Aanleiding: Eén op de vijf mkb-bedrijven slachtoffer van cybercriminaliteit
Een van de grootste kwetsbaarheden voor cyberveiligheid in het mkb (midden- en kleinbedrijf) is het gedrag van medewerkers: met één verkeerde muisklik kan het bedrijf al geraakt worden door cybercriminelen. Doel van de pilot is om het risico op slachtofferschap van cybercriminaliteit in het mkb te verkleinen. Hierbij richten we ons op het gedrag van de medewerkers in mkb-metaal. Doelgedrag is als volgt geconcretiseerd: 1) Medewerkers melden verdachte e-mails bij een intern meldpunt; en 2) Medewerkers klikken niet op een link in verdachte e-mails.
Interventie: ‘Valse e-mail? Meld het via de meldknop’
Op basis van gedragsinzichten is de interventie ‘Valse e-mail? Meld het via de meldknop’ ontwikkeld en getest bij mkb-metaalbedrijven. Als onderdeel van de gedragsinterventie hebben de bedrijven een intern cybermeldpunt ingesteld en een meldknop in hun e-mailprogramma geïnstalleerd. Hiermee kunnen medewerkers heel eenvoudig een verdachte e-mail op veilige wijze doorsturen naar het intern cybermeldpunt. Voor de zichtbaarheid zijn er posters in de bedrijven opgehangen en hebben alle medewerkers een digitale flyer ontvangen met verschillende gedragstechnieken, zoals: kennis en bewustwording bevorderen, geanticipeerde spijt opwekken, handelingsperspectief bieden, sociale norm communiceren, urgentie creëren en altercasting. Om medewerkers op het juiste moment te herinneren aan het gewenste gedrag, zijn 3d-stickers op de beeldschermen aangebracht. Daarnaast hebben alle leidinggevenden een handreiking met tips ontvangen over hoe zij het gesprek over cyberveiligheid kunnen stimuleren in hun team, waarmee een positieve sociale norm wordt gecreëerd.
Afbeelding: Poster
Methode: voor- en nameting
In een veldonderzoek is getest hoe vaak medewerkers verdachte e-mails intern melden en hoe vaak zij klikken op verdachte links. Hiervoor zijn 3 nepmails verstuurd naar alle medewerkers van deelnemende mkb-metaalbedrijven: Eén voorafgaand aan de gedragsinterventie en twee na toepassing van de gedragsinterventie.
Resultaat: ruim 10x meer interne meldingen van verdachte e-mails
Ongeveer 1 á 2 weken na toepassing van de gedragsinterventie wordt de nepmail ruim 10x vaker intern gemeld dan voor toepassing van de gedragsinterventie, van bijna 3% naar bijna 30%. Ongeveer 6 á 7 weken na toepassing van de gedragsinterventie is dit 18%. Na toepassing van de gedragsinterventie wordt er nauwelijks meer geklikt op een link in de nepmails, terwijl dit voor toepassing van de gedragsinterventie nog bij bijna 1 op de 5 ontvangers van een nepmail gebeurde (2.5-3 procent na vs 18 procent voor). In het belevingsonderzoek bij medewerkers geeft bijna 80% van de respondenten aan dat ze door de gedragsinterventie beter zijn gaan opletten op valse e-mails. Ook vinden respondenten het makkelijker om met de meldknop verdachte e-mails intern te melden. Van de medewerkers die een valse e-mail intern heeft gemeld, doet 60% dit met de meldknop. Hiermee is de meldknop veruit de meest gebruikte manier om valse e-mails intern te melden.
Tabel: Meld- en klikgedrag op nepmails
Impact: kleiner risico op slachtofferschap van cybercriminaliteit
De pilot laat zien dat slim toepassen van gedragsinzichten bijdraagt aan alertheid, bewustwording en cyberveilig gedrag bij medewerkers in het mkb. Het intern melden van verdachte e-mails draagt bij aan het verkleinen van het risico op slachtofferschap van cybercriminaliteit. Interne meldingen maken het mogelijk om het risico van verdachte e-mails te onderzoeken, actie te ondernemen en eventueel andere medewerkers te waarschuwen. Dit heeft zowel repressieve als een preventieve werking tegen mogelijk slachtofferschap. De gedragsinterventie is getest bij mkb-metaalbedrijven, maar is breder toepasbaar in het mkb.