April Awareness: 80 procent van de organisaties niet bestand tegen phishingaanvallen

80% van de organisaties bleek tijdens April Awareness 2014 niet bestand tegen een phishingaanval. Bij deze organisaties kon onopgemerkt door de spamfilter heen worden komen. 23% van de medewerkers die de phishing e-mail in hun e-mailbox ontvingen, klikten op de link in de phishing e-mail.

20% van de deelnemende organisaties had zijn beveiliging wel goed op orde: de phishing e-mails kwamen in eerste instantie niet door het spamfilter heen. Nadat de afdelingen ICT ervoor zorgden dat onze Phishing e-mails wel in de e-mailboxen terechtkwamen, klikten maar 10% van de medewerkers op de phishinglink.

Landingspagina

De medewerkers die op de phishinglink hadden geklikt kwamen terecht op een landingspagina. Op deze pagina werd duidelijk gemaakt dat ze slachtoffer waren van phishing en kregen zij tips om zich beter te kunnen wapenen tegen phishing. Ook hadden ze de mogelijkheid om de phishing e-mail door te sturen naar bekenden, met als doel ook het bewustzijn van deze ontvangers te verhogen.

Deze laatste mogelijkheid was echter een tweede phishingpoging: zouden de, nu bewuste, medewerkers nogmaals slachtoffer worden van phishing? Slechts 0,5% van de getroffen medewerkers heeft de phishing e-mail doorgestuurd. Dat is een uitstekend resultaat: 99,5% was zich goed bewust van de risico's van phishing en klikte dus niet op de doorstuurbutton.

De techniek is de zwakste schakel?

De conclusie van April Awareness 2014 is dat de techniek de zwakste schakel lijkt. Slechts 20% van de organisaties bleek zijn spamfilters zo te hebben ingesteld dat de phishing e-mails werden tegengehouden. Medewerkers gaan er echter vaak vanuit dat de e-mails in hun mailbox veilig zijn. Zij vertrouwen erop dat de afdeling ICT phishing e-mails tegenhoudt.

Het goede nieuws is dat minder sterke organisaties die hun spamfilters niet goed genoeg hadden ingesteld, geholpen worden door de sterkere organisaties. LBVD verzamelt de instellingen van de spamfilters, geeft zelf aanbevelingen en deelt dit in een later stadium met de minder sterke organisaties. Sommige organisaties hebben direct actie ondernomen en ervoor gezorgd dat ook hun spamfilters voortaan phishing e-mails tegenhouden.

Wat is April Awareness?

April Awareness is onderdeel van het jaarlijks terugkerend onderzoek van LBVD naar de digitale wereld, met als doel het leefbaar maken van de digitale wereld. De digitale wereld brengt gemak en comfort, maar ook risico's met zich mee. Organisaties die deelnemen aan April Awareness kunnen het bewustzijnsniveau van hun directie en medewerkers verhogen en in dit geval ook de techniek verbeteren. Hierdoor maken de organisaties samen met LBVD, de digitale wereld leefbaar.

In maart en april 2014 kregen alle medewerkers van de deelnemende organisaties een phishing e-mail toegestuurd. De organisaties kozen vooraf uit drie scenario's, waarmee ze hun medewerkers “aan de haak wilden slaan”. Medewerkers hadden de keus de mail wel of niet te openen en te klikken op de phishinglink. Medewerkers die wel hadden geklikt kwamen op een landingspagina terecht. Op deze pagina ontdekten ze dat ze slachtoffer waren van phishing. Daarnaast kregen ze meer informatie over phishing en tips en adviezen tegen phishing. Zorginstellingen, vervoersbedrijven, lokale overheden, provinciale overheden, zakelijke dienstverleners, ICT-dienstverleners, banken en verzekeraars deden mee aan de wedstrijd. De deelnemers blijven anoniem.