Medewerkers die informatie ontvingen over phishing, die een imitatie phishing mail hadden ervaren, of beide interventies ontvingen, klikten minder vaak op een link in een imitatie phishing mail en vulden minder vaak hun wachtwoord in vergeleken met medewerkers in de controlegroep.
Informatiebeveiliging is, naast technische maatregelen, afhankelijk van menselijk gedrag. Phishing mails worden steeds geraffineerder en moeilijk te detecteren. Een aantal gedragsaspecten die een rol spelen bij het klikken op een link zijn:
De interventies zijn getest in een gerandomiseerd gecontroleerd experiment. Randomisatie is gebeurd op afdelingsniveau om spill over effecten te voorkomen. Alle 10929 medewerkers die onderdeel uitmaakten van het experiment ontvingen een imitatie phishing mail waarin het klikgedrag en het invullen van wachtwoord en gebruikersnaam is gemeten. Over een periode van zes weken voorafgaand aan deze imitatie phishingmail ontving de informatie interventie groep (N=2740) informatie mails, de ervaring interventie groep (N=2724) een eerdere imitatie phishing mail en de informatie en ervaring interventiegroep (N= 2742) beide interventies. Het klikgedrag van de interventiegroepen is vergeleken met de controlegroep (N=2723).
In de controlegroep klikte 32% van de medewerkers op de link in de imitatie phishing mail en vulde 22% van de medewerkers hun wachtwoord in. Bij alle interventies waren deze percentages significant lager dan in de controle groep (Klikken: Informatie: 26%, Ervaring: 23%, Informatie en Ervaring: 24%; Wachtwoord invullen: Informatie: 16%, Ervaring: 14%, Informatie en Ervaring: 13%). Het combineren van het geven van informatie en het laten ervaren van een phishing mail was niet effectiever dan alleen het laten ervaren van een phishing mail.
Het onderzoek heeft inzicht gegeven in de cyberweerbaarheid van de organisatie en laten zien dat zowel het geven van informatie over phishing als het laten ervaren van een phishing mail het herkennen van phishing mails kan bevorderen. Het laten ervaren van een phishing mail is enkele jaren na dit experiment herhaald. Het experiment heeft op zichzelf ook als een ‘digitale brandoefening’ gefungeerd voor de organisatie en hierbij inzicht gegeven in hoe mensen reageren, elkaar op de hoogte stellen en de helpdesk benaderen.
Deze website maakt gebruik van cookies. Lees meer over cookies in onze cookieverklaring.
Deze cookies verzamelen nooit persoonsgegevens en zijn noodzakelijk voor het functioneren van de website.
Deze cookies verzamelen gegevens zodat we inzicht krijgen in het gebruik en deze website verder kunnen verbeteren.
Deze cookies zijn van aanbieders van externe content op deze website. Denk aan film, marketing- en/of tracking cookies.