Een kwetsbare groep voor cybercrime is het mkb. Zo heeft in het afgelopen jaar ruim een kwart van de mkb-medewerkers een phishingmail ontvangen op het werk. Veel van de mkb-bedrijven zijn een onderdeel van een grotere toeleveringsketen. Dit betekent dat één kwetsbaar bedrijf gevolgen kan hebben voor een volledige keten van bedrijven.
Nu je toch hier bent, geef je dan gelijk op voor Hét gratis cybereventHét gratis event ‘OUT OF BUSINESS’ zet in op braintainment en verhaalt indrukwekkend, pragmatisch en toekomstgericht over cybercrime en zakendoen in deze tijd. Het programma? Een unieke mix van theater, talkshow, les en verbinding, bedoeld voor ondernemers, IT'ers en specialisten die succesvol willen blijven.
- 22 sept. 2022 - 18.00 tot 22.30
De MKB Phishingtest
Op verzoek van het Digital Trust Center (DTC) en het RPC Noord-Holland (RPCNH) is de MKB Phishingtest ontwikkeld, met als doel om inzicht te krijgen in de kwetsbaarheid van het mkb op het gebied van phishing en om te kijken hoe de cyberweerbaarheid van deze mkb bedrijven vergroot kan worden. In een grootschalig veldexperiment is onderzoek gedaan naar of het uitvoeren van een phishingtest een effectieve en succesvolle methode is om de cyberweerbaarheid binnen deze mkb-bedrijven te vergroten en hoe lang dit eventuele effect standhoudt.667 bedrijven hebben deelgenomen aan het experiment, met een totaal van 33.016 medewerkers. In de periode mei tot en met oktober 2021 ontvingen deze medewerkers ieder twee verschillende (imitatie) phishingmails. Zo’n (imitatie) phishingmail bevatte kenmerken van ‘echte’ phishingmails en de medewerkers werden via die mail gestimuleerd om op de link die in de mail stond te klikken.
Wanneer medewerkers op die link in de (imitatie) phishingmail klikten, werden ze naar een pagina gestuurd waar informatie stond hoe ze de phishingmail hadden kunnen herkennen. Uiteraard had het klikken op de link in dit geval geen negatieve gevolgen. De deelnemende bedrijven en medewerkers hebben ook vragenlijsten ontvangen, waarbij kenmerken van de deelnemers werden uitgevraagd om te kunnen onderzoeken of deze kenmerken zouden samenhangen met het klikgedrag op de phishingmail.
De conclusies van het onderzoek
Het Behavioural Insights Team van het Ministerie van Economische Zaken en Klimaat heeft het onderzoeksrapport opgesteld. Dit rapport bevat de volgende conclusies:
- Het mkb kwetsbaar is voor phishing. Ruim 1 op de 5 medewerkers (22%) klikt op een link in een generieke phishingmail. Daarnaast klikten medewerkers die aangaven de afgelopen 12 maanden geen phishingmails te hebben ontvangen gemiddeld vaker op de link dan degenen die wel één of meerdere phishingmails hadden ontvangen.
- Er zijn aanwijzingen voor een effect van een phishingtest op korte termijn, maar niet op (middel)lange termijn. Uit een regressieanalyse bleek dat medewerkers die ongeveer een maand eerder een phishingmail hadden ontvangen, significant minder vaak op een tweede phishingmail klikten dan degenen die daarvoor geen phishingmail hadden ontvangen. Er was geen significant effect van een phishingtest op de middellange termijn (ca. 2,5 maand) en de lange termijn (ca. 3,5 maand).
- Risicozoekende medewerkers hebben de meeste baat bij een phishingtest. Risicovoorkeur bleek ook een positieve samenhang te hebben met één van de significante voorspellers voor het klikken op een phishingmail. Medewerkers die aangeven meer risicozoekend te zijn, lijken dus meer baat te hebben bij de ervaring van een phishingtest op korte termijn dan medewerkers die meer risicomijdend zijn.
Door de bedrijfsresultaten terug te koppelen aan het bedrijf middels de bedrijfsrapportage heeft de MKB Phishingtest een bijdrage kunnen leveren aan het urgentiebesef. In de rapportage stonden tevens tips om het bedrijf en de medewerkers weerbaarder te maken tegen phishingaanvallen. Dankzij hun deelname hebben de medewerkers bovendien kennis en ervaring opgedaan en hebben zij feedback gekregen over het herkennen van phishingmails.
Het DTC en het RPCNH gaat met de resultaten een bewustwordingscampagne rondom phishing starten. Deze campagne zal ondernemers gaan stimuleren om te onderzoeken of zij phishing kunnen herkennen, voorkomen en bestrijden. De ondernemers zullen tools en informatie krijgen om bijvoorbeeld veilige e-mailinstellingen te kiezen en andere benodigde stappen te kunnen zetten. Rapportage MKB Phishingtest
