De projectenbank biedt een overzicht van projecten binnen de (rijks)overheid waarbij gedragsinterventies wel of niet werkten. Zo kun je op eenvoudige wijze inspiratie opdoen en in contact komen met mensen die met vergelijkbare projecten bezig zijn.
Het mkb is extra kwetsbaar voor cyberaanvallen. Dit veldexperiment laat zien dat er aanwijzingen zijn voor een effect van het versturen van imitatie phishingmails op de korte termijn, maar niet op de (middel)lange termijn.
Het aantal geregistreerde incidenten van cybercriminaliteit is afgelopen jaren explosief gestegen. Phishing is één van de meest voorkomende vormen en is vaak het begin van andere cyberaanvallen (zoals malware en ransomware). Het mkb vormt een kwetsbare groep met betrekking tot cybercriminaliteit; veel mkb-bedrijven hebben niet de juiste kennis en middelen om zich hier tegen te beschermen. Bovendien zijn mkb-bedrijven vaak onderdeel van grotere toeleveringsketens van kritische processen, waardoor een kwetsbaar mkb-bedrijf gevolgen kan hebben voor een hele keten van bedrijven. Daarom is er in samenwerking met het Regionaal Platform Criminaliteitsbeheersing Noord-Holland (RPC NH), Digital Trust Center (DTC) en Behavioural Insights Team (BIT) van EZK de MKB Phishingtest opgezet.
Er is onderzocht of een phishingtest een effectieve methode is om de cyberweerbaarheid onder medewerkers in het mkb te verhogen. De interventie zelf bestond uit een imitatie phishingmail waarin medewerkers van mkb-bedrijven werden gestimuleerd om op een onbetrouwbare link in de mail te klikken. Zodra de medewerker op de link in de phishingmail klikte, belandde hij/zij op een feedbackpagina met informatie over waar ze de phishingmail aan (hadden) kunnen herkennen. Het doel van de interventie was tweeledig. Ten eerste maakt het percentage medewerkers dat heeft geklikt op de link in de phishingmail inzichtelijk hoe weerbaar de deelnemende mkb-bedrijven zijn tegen phishingmails. Ten tweede is onderzocht of het ontvangen van een imitatie phishingmail en de feedback bij het klikken bijdraagt aan het verhogen van de cyberweerbaarheid.
Dit onderzoek omvat een Randomized Control Trial (RCT). In totaal namen er 33.016 medewerkers werkzaam bij 667 bedrijven deel aan het experiment. Deze bedrijven zijn aselect verdeeld in vier groepen op basis van gelijke kenmerken (aantal medewerkers, sector, wel/geen uitbesteding IT), een zogenoemde gestratificeerde loting. Elke groep ontving twee verschillende (imitatie) phishingmails met verschillende tijdsintervallen tussen de twee mails (± 1 maand, ± 2,5 maanden, ± 3,5 maanden). Het effect van de ervaring met een phishingmail is gemeten door telkens de klikpercentages te vergelijken tussen een groep die al eerder een phishingmail ontving en een groep die nog niet eerder een phishingmail had ontvangen (figuur1). Door te variëren met de lengte van de tijdsintervallen kan onderzocht worden of en in welke mate het uitmaakt voor het klikgedrag op een 2e phishing mail hoe lang geleden een 1e phishingmail is ontvangen.
Op basis van de resultaten kunnen de onderstaande punten worden geconcludeerd:
Dit onderzoek heeft op drie manieren maatschappelijke impact gemaakt. Ten eerste biedt dit onderzoek inzicht in de cyberweerbaarheid van het mkb. De resultaten bevestigen de urgentie om de cyberweerbaarheid van het mkb te verhogen. Ten tweede laten de resultaten zien dat het versturen van een imitatie phishingmail op de korte termijn een effectieve manier kan zijn om medewerkers minder snel te laten klikken op een volgende phishingmail. Ten derde heeft dit onderzoek en het versturen van de imitatie phishingmail en de daarbij behorende feedback op zichzelf geleid tot een hoger bewustzijn over cyberweerbaarheid van het mkb. Na afloop van het versturen van de imitatie phishingmails ontving elke deelnemende mkb’er een rapportage met daarin de resultaten van het individuele bedrijf en een uitgebreide toelichting over hoe zij hun cyberweerbaarheid (nog) meer konden verhogen.
Deze website maakt gebruik van cookies. Lees meer over cookies in onze cookieverklaring.
Deze cookies verzamelen nooit persoonsgegevens en zijn noodzakelijk voor het functioneren van de website.
Deze cookies verzamelen gegevens zodat we inzicht krijgen in het gebruik en deze website verder kunnen verbeteren.
Deze cookies zijn van aanbieders van externe content op deze website. Denk aan film, marketing- en/of tracking cookies.