Fostplus zag een grote daling in phishing clicks na slechts enkele maanden

“We zijn ons bij Fost Plus altijd erg bewust geweest van de mogelijke gevaren online,” vertelt Jeroen Van de Sande, IT Manager bij Fost Plus. “We spendeerden al redelijk wat tijd en energie aan cyber awareness voor onze medewerkers, maar dat waren nooit structurele campagnes of trainingen. Onze inspannigen hadden eigenlijk ook nauwelijks effect: we merkten dat medewerkers nog steeds geneigd waren op gevaarlijke links in e-mails te klikken of data in te voeren.

“We hebben gelukkig nooit te maken gekregen met een cyberincident,” zegt Van de Sande, “maar we pakken mogelijke risico’s liever aan dan te wachten tot er eens één echt toeslaat. Met de coronacrisis zagen we het volume aan phishingmails toenemen. Het was hoog tijd om iets te ondernemen.”

Phishing bleek een moeilijk in te schatten probleem bij Fost Plus. De netwerkadministrators waren zich bewust van een stijgend aantal aanvallen, maar de resultaten van een phishingtest die ehished had opgezet, waren onverwacht: 49% van alle medewerkers die de mail openden, lieten zich vangen aan de test. Een verrassing voor Fost Plus, maar in realiteit een veelvoorkomend resultaat voor gerichte nulmetingsimulaties door Phished.

Een wake-up-call? “We waren inderdaad geschrokken van het resultaat, hoewel dit in lijn ligt met andere campagnes bij Phished” zegt Van de Sande “De campagnes zijn zo vernuftig opgezet, zodat er net een maximum aan personen op zou klikken. Dat bracht het besef dat dergelijke opleiding zijn nut zou hebben binnen onze organisatie.”

Bij de laatste brede phishingtest bleek de click rate al gezakt naar 11%, een aanvaardbare daling volgens Van de Sande: “Dat we na 6 maanden toch zo’n grote daling zien, stemt ons dus wel tevreden – de opleiding heeft duidelijk impact. Onze medewerkers zijn zich nu beter bewust van mogelijke cyberrisico’s.”

Dat nog steeds 11% van de medewerkers zich na 6 maanden bezondigt aan kliks op phishinglinks, heeft bovendien een reden: Fost Plus kiest resoluut voor een directe aanpak, waarbij medewerkers de moeilijkste simulaties krijgen voorgeschoteld, want hackers hebben ook geen medelijden. We gebruiken bijvoorbeeld simulaties over ‘updates omtrent de coronamaatregelen’,” legt Van de Sande uit.

“Bovendien waren onze medewerkers niet gewaarschuwd toen we onze eerste simulatie uitstuurden. We wilden volop inspelen op het verrassingseffect,” zegt Van de Sande. “We kregen daar dan ook veel reacties op. Enkele dagen later stuurden we dan een e-mail uit met de verklaring rond onze samenwerking met Phished, maar verder proberen we hier niet te veel aandacht aan te schenken. We willen dat een volgende simulatie eveneens een beetje een verrassing is, zodat we de respons zo goed en waarheidsgetrouw mogelijk kunnen peilen.”

Hoewel Fost Plus nog nooit slachtoffer was geworden van een datalek, bleek het cyberbewustzijn van vele medewerkers nog onvoldoende ontwikkeld. Met behulp van regelmatige, geautomatiseerde simulaties werd de gevoeligheid voor phishing drastisch ingeperkt. Iedereen binnen de organisatie was vrijwel meteen overtuigd van het nut van het opleidingsplatform.

Cyberbewustzijn leeft vandaag veel meer binnen Fost Plus, wat resulteert in betere reflexen wanneer een gebruiker oog in oog komt te staan met phishing en andere bedreigingen, en een beter gebruik van de interne spamknop – wat op alle vlakken neerkomt op een gestroomlijndere werking voor de IT Servicedesk.