Aanleiding: mkb kwetsbaar voor cyberaanvallen

Phishing is één van de meest voorkomende vormen van cybercriminaliteit en is vaak het begin van andere cyberaanvallen, zoals malware en ransomware. Het mkb vormt een kwetsbare groep; veel mkb-bedrijven hebben niet de juiste kennis en middelen om zich hiertegen te beschermen. Bovendien kan die kwetsbaarheid in het mkb al snel gevolgen hebben voor een hele keten van bedrijven. Is een phishingtest een effectieve methode om de cyberweerbaarheid onder mkb-medewerkers te vergroten? En hangt dit effect af van het tijdsinterval tussen phishingtests? Dat is onderzocht in de MKB Phishingtest, een samenwerking tussen het Regionaal Platform Criminaliteitsbeheersing Noord-Holland en het ministerie van EZK.

Interventie: phishingtest

In een imitatie-phishingmail werden medewerkers van mkb-bedrijven verleid om op een onbetrouwbare link te klikken. Zodra ze dat deden, belandden ze op een feedbackpagina met informatie over waar ze de phishingmail aan hadden kunnen herkennen, zie afbeelding. Hierdoor klikken ze in het vervolg mogelijk minder snel nog eens op zo’n link. Het aantal clicks was ook een manier om de effectiviteit van de interventie te meten. Achteraf ontvingen de mkb-bedrijven een rapportage met de anonieme resultaten van hun bedrijf en een uitgebreide toelichting op hoe zij (nog) cyberweerbaarder konden worden.

Methode: RCT en vragenlijsten

In een Randomized Controlled Trial werden 667 bedrijven willekeurig verdeeld in 4 groepen op basis van gelijke kenmerken (aantal medewerkers, sector, wel/geen uitbesteding IT). De 33.016 medewerkers van deze bedrijven ontvingen elk 2 verschillende phishingmails. De tijdsintervallen daartussen verschilden per groep: ongeveer 1 maand, 2,5 maand of 3,5 maand. Het effect is gemeten door de klikpercentages te vergelijken tussen een groep die al eerder een phishingmail ontving en een groep die nog niet eerder zo’n mail ontving. Door te variëren met de tijd tussen de mails is onderzocht in hoeverre het uitmaakt voor het klikgedrag of de eerdere phishingmail korter of langer geleden is ontvangen. Daarnaast is er via verschillende vragenlijsten inzicht verkregen in kenmerken van zowel de bedrijven als de medewerkers.

Resultaat: halvering klikpercentage bij versturen tweede mail op korte termijn

• Ruim 1 op de 5 mkb-medewerkers (22%) klikte gemiddeld op een onbetrouwbare link in de eerste phishingmail.
• Er zijn aanwijzingen voor een effect van een phishingmail op korte termijn, maar niet op de (middel)lange termijn. Medewerkers die ongeveer een maand eerder een phishingmail hadden gekregen, klikten significant minder vaak op een tweede mail dan de medewerkers die nog niet de eerste mail hadden gekregen (9,9% tegenover 19,8%). Als er 2,5 of 3,5 maand tussen de mails zat, was er geen significant effect.
• Risicozoekende mensen hebben het meest baat bij een phishingtest.

In een vragenlijst (303 respondenten) aan het eind van het onderzoek gaf 72% van de bedrijven aan dat zij van plan waren maatregelen te nemen om hun cyberweerbaarheid te vergroten. Een jaar later (47 respondenten) is gevraagd naar de opvolging hiervan: 51% gaf aan daadwerkelijk maatregelen te hebben genomen en 23% zei dit van plan te zijn.

Impact: meer cyberweerbaarheid

Dit onderzoek heeft op 3 manieren maatschappelijke impact gehad:

• Het geeft inzicht in de cyberweerbaarheid van het mkb. De resultaten bevestigen de urgentie om die weerbaarheid te vergroten.
• De resultaten laten zien dat een imitatie-phishingmail op de korte termijn effectief kan zijn om medewerkers minder snel te laten klikken op een volgende phishingmail.
• Dit onderzoek en de ervaring met de imitatie-phishingmail en de feedback hebben op zichzelf geleid tot een hoger bewustzijn over cyberweerbaarheid van het mkb. Dit blijkt ook uit het vervolgonderzoek een jaar later.