Als IV-professional is het ook jouw taak om ervoor te zorgen dat jouw eindgebruikers zich bewust zijn van de gevaren van phishing, weten hoe ze potentiële scams kunnen herkennen en wat ze moeten doen als ze onverhoopt toch erin zijn getrapt. Hieronder volgen drie belangrijke manieren waarop jij hen hierbij kunt helpen.
1. Een solide security awareness programma
Er moet tijd en geld vrijgemaakt worden om eindgebruikers te informeren over de gevaren van phishing en om bewustwording te creëren. Dit werkt het beste als het persoonlijk en specifiek wordt gemaakt. Een presentatie van een uur lang kan misschien heel informatief zijn, maar zal niet echt de juiste snaar raken. Wanneer een awareness programma dichtbij komt, heeft dit veel meer impact. Je kan er bijvoorbeeld voor kiezen om een test phishing e-mail te sturen (bespreek dit wel eerst even met IV & IT!) zodat er kan worden gepeild hoe veel collega’s erin trappen. Dat resultaat kan vervolgens als uitgangspunt kan worden gebruikt. Verder kunnen hacking demo’s door externe organisaties ook helpen om beter inzichtelijk te maken hoe scammers in jouw systemen kunnen komen. Pas als men inziet wat de directe gevolgen zijn, zullen zij hun gedrag erop aanpassen.
2. Herhalen, herhalen, herhalen…
Veel organisaties zien hun privacy en/of security programma als een eenmalige aangelegenheid waarbij er even bij stil wordt gestaan bij de gevaren. Vaak helpt dit ook op korte termijn goed om scherp te zijn, maar zakt die scherpte snel weer weg tot het punt van roekeloosheid. Daarnaast komen er natuurlijk ook regelmatig nieuwe werknemers in dienst en voor hen is het ook belangrijk om hierin meegenomen te worden. Het is daarom belangrijk om continu te blijven hameren op security awareness. Cybercriminelen stoppen nu eenmaal nooit, dus dat zouden de IV-professionals ook nooit moeten doen.
3. Creëer een ‘meldcultuur’
Voorkomen is natuurlijk beter dan genezen, maar het is wel van belang dat eindgebruikers het melden als ze een onveilige link of een potentieel schadelijke bijlage hebben geopend, maar ook het melden van verdachte e-mails is belangrijk. Het kan namelijk goed zijn dat de één er niet intrapt, maar een andere collega weer wel. Dit alles lijkt misschien vanzelfsprekend, maar uit onderzoek blijkt toch dat vier op de tien ambtenaren geen melding doen van beveiligingsincidenten op het werk (Conradie & Doms, 2022b, p. 25). Eén reden hiervoor is een gevoel van schaamte omdat de medewerker in een phishing e-mail is getrapt. Het is dus van belang om collega’s het gevoel te geven dat zij zich hier niet voor hoeven te schamen of dat ze geen ‘straf’ zullen krijgen.
Toch is de belangrijkste reden voor het niet melden van een beveiligingsincident dat ambtenaren vinden dat het melden en afhandelen van een beveiligingsincident te veel moeite kost (Conradie & Doms, 2022b, p. 27). Zorg er daarom voor dat het voor eindgebruikers zo eenvoudig en laagdrempelig mogelijk wordt om een beveiligingsincident te melden. Maak een makkelijk-te-bereiken pagina en houd de initiële uitvraag beknopt. In de vervolgstappen kunnen de details en acties worden aangekaart.
Het is duidelijk dat phishing een voortdurende bedreiging vormt voor zowel individuen als organisaties. De ontwikkeling van nieuwe technieken en het toenemende niveau van verfijning maken het steeds moeilijker om phishing-pogingen te herkennen. Het is echter van cruciaal belang om waakzaam te blijven en maatregelen te nemen om jezelf en je organisatie te beschermen.
Het identificeren van phishing-e-mails vereist een combinatie van kritisch denken, aandacht voor detail en het volgen van best practices. Door aandacht te besteden aan de afzender, het taalgebruik, hyperlinks en bijlagen, en de context van het bericht, kun je potentiële phishing-pogingen herkennen en vermijden. Het implementeren van sterke beveiligingsmaatregelen en het bevorderen van bewustwording binnen je organisatie zijn essentiële stappen om de risico's te minimaliseren.
Het is belangrijk om te beseffen dat beveiliging een voortdurende inspanning is. Nieuwe vormen van phishing zullen blijven opduiken, en daarom is het noodzakelijk om op de hoogte te blijven van de nieuwste trends en ontwikkelingen op het gebied van digitale veiligheid. Door proactief te zijn, regelmatig trainingen en bewustwordingsprogramma's te organiseren en goede beveiligingsmaatregelen te implementeren, kun je de kwetsbaarheid voor phishing-aanvallen verminderen en een veiligere digitale omgeving creëren.
Heb je de twee voorlopende artikelen uit deze reeks nog niet gelezen? Hieronder kan jij ze vinden!
Gepubliceerd in