Samenvatting
Gebruikte diensten:
Security Awareness
Uitdaging: Kleurrijk Wonen was op zoek naar een manier om het securitybewustzijn van de medewerkers te verhogen.
Oplossing: Claranet verzorgt op basis van het KnowBe4-platform Security Awareness-dienstverlening
Resultaat: De totale security bewustzijn is gestegen, zowel online als de fysieke versie.
Woningcorporatie KleurrijkWonen houdt kantoor in Tiel. De organisatie verhuurt meer dan 15.000 woningen, garages, parkeerplaatsen en bedrijfsruimten. Men richt zich op de regio’s Rivierenland en Alblasserwaard-Vijfheerenlanden. Hierin vallen zes gemeenten: Buren, Culemborg, Molenlanden, Tiel, Vijfheerenlanden en West Betuwe. Bij de corporatie werken ongeveer 190 mensen, die twee dagen per week vanuit huis mogen werken. Daarnaast zijn er functionarissen, zoals de verhuurmakelaars, die op locatie inspecties van woningen verzorgen. Zij gebruiken daarvoor een iPad, waarop ze niet alleen koppelingen hebben naar applicaties zoals het ERP-systeem, maar ook mail kunnen ontvangen – en dus ook malware.
De situatie
KleurrijkWonen is sinds 2020 klant bij Claranet. “De organisatie neemt via ons de dienst Security Awareness af, gebaseerd op het platform van KnowBe4,” legt Twan Willems, Prospect Specialist bij Claranet Benelux, uit. “De corporatie heeft dit contract onlangs met drie jaar verlengd.” KnowBe4 genereert voor trainingsdoeleinden automatisch phishing-mailtjes en andere spam die heel gericht, en in een opmaak en stijl die moeilijk van echt te onderscheiden is aan medewerkers van de corporatie.
Het streven
KleurrijkWonen koos er drie jaar geleden voor om met KnowBe4 het securitybewustzijn van de medewerkers te verhogen. “Dat deden we gelukkig niet omdat we gehackt waren,” geeft Marc den Hartog, Architect & Informatiebeveiliger bij KleurrijkWonen, aan. Hij stelt daarbij eerlijk dat het nooit uit te sluiten is dat je een incident meemaakt. “Ik onderscheid twee soorten organisaties: partijen die al gehackt zijn en organisaties die nog gehackt zullen gaan worden.” Wel realiseerde Den Hartog zich, dat het belangrijk is medewerkers te wijzen op de risico’s. “Zo willen we de weerbaarheid van de organisatie vergroten.”
De praktijk
In 2020 ging KleurrijkWonen via Claranet met KnowBe4 aan de slag. “In het begin voelden onze medewerkers zich toch wel een beetje gecontroleerd,” blikt Den Hartog terug. De organisatie wist echter al snel duidelijk te maken dat het doel van de ‘nep’-malware-berichten niet was om mensen in een kwaad daglicht te stellen, of hen verwijten te maken. “Het ging en gaat er puur om mensen te helpen alerter te worden op de gevaren van malware die via hun mailbox probeert de systemen binnen te dringen.” Het gaat er daarbij zeker ook om in een begeleidend programma te schetsen wat de gevolgen van malware kunnen zijn. “Van cybercriminelen die hun weg hopen te vinden in de computers van onze huurders, tot vervelende berichten in de media over ons als organisatie.”
Als mensen toch klikken op een link zoals die in een mail van KnowBe4 staat, dan krijgen ze een bericht op hun scherm met de mededeling dat het betreffende bericht een phishing mail was. Den Hartog: “En dat niet alleen, ze zien ook meteen hoe ze hadden kunnen herkennen dat het om phishing ging.” Vervolgens zal KnowBe4 automatisch vaker vergelijkbare berichten sturen om zo de kennis op het gebied van phishing bij de medewerker te vergroten.
KleurrijkWonen stuurt de phishing-mailtjes die KnowBe4 genereert aan alle medewerkers, dus van directeur tot receptioniste. Wie goed scoort krijgt geen medaille of zichtbare prijs, maar er is wel een andere individuele beloning. Den Hartog: “Vorig jaar hebben we security tot een gratificatiedoel gemaakt.” De corporatie heeft meerdere gratificatiedoelen voor de werknemers. Die volgen uit het ondernemingsplan en hebben onder meer betrekking op het veilig communiceren met de klanten. “We hebben het cyberbewustzijn van alle medewerkers getest met een aantal phishing-mails. Op die manier maak je mensen wel heel alert.”
Veel meldingen
De informatiebeveiliger geeft aan dat de noodzaak om de bewustwording te vergroten vorig jaar nog groter was dan nu. “We hadden toen een veel minder goed spamfilter, het liet meer spam binnendringen.” De medewerkers reageerden daar heel goed op. “Alles wat men tegenkwam werd keurig gemeld. Men klikte er dus niet op, maar meldde vooral ook verdachte berichten.”
Den Hartog brengt dat niet voor niets naar voren. “We doen hier bewust niet aan naming & shaming,” benadrukt hij. “We willen juist de schaamte rond het onderwerp wegnemen. Iedereen kan een mailtje verkeerd beoordelen, maar als je het meteen meldt, kan het IT-team erger voorkomen.” Wie echter uit angst een incident niet meldt, houdt een adequate reactie tegen.
Den Hartog is tevreden over het systeem en de samenwerking met Claranet. “Er wordt veel minder geklikt op verkeerde berichten,” geeft hij aan. “Soms ontdek je wel interessante patronen. Mensen die, bijvoorbeeld buiten het pand, op een smartphone hun mail lezen klikken veel sneller op een verdacht bericht. De weblink is daarop namelijk veel minder makkelijk te controleren dan op een pc, notebook of tablet.”
De bredere scope
De inspanningen op het gebied van security gaan bij KleurrijkWonen overigens verder dan de phishing-berichten die KnowBe4 genereert, legt Den Hartog uit. “De twee Privacy Officers van de organisatie en ik als informatiebeveiliger lopen ook regelmatig door het pand.” Als zij dan laptops onbeheerd open zien staan dan gebruiken ze dat moment om via een Gmail-adres een reply te genereren met als boodschap dat de betreffende medewerker bedankt wordt voor zijn of haar bestelling. “We komen het product binnen een uur afleveren, wilt u meteen betalen?”
Den Hartog, met een glimlach: “Dan hebben medewerkers na de lunchpauze echt wel door dat iemand aan de laptop heeft gezeten. Zeker in het kader van de AVG- en (volgend jaar) de NIS2-regelgeving moeten we ook op deze bewustwording sterk sturen.” De informatiebeveiliger weet dat een dergelijke actie los staat van KnowBe4, maar wel hoort bij de strategie van de organisatie om op een leuke en niet al te dwingende manier om te gaan met bewustwording op het gebied van security.
Uiteindelijk blijken ook de medewerkers van KleurrijkWonen mensen van vlees en bloed. “We verstuurden buiten KnowBe4 om een bericht over een personeelsfeest. Daar had iedereen wel zin in en men vulde massaal het zakelijke mailadres en het wachtwoord in om deel te kunnen nemen.” Het gaf weliswaar een indicatie over de populariteit van de feesten bij de corporatie, “maar het toonde ook de noodzaak continu te investeren in bewustwording en training.”
De toekomst
Tot op heden gebruikt KleurrijkWonen het platform vooral voor het versturen van de phishing-mailtjes. “Er bestaat ook de mogelijk KnowBe4 in te zetten als trainingsmodule. Daar gaan we op korte termijn mee aan de slag en dan specifiek voor mensen die nieuw bij ons in dienst treden,” legt Den Hartog uit. “Zo weten zij wat ze kunnen verwachten en vooral ook wat wij als organisatie van hen verwachten op het gebied van security.”