Sinds iets meer dan een jaar voeren we bij Belnet, onder leiding van het Awareness team, verschillende security awareness campagnes. Afgelopen jaar hebben we inhoudelijk vooral de focus gelegd op phishingtesten en uitgebreide communicatie omtrent verschillende gevaren. Daarnaast stond 2022 ook in het teken van inzicht: via objectieve metingen en enquêtes te weten komen hoe goed het gesteld is met de algemene securitykennis van onze collega's.
Onze parallelle aanpak om security awareness te verhogen
Door het gebruik van verschillende soorten campagnes via ons platform konden we verschillende topics aanbrengen bij onze medewerkers. Hierdoor trainden we hen niet enkel om phishing te herkennen, wat tot op de dag van vandaag nog steeds het grootste gevaar blijft, maar konden we hen ook bewust maken van andere mogelijke gevaren die aanwezig kunnen zijn.
Phishingcampagnes
Onze grootste focus in 2022 lag op phishingcampagnes waarbij het Awareness team op basis van gedetecteerde kwetsbaarheden of actuele topics phishingmails opstelde om uit te sturen naar onze medewerkers.
We begonnen met een baseline campagne die we uitstuurden naar alle collega’s. Deze was met opzet heel geloofwaardig gemaakt om een duidelijk zicht te hebben op wie moeite heeft om phishingmails te herkennen. 48% van onze collega’s liet zich vangen door deze HR-gesimuleerde e-mail die hengelde naar persoonsgegevens.
Na die baselinetest besloten we onze verschillende teams apart te testen met een meer “op maat” van de businesscontext gemaakte phishingmail. Hierbij lagen de click rates al veel lager, variërend tussen de 0 en de 15 procent. Ontvangers die op de link klikten, kregen nadien een training voorgeschoteld die op een interactieve manier nog eens duidelijk uitlegt hoe je een frauduleuze mail kan herkennen.
Naarmate we meer en meer phishingmails uitstuurden, zagen we duidelijke vooruitgang bij onze gebruikers. Waar er op onze baseline test een click rate van 48% was, kunnen we nu zeggen dat er op onze laatste algemene campagne niemand heeft geklikt. Een duidelijke verbetering!
Communicatiecampagnes
Naast phishingcampagnes stuurden we dit jaar ook specifieke bewustmakingscommunicaties uit naar onze medewerkers omtrent verschillende securitygerelateerde topics.
Zo communiceerden we over de enerzijds grote en ook bekende gevaren zoals ransomware, over het gebruik van veilige wachtwoorden, maar ook over specifiekere onderwerpen zoals “Have I been Pwnd”, de risico’s bij het gebruik van USB-sticks en de situatie in Oekraïne die voor ons als NREN ook een mogelijke dreiging vormt.
Meten is weten: training en assessments binnen het programma
Ook assessments en trainings konden niet ontbreken in ons Awarenessprogramma. Hierbij maakten we gebruik van verschillende tests om de initiële kennis van onze medewerkers te testen.
Eerste voerden we een Security Awareness Proficiency Assessment uit. 78% van onze gebruikers hebben deze ingevuld met een gemiddelde score van 70% waardoor we wel een goed zicht hebben op de kennis van onze medewerkers.
Op het onderdeel “Passwords and Authentication” werd in het algemeen minder goed gescoord. Daarom opteerden we ervoor om al onze medewerkers te onderwerpen aan een trainingsprogramma over veilige wachtwoorden via onze trainingtool. Met groot succes, want op de eindquiz van deze training werd gemiddeld 85% gescoord.
Lessons learned en toekomstvisie
Na een jaar interne awareness hebben we gemerkt dat onze medewerkers securityrisico’s zoals phishing veel beter kunnen herkennen én er gepast op reageren. In het algemeen zijn onze collega’s ook duidelijk meer security-minded geworden.
Anderzijds stelden we vast dat er nog extra inspanningen nodig zijn om iedereen actief te betrekken bij het awarenessprogramma. Daarom willen we onder meer werk maken van een Awareness Policy, waarin het doel van het programma, de scope en de verwachtingen naar onze medewerkers toe ook formeel worden vastgelegd.
In de volgende fase van het awareness programma willen we graag inzetten op de iets meer onconventionele manieren van security breaches, bijvoorbeeld via QR-codes of een fysieke indringer. Ook willen we het programma nog interactiever maken door bijvoorbeeld lunch & learnsessies te lanceren in de toekomst.