‘Phishingtest is een kansloze missie’

Ethisch hacker Wietse Boonstra heeft laatst nog op een phishing link geklikt. Dat zat zo: hij wilde een screenshot maken van de phishingmail, zodat hij een melding kon doen, maar daarbij klikte hij ongewild op de link in de mail. Zo makkelijk kan het gaan, wil hij maar zeggen. "Hartstikke leuk dat je test of mensen op een link klikken, maar het gaat toch een keer gebeuren."

'Hoe hard kan je zijn?'

Ook bij de gemeente Den Haag zijn ze geen fan van phishingtests. Ze zijn er zelfs verboden. "Ze zijn niet effectief en dat is wetenschappelijk aangetoond", zegt CISO Jeroen Visser tegen de Vlaamse website Data News. "Wil je phishingtesten doen dan is dat gemakkelijk op te zetten. Maar veel mensen vertrouwen zo hun securityorganisatie niet meer. Je stuurt mensen iets aantrekkelijks en vervolgens vertel je hen hoe dom ze wel niet zijn. Hoe hard kan je dan zijn als organisatie?" De opmerkingen van Schipper riepen op LinkedIn veel reacties op, wat hem verleidde tot een grapje: "ik pak de popcorn er even bij."

Een duidelijk geval is de anti-phishingles die werknemers van ABN AMRO eind 2017 kregen, maar daarna ook het bestuur en de uitvoerders van deze actie. Werknemers hebben namelijk boos gereageerd op de mail waarin hun werd verteld dat ze voor hun inzet een Echo Dot zouden ontvangen, na invullen vanhun gegevens. Die insteek lag gevoelig omdat het kerstpakket een jaar eerder was geschrapt en in de nep-phishingmail werd beloofd dat het management nu een mooi gebaar wilde maken.

Topsport

Het idee dat een nep phishingmail op zijn tijd goed is voor de bewustwording van werknemers is hardnekkig. Binnenlands Bestuur deed in 2020 een klein onderzoek onder gemeenten. Bijna alle benaderde gemeenten antwoorden bevestigend op de vraag of ze phishingtests toepassen met als doel om de bewustwording onder medewerkers te vergroten.

Zij zagen geen nadelen, behalve een ambtenaar van de gemeente Schiedam, die opmerkte: "Het is normaal gesproken al ‘topsport’ om (digitale) risico’s te herkennen en voorkomen [en ten tijde van de coronacrisis al helemaal]." Ook Remco Groet van de informatiebeveiligingsdienst (IBD) toonde zich geen voorstander van de methode. "Als je maar genoeg van iemand weet, kun je iedereen op een malafide link laten klikken."

'Zwakste schakel'

Dat is ook de stellige overtuiging van cyberveiligheidsdeskundige Fleur van Leusden. Op de ONE conference, de jaarlijkse cybersecurityconferentie, riep zij enkele jaren geleden al op om met phishingtests te stoppen. "Het heeft geen enkele zin", zegt ze. "Als jouw hele beveiliging afhangt van Truus van de receptie die niet op dat ene linkje klikt en er werken meer dan 10.000 mensen bij je organisatie, zoals bij de politie, nou, succes dan." Ter illustratie deelde ze op de conferentie twee mails waarvan er eentje nep was. De helft van de zaal vol experts wees de verkeerde aan.

Medewerkers zijn juist de allerlaatste linie

Het cliché luidt dat medewerkers de zwakste schakel in de beveiliging zijn, of de eerste verdedigingslinie. Vandaar dat bedrijven investeren in phishingtests, naast een heleboel andere veiligheidsmaatregelen. "Medewerkers zijn juist de allerlaatste linie,’ stelt de CISO. ‘Als al het andere gefaald heeft, dan is er nog Truus van de receptie die kan denken ‘Hé, dit is wel een gek mailtje’. Dat is hoe het zou moeten werken."

Wat heb je gemeten?

Hoog tijd dus om te stoppen met employee blaming bij een hack. Maar ook als de organisatie alle beveiligingsmaatregelen in orde heeft en de phishingtest alleen dient als bewustwordingsmiddel, is men bezig met een "kansloze missie", aldus Van Leusden. "Het is window dressing."

Het feit dat er vorig jaar bijvoorbeeld twintig procent in de testmail trapte en dit jaar tien procent, zegt hoegenaamd niets, legt ze uit. "Je negeert het feit dat de mail van vorig jaar totaal anders was dan dit jaar en dat een deel van de organisatie inmiddels is vervangen door nieuwe werknemers. Of je hebt de mail dit jaar wat moeilijker te herkennen gemaakt omdat er vorig jaar niet zo veel mensen op het linkje klikten. Wat heb je dan gemeten? Je hebt gemeten hoe goed jij bent in het phishen van je eigen medewerkers." Zelf klikt ze áltijd op een link in een nep phishingmail. "Al is het maar om te laten zien dat zelfs ik erin kan trappen."

Dit artikel is eerder verschenen bij Binnenlands Bestuur, zustertitel van AG Connect.