Zelfs hoogopgeleiden worden gephisht: Ipcos

Als het om phishing gaat, kan het snel gaan - ten goede of ten kwade. Ipcos, een leverancier van ingenieursdiensten, ondervond dit in augustus 2020 aan den lijve.

Nadat een medewerker het slachtoffer was geworden van een phishingaanval, ontvingen alle collega's al snel verdachte e-mails die leken te komen van de gehackte persoon. De inbreuk werd echter snel opgemerkt, de hacker werd onderschept en geneutraliseerd voordat er gegevens konden uitlekken, en het bedrijf bleef achter met de conclusie dat de schade zeer beperkt was - hoewel het veel erger had kunnen zijn.

"Op dat moment gingen gelukkig de alarmbellen af bij het management", zegt Bjorn Vandecraen, APC Technology Developer bij Ipcos. "Het besef dat ons personeel meer informatie en begeleiding kon gebruiken, groeide snel. Niet lang daarna werden we benaderd door Phished en al snel begonnen we met regelmatige simulaties om ons personeel te trainen in cybersecurity."

Zo snel als het mis ging, ging het ook de andere kant op: Ipcos boekte in slechts vier maanden tijd een opmerkelijke winst in cyberbewustzijn. Na de eerste nulmeting, waarbij 45% van alle medewerkers werd betrapt op het maken van een fout, was dat aantal in februari 2021 al gedaald tot 13%. "En deze keer was de moeilijkheidsgraad nog hoger", zegt Vandecraen. "Informatie die alleen een insider kon hebben, werd 'misbruikt', wat natuurlijk een gevoel van betrouwbaarheid creëerde. Toch zagen we dat veel mensen de juiste reflex hadden om er niet naar te handelen."

Tijdens de nulmeting werd echter besloten om alle medewerkers een paar dagen van tevoren te waarschuwen dat er een phishingtest aan zat te komen. Het bewijs dat iedereen, ongeacht functie of kwalificaties, vatbaar is voor phishing? "Ik denk dat het veel te maken heeft met bewustwording", zegt Peter Van Overschee, CEO van Ipcos. "Het onderwerp was bij iedereen bekend, maar het was nooit echt een issue. Vandaag merken we dat er veel meer over gesproken wordt en dat mensen voorzichtiger zijn met elke e-mail: elk bericht wordt nu zorgvuldig gescreend."

"Na het initiële schokeffect is iedereen zich nu meer bewust van de gevolgen van phishing", zegt Van Overschee, "al zorgen we er wel voor dat iedereen het nodige zelfvertrouwen behoudt om met legitieme berichten om te gaan. Het laatste wat we willen is dat onze mensen stoppen met het openen van e-mails omdat ze te wantrouwig zijn. Daarom werken we met een positieve benadering, waarbij iemand die in een simulatie trapt nooit in verlegenheid wordt gebracht."

"Die aanpak helpt om het onderwerp bespreekbaar te maken en het toch motiverend te houden", beaamt Vandecraen. "We informeren onze mensen wel over algemene cijfers per afdeling bijvoorbeeld, maar alle andere cijfers blijven anoniem, ook voor het management. Onze boodschap is dat er ruimte is voor verbetering en dat we geen strafcultuur willen promoten. Daar hebben we heel goede reacties op gekregen."

Naast de rapportage waren vooral de simulaties een eye-opener. Van Overschee: "We hebben ooit te maken gehad met CEO-fraude: iemand die zich voordeed als mij probeerde via social engineering en typosquatting (phishing waarbij een eigennaam lichtjes wordt veranderd, bijvoorbeeld Ipcas in plaats van Ipcos) grote sommen geld te verduisteren. Destijds was iedereen kortstondig geschokt, maar blijkbaar is het menselijk geheugen toch niet in staat om die waakzaamheid te handhaven."

"Door regelmatig in aanraking te komen met mogelijke phishingberichten, merken we dat iedereen nu altijd alert is en de gevaren kan spotten", zegt Van Overschee. "We hadden al tweestapsverificatie en bespraken phishing regelmatig tijdens vergaderingen, maar het is duidelijk het veelvuldige contact met simulaties dat het grootste verschil maakt."

Na verschillende incidenten met echte phishingaanvallen werd besloten om een structureel trainings- en coachingprogramma op te zetten voor de 70 medewerkers van Ipcos. Na slechts vier maanden op het Phished-platform was het cyberbewustzijn al aanzienlijk toegenomen en is het aantal succesvolle phishingpogingen afgenomen.

Ipcos koos voor een positieve en constructieve benadering van de medewerkers, waarbij begeleiding centraal staat. Medewerkers krijgen geen persoonlijke opvolging, maar wel een overzicht van de algemene score van het bedrijf. Dit zorgt voor een cultuur waarin cybersecurity als onderwerp 'leeft' en iedereen zich inzet om het beter te doen.