlei partijen die hier commercieel op inspringen en met trainingen komen die 'aantoonbaar werken' en daar semi-wetenschappelijke studies voor laten uitvoeren.
Er komen echter ook steeds meer studies uit over het gebrek van effectiviteit van awareness campagnes en trainingen, zoals deze: https://www.sciencedirect...6740482400511X?via%3Dihub waaruit blijkt dat kennis wel vergroot wordt, maar er geen bewijs is voor gedragsverandering.

Kern van het probleem is ook dat als je gedragsverandering wil, je dat alleen kan bereiken door consequent een eenvoudige boodschap te herhalen (zoals de BOB-campagne). Alleen in cybersecurity zijn we nogal slecht om consequent hetzelfde te doen (zoek maar eens een advies over sterke wachtwoorden) of om het eenvoudig te houden. Daarmee is het vrijwel zeker dat je je doel niet bereikt met (generieke) trainingen.

In cybersecurity zijn m.i. processen (bijvoorbeeld 4-ogen rondom betalingen, duidelijke processen voor controleren bankrekening nrs, etc) en techniek belangrijker dan awareness. Het enige dat je in dat geval nodig hebt is awareness bij het management dat dit belangrijk is om te doen, en dat bereik je m.i. juist niet met een algemene training.

Overigens is mijn persoonlijke ervaring met phishing campagnes niet helemaal in lijn met bovenstaande. Daar waar ik stellig van mening ben dat het geen tot weinig effect heeft, ben ik tot de conclusie gekomen dat dit toch genuanceerder is. Door periodiek een phishing mail te sturen met max tussenpoze van 4 maanden, en realistische scenario's te gebruiken (er is een document met je gedeeld, je bent uitgenodigd voor een teams omgeving etc) gecombineerd met duidelijke indicatoren ("external mail" , en dan zorgen dat mails van Microsoft die legit zijn die header niet hebben), heeft er voor gezorgd dat minder dan 1% nog maar compromised is tijdens campagnes. Uiteraard kijk ik dan wel naar de compromised KPI. Kliks vind ik niet relevant. Ook het aantal mensen dat hem rapporteert is significant omhoog gegaan.

processen en techniek belangrijker dan awareness. Het enige dat je in dat geval nodig hebt is awareness bij het management dat dit belangrijk is om te doen.

Vaak voldoen processen en technieken aan bestaande eisen en wensen en is het toepassen van bewustzijncampagnes een manier om te controleren en 'bewijzen' of de medewerkers niet te veel risico vormen. De managers kunnen zich zonder extra motivatie dus prima vinden in hun eigen bewustzijn van risico's van bestaande processen, technieken en het vaak zwaar afhankelijk zijn van uitbestede processen en technieken.

Als deze bewustzijncampagnes slecht toegepast worden binnen het eigen bedrijf en men dit geheel niet aantoonbaar ook in samenwerking met die bedrijven waar men van afhankelijk is bij doet dan gaat het duidelijk niet om werkelijk risico's willen beperken maar om selectief verantwoordelijkheid nemen en afschuiven.