Cyber awareness als rollenspel

Hoe collega’s andere collega’s in de val laten lopen...

Hoe alert je ook bent, uit een rollenspel om te kijken hoe het staat met onze cyber awareness, blijkt dat collega’s er sneller intrappen dan je zou denken. ‘Ik beantwoord bijna dagelijks de vragen over social engineering met Gamification, en toch ging ik voor gaas.’

Door Sandra Meijer

De awareness campagne social engineering loopt al een tijdje. Hierin worden medewerkers bewust gemaakt van de technieken die buitenstaanders gebruiken om informatie over a.s.r. te krijgen met als doel een cyberaanval. Om het effect van de campagne te onderzoeken en te kijken wat a.s.r. nog meer kan doen om onze cyber-weerbaarheid te vergroten, zijn collega’s als ‘acteurs’ ingezet! Zij moesten andere collega’s zo ver krijgen dat zij (vertrouwelijke) informatie met hen zouden delen.

De collega’s deden zich voor als iemand anders, bijvoorbeeld als een student die een onderzoek doet. In het gesprek probeerde de collega/ acteur zoveel mogelijk informatie te krijgen. En als zij hun e-mailadres hadden gegeven, kregen zij een mail met het verzoek op een (onveilige) link te klikken.

Ruud Tempelman was een van de collega-acteurs: ‘Ik heb een aantal collega’s op een vrijdag tegen de middag benaderd als stagiair van de afdeling HR. Ik vertelde dat ik bezig was met een breed onderzoek bij a.s.r. over hoe de collega’s denken over “het werken na de coronacrisis”. Zodra ik mij op die manier had aangekondigd, vertelden de meeste collega’s al heel veel en had ik heel makkelijk een gesprek waarin men steeds opener werd. Daarna nodigde ik ze uit voor een vrij uitgebreide enquête vanuit Mijn HR waarvoor ze toch echt even de tijd moesten nemen. Hiervoor zou het laatste halfuur van de werkdag wellicht een mooi moment was, stelde ik voor. Zo maakte ik ze minder alert op de externe link die in het mailtje zat.’

Paul Rijns is een van de collega’s die is gebeld en het verhaal van Ruud geloofde: ‘Ik liep net een rondje met de honden toen ik werd gebeld. Het was een opgewekte en vrolijke man. Volgens mij heette hij Derek. Hij werkte als stagiair bij a.s.r. en deed een onderzoek over het thuis werken, inrichting van kantoor- en thuiswerkplek en tal van andere werkgerelateerde zaken.

Een aantal collega’s was geselecteerd om hierover mee te denken. Er was een uitgebreide enquête opgesteld. Natuurlijk wilde ik meedoen. a.s.r. is mijn cluppie en ik lever graag een bijdrage als daarom wordt gevraagd. Derek was hoorbaar blij met mijn deelname en zou mij later die dag een mailtje sturen. Toen ik weer achter mijn laptop zat, kwam inderdaad het beloofde mailtje binnen. Enthousiast en voortvarend klikte ik op de link naar het onderzoek. Dat had ik dus beter niet kunnen doen... Gelukkig bleek deze actie uitgevoerd door onze eigen collega’s. Ik beantwoord bijna dagelijks de vragen over social engineering met Gamification, en toch trapte ik erin. Achteraf had ik natuurlijk zijn naam moeten noteren en deze moeten checken. En natuurlijk had ik hem eerst kunnen terugbellen. Natuurlijk. En als je dit leest denk je waarschijnlijk dat dit jou nooit zal gebeuren. Toch ging in dit onderzoek maar liefst 55 procent van de collega’s voor gaas! Een gewaarschuwd mens telt voor twee...’

Het eerste rollenspel was begin september. Het resultaat:

  • Met 11 collega’s is een gesprek gevoerd
  • Daarvan hebben 10 collega’s hun mailadres doorgegeven
  • 9 de gestuurde mail met link geopend
  • 6 (!) daarvan hebben op de link geklikt.

Geef social engineering bij a.s.r. geen kans door de volgende tips te volgen:

  1. Controleer welke informatie je deelt. Is er ook informatie die geanonimiseerd of weggelaten kan worden?
  2. Zorg dat je altijd weet wie om de informatie vraagt. Vraag je af waarom je de informatie deelt. Hoe is het verzoek om informatie te delen binnengekomen? Is het logisch dat jij deze informatie deelt?
  3. Hoe deel je de informatie? Doe je dit digitaal, volg dan richtlijnen Veilig Delen. Printen mag, maar berg de informatie goed op en gooi het later veilig weg in de papiercontainers bij de printers.
  4. Wees je bewust van de omgeving waar je informatie deelt of verwerkt. Werk je in het openbaar? Wie kan er meekijken of meeluisteren?

Slachtoffer geworden of vermoeden van social engineering? Meld dit bij je business risk manager of bij Loket ASR IT&C Servicedesk