Efficiënt trainen op Enterprise-niveau: VRT

Ondanks de vele mensen die dagelijks zowel de VRT-gebouwen betreden als hun toestellen verbinden met het VRT-netwerk, was de omroep nog nooit het slachtoffer geworden van een grootschalige hack of datalek. “We kregen natuurlijk wel te maken met kleine phishingpogingen en dergelijke, met kleinschalige incidenten tot gevolg,” zegt Wim Wauterickx, CISO bij VRT. “Uiteraard kunnen we hier niet in berusten, en willen we onze inspanningen verder opdrijven."

Voor een organisatie met zoveel e-mailadressen, waarvan er regelmatig worden afgesloten maar ook regelmatig nieuwe e-mailadressen bijkomen, is het belangrijk dat de mensen achter deze mailboxen goed zijn opgeleid in digitale veiligheid. “Het Phished-platform ondersteunt ons daarin sterk,” weet Wauterickx. “Nieuwe medewerkers of mailboxen worden automatisch aan het platform toegevoegd, waardoor we daar geen tijd en energie aan verliezen, en de kans op fouten nihil is.”

Voordien voerde Wauterickx jaarlijks een phishing-preventiecampagne. “Uiteraard waren dat geen dynamische proeven. Zulke eenmalige tests slorpen heel wat tijd en energie op en al na enkele dagen ben je een groot deel van het effect kwijt. Bovendien was het telkens een momentopname: een week later startte dan een nieuwe collega en die heeft de campagne dan gemist. Met Phished kunnen we continu, en voor iedereen op maat, training voorzien.”

De variërende moeilijkheidsgraad kan eveneens rekenen op de goedkeuring van Wauterickx: “Wanneer we zelf tests opzetten, is het niet eenvoudig om er een moeilijkheidsgraad op te zetten. Iedereen krijgt hetzelfde bericht en personalisering is haast onmogelijk. Met Phished gebeurt dat wel en hoeven we dat zelf niet te configureren; het platform doet zijn werk en het past zich aan indien nodig.”

De mediasector is een kleine vijver, waardoor het op het eerste gezicht niet zo zinvol lijkt voor een hacker om zich te richten op deze industrie. Wauterickx denkt daar echter anders over: “Ondanks het feit dat we veel van onze informatie of content uitzenden, en dus openbaar maken, kunnen we wel een interessant doelwit zijn voor hackers die hun phishingcampagnes willen ondersteunen met een geloofwaardige bron.”

Daarmee doelt Wauterickx op fake news dat de laatste jaren een stevige opmars maakte. “Criminelen die toegang zouden hebben tot onze platformen, hebben toegang tot nationale informatieverspreiding. Grote ingrepen zouden we natuurlijk kunnen opmerken en tegenhouden, maar stel je eens voor dat ze bijvoorbeeld subtiele wijzigingen aanbrengen in artikels. Enkele cijfers aanpassen om hun valse verhalen te staven. Als zoiets zich zou voordoen zou dit zeker grote impact hebben op onze reputatie. Data-integriteit is van groot belang.”

“De technologische evolutie naar de cloud, doet zich ook voor in de mediasector.” zegt Wauterickx. “Het gesloten ecosysteem waarbij deze technologie enkel analoog is en in eigen datacenters staat, is achter de rug. Deze evolutie vraagt meer aandacht om het geheel nog steeds veilig te houden, in functie van de aanwezige risico’s natuurlijk. Phishingpreventie speelt daarom een zeer grote rol voor ons.”

De VRT heeft als openbare omroep een belangrijke rol in onze maatschappij. Ze is een grote werkgever voor honderden mensen en tegelijk is ze verantwoordelijk voor een belangrijk deel van de informatievergaring in Vlaanderen. Om die informatiestromen te waarborgen en zo betrouwbaar mogelijk te houden, is een uitgebreid cybersecuritybeleid nodig – één waarin phishingpreventie een belangrijke rol speelt.

Door de geautomatiseerde werking van zowel de phishingsimulaties als het ontvangersbestand, kan Phished bijdragen tot een relevante opleiding voor iedere medewerker, op zijn eigen maat en tempo. Door elk van de werknemers afzonderlijk te gaan trainen, kan de VRT voorkomen dat een hack impact heeft op een hele maatschappij.