De afgelopen jaren is er een sterke toename van cybercriminaliteit. Phishing is één van de meest voorkomende vormen hiervan en is vaak het begin van andere cyberaanvallen. Het mkb vormt een kwetsbare groep en is vaak slachtoffer van cybercriminaliteit. Ruim een kwart van de mkb-medewerkers heeft in het afgelopen jaar op het werk een phishingmail ontvangen.
Mkb-bedrijven hebben nog niet altijd besef van de urgentie en de juiste kennis en vaardigheden in huis om weerbaar te zijn tegen cybercriminaliteit. Ook zijn mkb-bedrijven vaak onderdeel van grotere toeleveringsketens, waardoor één kwetsbaar bedrijf gevolgen kan hebben voor een hele keten van bedrijven.
MKB Phishingtest
Op verzoek van het Digital Trust Center (DTC) en het Regionaal Platform Criminaliteitsbeheersing Noord-Holland (RPC NH) is de MKB Phishingtest opgezet, om inzicht te krijgen in de kwetsbaarheid van het mkb voor phishing en om te kijken hoe de cyberweerbaarheid van het mkb vergroot kan worden. Aan de hand van een grootschalig veldexperiment is onderzocht of een phishingtest een effectieve methode is om de cyberweerbaarheid van het mkb te vergroten en hoe lang dit eventuele effect standhoudt.
In totaal namen er 33.016 medewerkers werkzaam bij 667 bedrijven deel aan het experiment. Van mei tot en met oktober 2021 ontvingen zij ieder twee verschillende (imitatie) phishingmails. De (imitatie) phishingmail bevatte kenmerken van een ‘echte’ phishingmail, waarbij de medewerker werd gestimuleerd om op de link in de mail te klikken.
Zodra de medewerkers op de link in de phishingmail klikten, belandden zij op een pagina met informatie over waar ze de phishingmail aan hadden kunnen herkennen. Het klikken op de link in dit onderzoek had uiteraard geen gevolgen. Aan de hand van vragenlijsten zijn kenmerken van de deelnemende bedrijven en medewerkers uitgevraagd om te onderzoeken of deze kenmerken samenhangen met het klikken op de phishingmail.
Conclusies
Het onderzoeksrapport dat opgesteld is door het Behavioural Insights Team van het Ministerie van Economische Zaken en Klimaat, bevat de volgende conclusies:
- Het mkb kwetsbaar is voor phishing. Ruim 1 op de 5 medewerkers (22%) klikt op een link in een generieke phishingmail. Daarnaast klikten medewerkers die aangaven de afgelopen 12 maanden geen phishingmails te hebben ontvangen gemiddeld vaker op de link dan degenen die wel één of meerdere phishingmails hadden ontvangen.
- Er zijn aanwijzingen voor een effect van een phishingtest op korte termijn, maar niet op (middel)lange termijn. Uit een regressieanalyse bleek dat medewerkers die ongeveer een maand eerder een phishingmail hadden ontvangen, significant minder vaak op een tweede phishingmail klikten dan degenen die daarvoor geen phishingmail hadden ontvangen. Er was geen significant effect van een phishingtest op de middellange termijn (ca. 2,5 maand) en de lange termijn (ca. 3,5 maand).
- Risicozoekende medewerkers hebben de meeste baat bij een phishingtest. Risicovoorkeur bleek ook een positieve samenhang te hebben met één van de significante voorspellers voor het klikken op een phishingmail. Medewerkers die aangeven meer risicozoekend te zijn, lijken dus meer baat te hebben bij de ervaring van een phishingtest op korte termijn dan medewerkers die meer risicomijdend zijn.
De MKB Phishingtest heeft een bijdrage kunnen leveren aan het urgentiebesef door de resultaten in een bedrijfsrapportage terug te koppelen aan het bedrijf met daarbij tips om het bedrijf weerbaarder te maken tegen phishingaanvallen. Daarnaast hebben medewerkers met hun deelname kennis en ervaringen opgedaan en feedback gekregen over het herkennen van phishingmails.
Met deze resultaten in het achterhoofd gaat het DTC een bewustwordingscampagne rondom phishing starten. Deze campagne stimuleert ondernemers om te achterhalen of ze phishing kunnen herkennen, voorkomen en bestrijden. Ze krijgen tools en informatie om veilige e-mailinstellingen te kiezen en andere benodigde stappen te zetten.
Wil je een eigen campagne starten rondom het thema phishing? Bekijk dan deze campagnematerialen voor inspiratie. Uitgebreide informatie over de MKB Phishingtest lees je in de rapportage.
Infographic MKB Phishingtest
Wat kun je als ondernemer doen tegen phishing?
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.