Phishing: zo maakt het AVL ziekenhuis medewerkers alert

Zorgvuldig omgaan met informatie is altijd belangrijk, maar in de zorg, waar veel met gevoelige patiëntgegevens wordt gewerkt, is het cruciaal. Juist in ziekenhuizen mag de veiligheid van informatie niet in gevaar komen, vindt Joost Boele, chief information security officer bij het Antoni van Leeuwenhoek ziekenhuis.

phishing

‘Genetica veranderen niet', stelt Joost. 'Als gegevens uit een medisch dossier door een datalek op straat komen te liggen, heb je daar een leven lang last van. Het heeft niet alleen impact op de getroffen persoon, maar ook op de naaste familie. Dat besef begint nu in te dalen. Het is goed dat de regels vanuit de Algemene Verordening Gegevensbescherming (AVG) regels en de NEN 7510 zo’n belangrijke rol spelen.’

Phishing simulatie geeft inzicht in security awareness

‘Preventie is belangrijk binnen informatiebeveiliging', zegt Joost. ‘Het zit in technische maatregelen die niemand ziet, maar ook gedrag van mensen speelt een belangrijke rol. Gedrag kun je op een aantal manieren positief beïnvloeden, bijvoorbeeld met een phishingtest of met security awareness training. Phishing tests zijn een van de meest tot de verbeelding sprekende manieren om te testen hoe je organisatie ervoor staat op het gebied van security awareness.’

Zo werkt phishing simulatie

‘Bij elke EHBO-cursus leer je dat bloed binnen hoort en bacteriën buiten. In de informatiebeveiliging geldt: gegevens horen binnen, hackers horen buiten. Dat zijn de 2 dingen die ik probeer te bewerkstelligen. De phishingtool van Infosequre helpt daarbij. De data die de tests opleveren, geven inzichten waar we op kunnen inspelen.'

Een phishingtest verloopt als volgt:

  1. Uit bestaande e-mailtemplates kies je een bericht dat je naar je organisatie wilt versturen. Infosequre verzorgt de verzending van het bericht.

  2. Medewerkers die op de link klikken, krijgen via de landingspagina waar ze op terecht komen direct gerichte feedback. Zo leren ze aan welke signalen ze phishing kunnen herkennen.

  3. Je ontvangt een rapportage met de resultaten van de test. Je ziet onder meer hoeveel mensen er op de link hebben geklikt, hoeveel mensen afbeeldingen uit de mail hebben gedownload en hoe vaak er gegevens zijn achtergelaten op de phishing website. Hoe meer tests je verstuurt, hoe meer inzichten het oplevert. Het wordt duidelijk waar je winst hebt behaald en waar nog uitdagingen liggen.

Significante afname in kliks

Joost merkt dat naarmate mensen zich bewuster worden van de risico’s er minder wordt geklikt. ‘Ik ben tevreden met de daling die we zien in het percentage kliks, maar als onderzoeksinstituut blijven we kritisch. We trekken geen overhaaste conclusies. Bij de laatste phishingtest klikten ontzettend weinig medewerkers op de link, maar elke klik is er één te veel. Daarom blijven wij doorlopend inzetten op security awareness.’

“We besteden doorlopend aandacht aan bewustwording van medewerkers. De effectiviteit van interventies meten we en we spelen daarop in. We gebruiken daarbij data uit de phishingtool.”

Gunstig geprijsd

‘Bij de phishingtool van Infosequre maakt het niet uit hoeveel phishingtests je wilt doen. Je schaft de tool aan voor een bepaalde periode.' Vervolgens kies je uit een selectie kant-en-klare phishing-templates en confronteer je medewerkers met realistische phishingmails en sms-berichten. Iedereen die op de link klikt, krijgt direct gerichte feedback. Bij een echte aanval weten medewerkers daardoor waar ze op moeten letten.

‘Het voordeel aan Infosequre is dat je niet meteen aan een totaalpakket van awareness vastzit’, zegt Joost. 'Er zijn veel bedrijven die je voor tienduizenden euro’s aan trainingen willen verkopen, maar elke euro die we in het ziekenhuis niet uitgeven aan externe zaken, kan naar kankeronderzoek. Het prijsmodel van de phishing simulatietool is plat. En dat biedt veel gemoedsrust. Of ik nu 3 of 50 phishingmails per jaar afvuur, de prijs blijft gelijk.’

Positieve reacties

De phishingsimulaties worden in het ziekenhuis goed ontvangen. Joost vertelt: ‘De reacties zijn overweldigend positief, tot aan de Raad van Bestuur toe. Medewerkers geven aan dat zij het goed en belangrijk vinden dat we dit doen. De phishingcampagne maakt het gesprek los en dat draagt weer bij aan de awareness.'

“De reacties op de phishingtest zijn overweldigend positief, tot aan de Raad van Bestuur toe.”

phishing test

Anonieme phishingtest

De phishingtool verzamelt klikgegevens anoniem. 'Dat is prettig in een wereld waarin de AVG enorm gevoeld wordt. Privacy is belangrijker dan ooit', vindt Joost. 'Het helpt mij dat ik mijn collega’s ervan kan verzekeren dat de resultaten van de phishingtests anoniem naar mij worden teruggekoppeld. Het is niet mijn bedoeling om medewerkers af te rekenen op hun klikgedrag. Als ik met een politiepet door het ziekenhuis ga lopen, dan wil niemand meer met mij samenwerken. En dat wil ik juist wel. Ik wil het hier veiliger maken.’

phishingtest
Joost Boele
Chief information security officer

“We zetten de phishingtool niet zonder reden ieder jaar opnieuw in. Je kan een onbeperkt aantal mails verzenden. Dat sluit goed aan bij onze security strategie.”

Phishing simulatie
Zet je organisatie op scherp

Phishing simulatie

Hoe alert zijn jouw medewerkers op phishing? Test het met onze phishing simulatie.

Bekijk programma's Plan adviesgesprek
Bekijk alle klantverhalen
Terug naar cases