Het aantal phishing-aanvallen blijft toenemen en ruim acht op de tien datalekken zijn te wijten aan menselijke fouten. Dit maakt phishing-simulatie een van de bouwstenen van cybersecuritytrainingen voor organisaties. Het is daarom ook geen verrassing dat organisaties zo geloofwaardig mogelijke phishing-simulaties willen creëren. Nu de aanvallen van bedreigingsactoren steeds geavanceerder en moeilijker te detecteren worden, moeten we doen wat we kunnen om bij te blijven met alle ontwikkelingen.
Helaas zijn er bedrijven en organisaties die de grens overschrijden en zonder toestemming de handelsmerken van anderen gebruiken. Er lijkt een misvatting te bestaan dat dit oké is, omdat het gebeurt volgens zogenaamd fair use. Maar het is een juridische toepassing die van toepassing is in de VS, maar niet in Europa. Volgens juridische merkendeskundigen is het daarentegen in de regel een schending van het merkenrecht in zowel de EU als ook in Nederland.
Gezien de potentie voor het bouwen van goede phishing-simulaties om het bewustzijn en de waakzaamheid te vergroten en te behouden, vind ik het opmerkelijk dat dit zich lijkt voort te zetten. Het nemen van sluiproutes om geloofwaardige simulaties te creëren door de wet te overtreden is een ernstige dubbele fout!
In gesprekken met nieuwe en potentiële klanten krijgen we bijna altijd te horen dat er andere aanbieders van phishing-simulaties zijn die het gebruik van bekende merken en logo’s aanbieden en aanmoedigen, maar als we erop wijzen dat dit in strijd kan zijn met de huidige wetgeving als er geen toestemming geeft en bovendien de retorische vraag stelt hoe de klant in kwestie zou reageren als zijn logo zou worden gebruikt in phishing-simulaties, is het antwoord meestal zoiets als: "Nee, bedrijfsjuristen zouden dat een no-go vinden!".
Dus wat kan er gedaan worden om geloofwaardige phishing-simulaties te creëren zonder tegelijkertijd de merkenwet te overtreden? Bij Junglemap raden wij onze klanten het volgende aan:
1. Begin met het uitvoeren van phishing-simulaties
Om te beginnen zijn er nog steeds veel organisaties die geen simulaties uitvoeren. Maar om cyberaanvallen te voorkomen is dit soort training in het detecteren van phishing-pogingen absoluut essentieel.
2. Doe dit regelmatig – het hele jaar door
Niemand weet wanneer een phishing-aanval zal plaatsvinden. Phishingtraining moet worden gezien als een continu proces, niet als een gebeurtenis. Wij raden aan om ongeveer één keer per maand, het hele jaar door, phishing-simulaties uit te voeren.
3. Varieer tussen typen en doelgroepen
'Alles naar iedereen' sturen is zelden een goed idee. Ons model biedt de mogelijkheid om phishing-simulaties thematisch en organisatorisch aan te passen en met meer dan 170 sjablonen aangepast aan verschillende functies in de organisatie.
4. Meet en volg de effecten op
Het meten en opvolgen van de resultaten is de sleutel tot het geleidelijk versterken van het bewustzijn en de waakzaamheid rond phishing.
5. Kijk verder dan de klikfrequentie
Het is beter om niet op een verkeerde link te klikken dan erop te klikken. Maar medewerkers die de e-mail rapporteren of melden, zijn nog belangrijker. Het is dit soort veiligheidsgedrag dat een duurzame veiligheidscultuur creëert en versterkt.
6. Vermijd simplistische succesverhalen
Er zijn veel aanbieders die phishing-simulaties verkopen met overtuigende en onfeilbare beloften dat de organisatie een rustige en gestage succesreis zal maken op weg naar nul klikken. Onze ervaring leert dat cyberpsychologie complex is en dat goed doordachte simulatie-opstellingen zeer gevarieerde resultaten kunnen opleveren – wat een goede basis biedt voor continu leren binnen de organisatie.
7. Om jezelf te beschermen tegen phishing is STAR-gedrag vereist
Bouw bij Junglemap menselijke firewalls door een zogenaamd STAR-gedrag te versterken waarbij medewerkers stoppen, nadenken, vragen stellen en zaken melden die verdacht lijken. Hetzelfde geldt als je je probeert te beschermen tegen phishing-aanvallen.
8. Gebruik phishing-simulatie als onderdeel van een strategie
Phishing-simulatie heeft het beste effect als deze wordt uitgevoerd als integraal onderdeel van een algemene training voor een groter cyberveiligheidsbewustzijn. Dan is er ook de mogelijkheid om voorbeelden te geven van hoe bekende merken worden gebruikt bij phishing – geheel zonder de Merkenwet te overtreden.
Het zonder toestemming gebruiken van bekende merken in phishing-simulaties is zowel illegaal als een gemakkelijke oplossing. Het is iets waar Junglemap geen gebruik van maakt, wat wij onze klanten afraden en wat ook niet eens nodig is.
Een geavanceerde phishing-simulatie aangepast op de laatste trends, moet op totaal andere zaken gebaseerd zijn dan het illegale gebruik van bekende logo's.
Nils Ivar Skaalerud, mede-oprichter en COO bij Junglemap
