Bringme
Case study

Een Security Awareness Training die Bringme compliant maakt met NIS2

Sinds het begin van de Phished-simulaties is er bij Bringme duidelijk vooruitgang geboekt. In recente simulaties bedroeg het phishingpercentage gemiddeld slechts 5%. Maar dat was in het begin niet het geval.


Fact sheet

68 werknemers, allemaal ingeschreven (via AD sync)
Klant sinds september 2020
Phishing-percentage: van 25% naar 6,52% bij een recente test (februari 2021)
Bringme biedt bedrijven een virtuele receptionist en biedt een digitale conciërge voor projectontwikkelaars of -beheerders.


Hoewel Bringme al ervaring had met phishingtests voordat ze het Phished-platform gebruikten, bleek er toch nog veel ruimte voor verbetering te zijn.

Firewalls zijn een halve oplossing

Sil Goeman, IT-manager bij scale-up Bringme heeft het zelf nooit hoeven meemaken, maar zes jaar geleden werd het bedrijf twee keer het slachtoffer van ransomware. Hackers waren binnengedrongen via een simpel mailtje aan een medewerker en begonnen van daaruit de fileserver te versleutelen. Gelukkig kon een grondige back-upstrategie de schade grotendeels ongedaan maken.

Sinds Goeman begon, vier jaar geleden, hebben phishingpreventie en cybersecuritybewustzijn dan ook veel meer aandacht gekregen binnen het bedrijf. "Naast het afstappen van lokale mailhosting, hebben we sindsdien meer ingezet op mailfiltering en handmatige phishingsimulaties," zegt Goeman. "Gelukkig groeit binnen het bedrijf het besef dat zowel technische barrières als training nodig zijn om hackers buiten te houden."

Belangrijk, maar er is altijd wel iets dringender

Voordat Bringme Phished ging gebruiken, werden phishingsimulaties gedaan met behulp van open sourcesoftware. Goeman: "Je kunt prima zelf simulaties opzetten met tools die je onder andere op GitHub gratis vindt. Het kost je echter drie tot vier uur per simulatie om alles goed voor elkaar te krijgen, en dan moet je nog de analyse doen, de gevolgen opruimen en de medewerkers trainen die in de val zijn gelopen."

"Bijgevolg was het opzetten van phishingsimulaties zelden een van mijn prioriteiten", zegt Goeman. "Er waren altijd andere dringende zaken die mijn aandacht vroegen. Uiteindelijk deden we eens per maand of om de twee maanden een simulatie."

Ondanks de regelmatige simulaties slaagde Phished er toch in om 25% van hun personeelsbestand te phishen. "De simulaties van Phished bleken van een hoger niveau te zijn dan wat we zelf al deden", geeft Goeman toe. "Ik ben er bijvoorbeeld zelf een keer door gestrikt. Maar dat is maar goed ook: we hebben er bewust voor gekozen om het zo moeilijk mogelijk te maken, met phishingmails in het weekend en na de uren, met gevoelige inhoud (zoals ontslagmeldingen, red.),... Immers: hackers discrimineren ook niet."

Bringme casestudy residential box 1 1

Aanzienlijke verbetering

Het scheelt tijd en werk, en collega's krijgen een training die echt op hun eigen niveau is afgestemd.

Sinds het begin van de Phished-simulaties is er bij Bringme duidelijk vooruitgang geboekt. Bij recente simulaties was het phishingpercentage gemiddeld nog maar 5%. "Op enkele volhardende medewerkers na, gaan we er inderdaad op vooruit," zegt Goeman. "Gelukkig is er nu de Phished Academy voor wie nog extra begeleiding nodig heeft: dat scheelt tijd en werk, en collega's krijgen een training die echt op hun eigen niveau is afgestemd. Daarnaast helpt de Academy ons bij het behalen van onze ISO-certificering."

"Bovendien kregen we tijdens de eerste simulaties - vooral bij gevoelige content - wat negatieve reacties van medewerkers, maar die gingen heel snel weg. Ze zagen er snel het nut van in en nemen hun opleiding sindsdien serieus."

Conclusie

Voor Bringme is automatisering duidelijk het grootste voordeel van het werken met Phished. Na enkele negatieve ervaringen met ransomware had het bedrijf al enige ervaring met phishing-simulaties en het trainen van medewerkers. Toch viel een groot deel van de organisatie ten prooi aan moeilijkere simulaties tijdens baselinemetingtests.

Automatische simulaties, gebaseerd op het individuele niveau van de ontvanger, gecombineerd met gedegen rapportage- en analysetools, stellen het bedrijf in staat zich te richten op zaken die meer handmatig werk vereisen, wetende dat hun medewerkers nog steeds voldoende aandacht en training krijgen op het gebied van cybersecurity en phishing.