'Wie phishingtesten niet doorstaat zou geen toegang moeten krijgen tot gevoelige data'

Bij phishingaanvallen doen aanvallers zich voor als legitieme partijen in een poging toegang te krijgen tot gevoelige data. Met behulp van phishingaanvallen kan worden getest of medewerkers voldoende alert zijn op dergelijke aanvallen. Paul Beckman, Chief Information Security Officer (CISO) van het Amerikaanse Department of Homeland Security, wil Amerikaanse ambtenaren die meerdere malen in een phishingtest trappen voortaan geen toegang meer geven tot gevoelige informatie. Ook voor bedrijven kan een dergelijke maatregel interessant zijn.

Beckman maakte zijn plannen volgens Defense One eerder deze maand bekend op de Billington Cybersecurity Summit in het Amerikaanse Washington. Bij een phishingtest worden werknemers geconfronteerd met een phishingpoging om hun reactie hierop in kaart te brengen. Denk hierbij aan een malafide e-mail waarin de werknemer wordt opgeroepen in te loggen bij een dienst of bepaalde software te installeren. Ook bedrijven hebben regelmatig te kampen met dergelijke aanvallen. Aanvallers kunnen via phishing toegang krijgen tot gevoelige data van bedrijven, zoals klantgegevens of bedrijfsgeheimen. Het is dan ook van belang dat werknemers bewust zijn van de mogelijkheid doelwit te worden van phishing en alert zijn op dergelijke aanvallen. 

Online security training
Het Amerikaanse Department of Homeland Security voert daarom regelmatig phishingtesten uit. Hierbij krijgen ambtenaren mailtjes toegezonden waarin zij bijvoorbeeld worden gevraagd in te loggen op een dienst om hun accountgegevens te updaten. In werkelijkheid worden de ambtenaren hierbij echter niet doorgestuurd naar de legitieme dienst, maar naar een nagemaakte website die bedoeld is om de inloggegevens van de ambtenaren te onderscheppen. Wie in een dergelijke aanval trapt moet verplicht een online security training doorlopen.

Ook na deze trainingen blijken echter niet alle ambtenaren bestand te zijn tegen phishingaanvallen. Sommige ambtenaren falen volgens Beckman ondanks de trainingen keer op keer in een phishingtest, waarmee zij de digitale veiligheid van de overheidsdienst waarvoor zij werken in gevaar brengen. De CISO stelt dat er momenteel geen consequenties zijn voor deze ambtenaren, waardoor zij weinig tot geen motivatie hebben hun gedrag te verbeteren.

Hardere maatregelen
Beckman wil daarom voortaan hardere maatregelen nemen tegen ambtenaren die met regelmaat voor phishingtesten falen. Deze ambtenaren zouden geen toegang meer mogen krijgen tot gevoelige overheidsdata, zodat de impact van phishingaanvallen waar zij intrappen wordt beperkt. Beckman benadrukt overigens wel dat de plannen nog in de kinderschoenen staan en niet iedereen zijn hardere aanpak steunt.

Ook voor bedrijven kan een dergelijke aanpak relevant zijn. Bedrijven hebben immers allerlei gevoelige data in handen, waaronder bedrijfsgeheimen en klantgegevens. Het beschermen van deze data is een forse uitdaging als werknemers niet bestand blijken te zijn tegen een phishingaanval. Door inloggegevens onbewust af te staan of potentieel malafide software te installeren kunnen dergelijke medewerkers aanvallers onbedoeld toegang geven tot deze gevoelige data. Het invoeren van het beleid dat Beckman voorstelt kan helpen dit risico in te perken.