Het midden- en kleinbedrijf is extra kwetsbaar voor cyberaanvallen. Een grootschalig veldexperiment onder medewerkers binnen het mkb laat zien dat een phishingtest effectief is om het mkb cyberweerbaarder te maken op de korte termijn, maar niet op de (middel)lange termijn.
Phishing is één van de meest voorkomende vormen van cybercriminaliteit en is vaak het begin van andere cyberaanvallen, zoals malware en ransomware. Het mkb vormt een kwetsbare groep; veel mkb-bedrijven hebben niet de juiste kennis en middelen om zich hiertegen te beschermen. Bovendien kan die kwetsbaarheid in het mkb al snel gevolgen hebben voor een hele keten van bedrijven. Is een phishingtest een effectieve methode om de cyberweerbaarheid onder mkb-medewerkers te vergroten? En hangt dit effect af van het tijdsinterval tussen phishingtests? Dat is onderzocht in de MKB Phishingtest, een samenwerking tussen het Regionaal Platform Criminaliteitsbeheersing Noord-Holland en het ministerie van EZK.
In een imitatie-phishingmail werden medewerkers van mkb-bedrijven verleid om op een onbetrouwbare link te klikken. Zodra ze dat deden, belandden ze op een feedbackpagina met informatie over waar ze de phishingmail aan hadden kunnen herkennen, zie afbeelding. Hierdoor klikken ze in het vervolg mogelijk minder snel nog eens op zo’n link. Het aantal clicks was ook een manier om de effectiviteit van de interventie te meten. Achteraf ontvingen de mkb-bedrijven een rapportage met de anonieme resultaten van hun bedrijf en een uitgebreide toelichting op hoe zij (nog) cyberweerbaarder konden worden.
In een Randomized Controlled Trial werden 667 bedrijven willekeurig verdeeld in 4 groepen op basis van gelijke kenmerken (aantal medewerkers, sector, wel/geen uitbesteding IT). De 33.016 medewerkers van deze bedrijven ontvingen elk 2 verschillende phishingmails. De tijdsintervallen daartussen verschilden per groep: ongeveer 1 maand, 2,5 maand of 3,5 maand. Het effect is gemeten door de klikpercentages te vergelijken tussen een groep die al eerder een phishingmail ontving en een groep die nog niet eerder zo’n mail ontving. Door te variëren met de tijd tussen de mails is onderzocht in hoeverre het uitmaakt voor het klikgedrag of de eerdere phishingmail korter of langer geleden is ontvangen. Daarnaast is er via verschillende vragenlijsten inzicht verkregen in kenmerken van zowel de bedrijven als de medewerkers.
In een vragenlijst (303 respondenten) aan het eind van het onderzoek gaf 72% van de bedrijven aan dat zij van plan waren maatregelen te nemen om hun cyberweerbaarheid te vergroten. Een jaar later (47 respondenten) is gevraagd naar de opvolging hiervan: 51% gaf aan daadwerkelijk maatregelen te hebben genomen en 23% zei dit van plan te zijn.
Dit onderzoek heeft op 3 manieren maatschappelijke impact gehad:
Deze website maakt gebruik van cookies. Lees meer over cookies in onze cookieverklaring.
Deze cookies verzamelen nooit persoonsgegevens en zijn noodzakelijk voor het functioneren van de website.
Deze cookies verzamelen gegevens zodat we inzicht krijgen in het gebruik en deze website verder kunnen verbeteren.
Deze cookies zijn van aanbieders van externe content op deze website. Denk aan film, marketing- en/of tracking cookies.