Aanleiding: mkb kwetsbaar voor cyberaanvallen

Het aantal geregistreerde incidenten van cybercriminaliteit is afgelopen jaren explosief gestegen. Phishing is één van de meest voorkomende vormen en is vaak het begin van andere cyberaanvallen (zoals malware en ransomware). Het mkb vormt een kwetsbare groep met betrekking tot cybercriminaliteit; veel mkb-bedrijven hebben niet de juiste kennis en middelen om zich hier tegen te beschermen. Bovendien zijn mkb-bedrijven vaak onderdeel van grotere toeleveringsketens van kritische processen, waardoor een kwetsbaar mkb-bedrijf gevolgen kan hebben voor een hele keten van bedrijven. Daarom is er in samenwerking met het Regionaal Platform Criminaliteitsbeheersing Noord-Holland (RPC NH), Digital Trust Center (DTC) en Behavioural Insights Team (BIT) van EZK de MKB Phishingtest opgezet.

Interventie: een imitatie phishingmail

Er is onderzocht of een phishingtest een effectieve methode is om de cyberweerbaarheid onder medewerkers in het mkb te verhogen. De interventie zelf bestond uit een imitatie phishingmail waarin medewerkers van mkb-bedrijven werden gestimuleerd om op een onbetrouwbare link in de mail te klikken. Zodra de medewerker op de link in de phishingmail klikte, belandde hij/zij op een feedbackpagina met informatie over waar ze de phishingmail aan (hadden) kunnen herkennen. Het doel van de interventie was tweeledig. Ten eerste maakt het percentage medewerkers dat heeft geklikt op de link in de phishingmail inzichtelijk hoe weerbaar de deelnemende mkb-bedrijven zijn tegen phishingmails. Ten tweede is onderzocht of het ontvangen van een imitatie phishingmail en de feedback bij het klikken bijdraagt aan het verhogen van de cyberweerbaarheid.

Methode: RCT

Dit onderzoek omvat een Randomized Control Trial (RCT). In totaal namen er 33.016 medewerkers werkzaam bij 667 bedrijven deel aan het experiment. Deze bedrijven zijn aselect verdeeld in vier groepen op basis van gelijke kenmerken (aantal medewerkers, sector, wel/geen uitbesteding IT), een zogenoemde gestratificeerde loting. Elke groep ontving twee verschillende (imitatie) phishingmails met verschillende tijdsintervallen tussen de twee mails (± 1 maand, ± 2,5 maanden, ± 3,5 maanden). Het effect van de ervaring met een phishingmail is gemeten door telkens de klikpercentages te vergelijken tussen een groep die al eerder een phishingmail ontving en een groep die nog niet eerder een phishingmail had ontvangen (figuur1). Door te variëren met de lengte van de tijdsintervallen kan onderzocht worden of en in welke mate het uitmaakt voor het klikgedrag op een 2^e phishing mail hoe lang geleden een 1e phishingmail is ontvangen.

Resultaat: Ruim 1 op de vijf klikt op link in 1e phishingmail; halvering bij versturen 2e mail op korte termijn

Op basis van de resultaten kunnen de onderstaande punten worden geconcludeerd:

• Het mkb is kwetsbaar voor phishing. Ruim 1 op de 5 medewerkers (22%) die deelnam aan het onderzoek klikte op een onbetrouwbare link in een generieke phishingmail.
• Er zijn aanwijzingen voor een effect van een phishingmail op korte termijn, maar niet op de (middel)lange termijn. Medewerkers die ongeveer een maand eerder een phishingmail hadden ontvangen klikten significant minder vaak op een 2e phishingmail dan de medewerkers die nog niet deze 1e phishingmail hadden ontvangen (9,9% t.o.v. 19,8%). Er was echter geen statistisch significant effect van een 2e phishingmail die verstuurd werd op de middellange termijn (ca. 2,5 maand) of de lange termijn (ca. 3,5 maand).
• Risicozoekende mensen hebben het meeste baat bij een phishingtest. Risicovoorkeur bleek ook positief samen te hangen met de kans om op een phishingmail te klikken.

Impact: imitatie phishingmail om cyberweerbaarheid te verhogen

Dit onderzoek heeft op drie manieren maatschappelijke impact gemaakt. Ten eerste biedt dit onderzoek inzicht in de cyberweerbaarheid van het mkb. De resultaten bevestigen de urgentie om de cyberweerbaarheid van het mkb te verhogen. Ten tweede laten de resultaten zien dat het versturen van een imitatie phishingmail op de korte termijn een effectieve manier kan zijn om medewerkers minder snel te laten klikken op een volgende phishingmail. Ten derde heeft dit onderzoek en het versturen van de imitatie phishingmail en de daarbij behorende feedback op zichzelf geleid tot een hoger bewustzijn over cyberweerbaarheid van het mkb. Na afloop van het versturen van de imitatie phishingmails ontving elke deelnemende mkb’er een rapportage met daarin de resultaten van het individuele bedrijf en een uitgebreide toelichting over hoe zij hun cyberweerbaarheid (nog) meer konden verhogen.