In de dagelijkse praktijk worden veel organisaties op dit moment scherp gehouden door cybercriminelen. En dat is geen goed nieuws! Steeds weer blijkt het namelijk lastig te zijn het gedrag van medewerkers, als het gaat om veilig digitaal werken, duurzaam te veranderen en het cyberbewustzijn te vergroten. En daarom zijn het vaak de eigen medewerkers die de zwakste schakel vormen bij security. Idealis anticipeert op deze onveiligheid en vergroot het bewustzijn in de organisatie door de medewerkers zelf proactief scherp te houden. Het gebruikt daarvoor het platform van KnowBe4, dat geleverd wordt door IT-dienstverlener Claranet.

“Onze doelgroep is jong, inspirerend en houdt ons scherp. Dat maakt het werken bij Idealis zo leuk,” schrijft Bart van As, directeur/bestuurder van woningcorporatie Idealis op de eigen website van de organisatie. Idealis richt zich bij de activiteiten op studenten en PhD’ers die op kamers willen (gaan) wonen in Wageningen of Ede. Idealis biedt werk aan 39 medewerkers en verhuurt 5600 kamers en appartementen. Het heeft kantoren in Wageningen en Ede.

Achtergrond van de case

Twee trends hebben de aandacht voor digitale veiligheid en de beveiliging van de IT-omgeving versterkt en noodzakelijk gemaakt. Ten eerste de AVG-wetgeving, die sancties stelt aan het lekken van persoonlijke data door organisaties. Daarnaast is ook het aantal cyberincidenten sterk toegenomen.

“Woningcorporaties beschikken over een grote hoeveelheid aan privacygevoelige gegevens, legt Carolien Filippo, Business Information Specialist bij Idealis, uit. Dat is interessant voor criminelen. “Daarnaast straalt een incident negatief af op de reputatie van de corporatie en leidt het tot geschonden vertrouwen in de relatie met de huurders.”

Dat een woningcorporatie kwetsbaar is, bleek eerder dit jaar, toen acht organisaties werden getroffen door een cyberaanval. “Wij waren toen al intensief met security en het trainen van onze mensen bezig, daar was gelukkig geen incident voor nodig,” geeft Carolien Filippo aan, “maar de cyberaanval bij collega-organisaties maakte wel weer het belang van security duidelijk. Het kan overal gebeuren, ook bij ons.”

Bij veel organisaties zijn security-trainingen net zo talrijk als ontruimingsoefeningen – en net zo voorspelbaar. De opgedane kennis beklijft vaak niet. Tijdens Corporatieplein, een IT-innovatiebeurs voor woningcorporaties, kwam Carolien Filippo in contact met Claranet, businesspartner van KnowBe4 met de hoogste status (premierpartner). “Mijn interesse werd gewekt en ik vroeg om een demonstratie.” Toen de kracht van de applicatie duidelijk werd, sloot Idealis een contract voor drie jaar af, waarbij alle medewerkers continu getraind worden.

Het platform

Twan Willems, Prospect Specialist bij Claranet, herkent het enthousiasme over het concept van KnowBe4. “Inmiddels werken al 25 corporaties uit onze klantenkring met dit platform. De basis van de training is medewerkers echt bewust te maken van de gevaren van het internet.” De kracht van het platform zit, volgens Twan Willems, in de herhaling en de graad van automatisering die KnowBe4 biedt. “Medewerkers kunnen elk moment een e-mail ontvangen die beslist ongevaarlijk lijkt, maar wel een incident zou kunnen veroorzaken.”

Het programma bestaat uit verschillende elementen. Zo zijn er instructievideo’s die je kunt delen met de medewerkers om een zekere basiskennis op te bouwen. “Die video’s zijn heel realistisch, ze lijken erg op series van Netflix. Ook ik kijk er graag naar,” vertelt Twan Willems. Vervolgens wordt, onder meer door het versturen van nep-phishingmails, gecontroleerd of de gebruikers de boodschap van de instructie begrepen hebben en ernaar handelen. Zo leren mensen in de organisatie ransomware, CEO-fraude en phishingmails sneller te herkennen. “Voor de prijs van een kop koffie per dag per medewerker breng je de hele organisatie naar een hoger niveau van securitybewustzijn.”

Deze gesimuleerde phishingmails kunnen volledig opgemaakt worden in de huisstijl van vaste leveranciers of afnemers van de organisatie. Dus als de bakker om de hoek dagelijks het brood voor de lunch brengt, dan kan vroeg of laat een bericht in de opmaak van zijn communicatie in de mailbox van, bijvoorbeeld, de office-assistent of de financieel medewerker verschijnen. Het is een confronterende manier om medewerkers te verleiden én de ogen te openen.

De praktijk

“Nieuwe medewerkers worden meteen naar een bepaald basisniveau gebracht,” geeft Filippo van Idealis aan. “Op die manier zorgen we voor een minimumniveau aan securitybewustzijn binnen de organisatie.”

Het is daarnaast mogelijk om bepaalde medewerkers specifiek te trainen. “Zo kun je, bijvoorbeeld, de communicatie anders inzetten voor mensen met financiële bevoegdheden”, vertelt Twan Willems. Het is een feature die Idealis op dit moment nog niet gebruikt.

In veel gevallen levert Claranet de dienst inclusief regelmatig contact met een adoptieconsultant. Twan Willems: “Je merkt toch vaak dat enthousiast voor het platform gekozen wordt, maar dat de waan van de dag ervoor zorgt dat het niet, of niet optimaal gebruikt wordt. Onze adoptieconsultant fungeert dan als een soort aanjager, zodat het platform goed en direct wordt ingezet.” Omdat klanten de dienst onbeperkt kunnen gebruiken gedurende de looptijd van het contract, leidt intensief gebruik niet tot hogere kosten.

Idealis koos ervoor deze aanvullende dienstverlening van Claranet niet af te nemen. Voor Carolien Filippo is het monitoren van het gebruik van de oplossing een onderdeel van haar functie. Wel sparde ze aan het begin van de samenwerking met Claranet met een consultant van Claranet.

Sinds de dienst in gebruik is, heeft Filippo regelmatig medewerkers aan haar bureau, die lachend melden dat er weer een nep-spambericht in hun inbox belandde. “Omdat het geautomatiseerd verloopt, weet ik niet altijd wie wanneer welk mailtje krijgt.” Ook zijn er regelmatig collega’s die stellen “dat het wel wat lastiger mag zijn”. En ook dat is mogelijk binnen het platform. Je kunt het niveau van de gesimuleerde phishingmails zelf aanpassen aan het niveau van de medewerkers. Wel zo handig als je medewerkers steeds meer getraind worden.

Geen naming en shaming

Als een van de medewerkers toch op de verdachte link in een bericht klikt, dan stuurt Kno4Be4 hem of haar door naar een landingspagina. Daarop staat niet alleen dat het ging om malware, maar ook dat het in dit geval een nep-bericht betrof. Verder wordt uitgelegd hoe ze hadden kunnen herkennen dat het om een verdachte boodschap ging. Deze uitleg wordt zichtbaar als medewerkers met hun muis over het betreffende mailtje bewegen.

“We doen zeker niet aan naming and shaming binnen de organisatie,” stelt Carolien Filippo gerust. “Wel heb ik onlangs op intranet aangeven welke medewerkers goed scoren.” Op managementniveau worden ook slechts algemene scores gedeeld, zodat trends zichtbaar zijn.

“Wat goed werkt”, legt Twan Willems uit, “is dat je een verstuurde phishingcampagne geautomatiseerd kunt opvolgen. Stel dat iemand drie keer op een link klikt in een phishingmail die het platform verstuurde, dan start het systeem voor de betreffende medewerker automatisch een andere training om de gemaakte vergissing nog nadrukkelijker te adresseren.”

De kracht van het platform

Gevraagd naar de kracht van KnowBe4 geeft Carolien Filippo aan, dat vooral de variatie in de training en de automatisering ervan, zorgen voor het creëren van bewustwording. Twan Willems vult aan: “En het platform ontwikkelt zich nog, ze ontwikkelen continu nieuwe content. En ze stellen die beschikbaar. Content die zich richt op bijvoorbeeld nieuwe aanvalstechnieken.”

Er is regelmatig contact tussen Idealis en Claranet, legt Carolien Filippo uit. “Soms melden ze zich met de vraag of alles goed loopt. En of ik nog vragen heb. Dat verloopt op een aangename manier.” Al met al is Idealis content met de mogelijkheden die het platform biedt. “We beschouwen het als een van de beste investeringen die we ooit deden.”