#28 - E-learning, social engineering en (jawel) de phishing test (met Giel Oerlemans)
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoenmaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco Schoemaker:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen en daar veel over te bespreken dus veel plezier en qeep talking. Vanuit het comfort van mijn zolderkamer, neem ik weer een nieuwe aflevering op. Ik heb het dus eigenlijk heel luxe, want de gast in deze aflevering was bereid om helemaal naar het prachtige Zwolle te komen. Tegenover mij zit niemand minder dan Giel Oerlemans. Ja. Welkom in de podcast.
Giel Oerlemans:Dank je wel. Dank je wel. Leuk om hier te zijn.
Renco Schoemaker:Ja. Nou, we hebben even vooraf een beetje kennis gemaakt, want wij kennen elkaar wel van naam, maar ook weer niet veel meer dan dat, toch?
Giel Oerlemans:Ja, een beetje uit de familiaire sfeer, zal ik zeggen.
Renco Schoemaker:Ja, jouw, hoe zat het ook alweer?
Giel Oerlemans:Mijn zus is getrouwd met jouw vriend.
Renco Schoemaker:Ja, met een vriend.
Giel Oerlemans:Met een vriend. Ja, zeg het meteen goed.
Renco Schoemaker:Ja. Precies, precies. Nou en ja, we hadden eerder al eens keer vastgesteld. Wij doen allebei iets op het gebied van informatiebeveiliging. Ja.
Renco Schoemaker:En toen dacht ik, hé, het zou niet leuk zijn om een keer nader kennis te maken. En toen dachten we eigenlijk ook meteen, nou, zou het dan ook niet leuk zijn om een keer
Giel Oerlemans:Een keer naar de podcast te komen. Precies.
Renco Schoemaker:En jij stelde eigenlijk al meteen vast, Giel, dat moet dan over security awareness gaan, want dat is toch wel een onderbelicht
Giel Oerlemans:onderwerp in jouw lijst.
Renco Schoemaker:Precies, dat moet rechtgezet worden.
Giel Oerlemans:Ja, en een klein beetje zelf eigenbelang, dat is ook waar wij ons voornamelijk mee bezig houden. Dus.
Renco Schoemaker:En wie is is wij?
Giel Oerlemans:Ja, dus nou Gilles Loenma, zo gezegd. Medeoprichter van StackSecure. Dat is een brede dienstverlener op het gebied van informatiebeveiliging uit Eindhoven. Dus dat is ook de weg die ik af heb gelegd om hier te komen vandaag via een tussenstop in Utrecht. En eigenlijk hoofdzakelijk waar wij ons op richten is het aanbieden van online security awareness training, e-learning en aanverwante activiteiten zoals bijvoorbeeld het uitvoeren van phishing simulaties om organisatie, de medewerkers bij organisaties te trainen, bewust te maken van de risico's die er zijn en ook te zorgen dat de organisatie als geheel eigenlijk weerbaarder wordt.
Giel Oerlemans:Dat beveiliging, informatiebeveiliging onderdeel wordt van
Renco Schoemaker:een cultuur. Dus de producten en diensten die jullie aanbieden, die zijn gericht op het beïnvloeden richting de juiste kant van het gedrag van de individuele eindgebruiker. Ja, ja. Want een phishing mail gaat ook over gedrag van een gebruiker.
Giel Oerlemans:Ja, dus het is enerzijds, het begint vaak bij een stuk informeren natuurlijk van mensen weten eigenlijk niet eens wat er aan de hand is of speelt. Er is natuurlijk veel in het nieuws, maar ja, ik denk dat wij als informatiebeveiliging professionals, zal ik maar even
Renco Schoemaker:noemen. Vakidioten.
Giel Oerlemans:Vakidioten. Misschien meer meekrijgen dan de gemiddelde medemens. Dus heel vaak zie je dat het toch wel begint met een stuk informeren. En uiteindelijk moet dat leiden tot gedragsverandering. Dat mensen toch niet overal hetzelfde wachtwoord gebruiken en daar niet de naam van de kat voor gebruiken, et cetera.
Giel Oerlemans:Dus is in die zin is het heel enerzijds heel basaal en het gaat ook wel tot van oké, wat voor oplichtingstrucs zijn er in omloop en dat zie je natuurlijk ook mee veranderen over de tijd. Dan is er weer iets op LinkedIn aan de hand.
Renco Schoemaker:Dus eigenlijk wat jullie qua inhoud aanbieden moet je ook constant actueel houden. Moet blijven aansluiten bij wat op dat moment bekende aanvalsmethodieken zijn.
Giel Oerlemans:Nee, dat klopt. Dus er zijn natuurlijk heel veel standaard onderwerpen. Wachtwoorden zullen voorlopig nog wel een ding blijven en daar blijven mensen slecht mee omgaan, dat blijven moeten uitleggen. Ja, techniek, dingen als phishing is veel voorkomend en blijft ook wel. Maar je ziet allerlei soorten fraude ook gerelateerd aan gebruik van apps als WhatsApp.
Giel Oerlemans:Hoe werkt dat nou? Deepvoice, deepfake, dat soort zaken zijn natuurlijk met AI waar mensen natuurlijk veel over praten deze dagen, is er veel in opkomst, wordt er veranderd er veel, komen nieuwe trucs bij, ze worden doortrapter. En ja, aan onze taak om daar iets tegenover te zetten dat mensen daarvan bewust zijn dat ze snappen dat als ze gebeld worden en ze horen niks, dat ze niet een heel verhaal af moeten gaan steken, maar dat ze beter op kunnen hangen.
Renco Schoemaker:Dus jullie integreren eigenlijk die nieuwe ontwikkelingen in nieuwe content bouwblokken in jullie platform?
Giel Oerlemans:Ja, in principe maken wij sowieso ieder kwartaal een nieuwe module beschikbaar. Vaak
Renco Schoemaker:hoor ik dan, hoor en zie ik jou dan ook in die video's en voice-over?
Giel Oerlemans:Helaas wel, ja. Nee, ja, nou, we hebben intern een aantal mensen die daar bereid toe zijn om dat in te spreken. Alleen als het echt moet. Nou, maar koppig joh, die wilde ook nog wel eens zijn handvol uit de mouwen Maar nee, nemen heel vaak, we hebben modules, het kan verschillende vormen zijn, maar heel vaak is het ook gewoon een soort instructievideo waarin wij dingen toelichten, waarbij we geanimeerd wat zaken in beeld brengen. Dus bijvoorbeeld als je het over dat soort trucs hebt van die stuur over e-mail, Bob Alice stuurt een mailtje naar Bob en dat wordt nou ja, weet je, je kent het scenariootje wel.
Giel Oerlemans:Dus dan brengen we dat ook wel grafisch in beeld. Maar vaak zie je ons ook gewoon als een soort van klassikaal leraar een stukje toelichting geven. Dus we maken dan 1 keer per kwartaal zo'n uitbreiding of vaker als we daar noodzaak toe zien waarin we een soort actualiteit behandelen. We hebben onlangs bijvoorbeeld de hack bij TU Eindhoven genomen. Daar lees je dan in het nieuws over.
Giel Oerlemans:Nou, die rapporten die zijn gepubliceerd, wat
Renco Schoemaker:er daar Ja, dus dan kun je aan putten.
Giel Oerlemans:Daar duiken we in en kijken we wat is er nou aan de hand en wat zijn dan de lessen eigenlijk die je daaruit kan trekken voor jou als medewerker? Waarom kan dat jou ook gebeuren of kan jouw organisatie ook zoiets gebeuren? En dat begint toch heel vaak bij dat soort zaken. Gewoon heel simpel met phishing e-mails of wachtwoorden hergebruik. Eerder gecompromitteerde wachtwoorden hergebruiken in dit
Renco Schoemaker:Dus jullie maken eigen content, maar hebben ook het eigen platform waar je de content in aanbiedt aan die eindgebruiker.
Giel Oerlemans:Ja, precies. Dus we hebben een eigen e-learning omgeving gemaakt. Ook om dat helemaal te kunnen specifiek kunnen inrichten voor security awareness. Enerzijds zijn dat een stuk cursussen dat je onderscheid maakt tussen een stuk basismodules en ook geavanceerdere onderwerpen, diepgaandere verdiepingen.
Renco Schoemaker:Ja, daar zal een soort getraptheid in zitten voor ons, stel ik.
Giel Oerlemans:Precies, precies. Ja, wij bieden in, kijk, je kunt bij ons out of the box zeg maar gewoon helemaal met een basisprogramma en verdiepingen etcetera beginnen. Dat is gewoon, bij wijze van je zet de handtekening, je nodigt de mensen uit en ze kunnen ze van start.
Renco Schoemaker:Met de standaard inrichting zou je kunnen zeggen.
Giel Oerlemans:Dat is onze standaard inrichting. Alleen ja, organisaties zijn helemaal vrij om dat zelf vorm te geven. Die kunnen hun eigen modules toevoegen. Die kunnen de volgorde aanpassen, die kunnen dingen weglaten die voor hun niet relevant zijn.
Renco Schoemaker:Gebeurt dat veel, dat klanten op die manier aan de knoppen zitten en die content tweaken of?
Giel Oerlemans:Ja, best wel. Dus je ziet vooral, ja, we zien verschillende dingen ontstaan. Dus we hebben klanten die zeggen, wij willen iedere maand gaan we een thema behandelen en dan doen we daar omtrent ook. Er zijn vaak wat grotere organisaties met een paar mensen in dienst die zich daar bezig kunnen houden.
Renco Schoemaker:Draaien eigen programma eigenlijk met thema's.
Giel Oerlemans:Ja, en die zeggen dus, nou en ik wil in januari wil ik dat doen en in februari wil ik dat onderwerp. Ja, dan moet onze e-learning daarbij aansluiten. Je hebt er ook die zeggen, ik wil gewoon zo snel mogelijk dat mensen op de hoogte zijn, dus die moeten gewoon eigenlijk in die een week tijd moeten ze nou in ieder geval de basis doorlopen.
Renco Schoemaker:Daar heb je dan je standaard inrichting voor klaarstaan eigenlijk.
Giel Oerlemans:Ja, onze basis is dan eigenlijk denk ik het algemeen uitgangspunt. Die veranderen we ook wel eens. Want ja, daar zit natuurlijk ook onderwerp in waarvan je denkt nou oké, dit is nu misschien wat minder aan de orde. En bijvoorbeeld je hebt de tijd gehad dat er dat er rondom LinkedIn een en ander te doen was. Misschien moet dat wel in de basis.
Giel Oerlemans:Of nu heb je QF-phishing, je hebt MFA hebben wij als een soort van verdieping ooit opgenomen. Ja, kun je over twisten of dat niet een soort basis zou moeten zijn.
Renco Schoemaker:Tijd veranderen dan. Dus daar blijf je constant bij aansluiten.
Giel Oerlemans:Dan blijf je wel updaten. Maar laat ik eerlijk wezen, de basis van de onderwerpen van wat mensen wel en niet moeten doen is natuurlijk enigszins constant van een soort cyber hygiëne noemen we het vaak. De echte basis op orde, zo noemen we dat basis programma is eigenlijk een
Renco Schoemaker:op orde of cyber hygiëne?
Giel Oerlemans:We noemen het de basis op orde.
Renco Schoemaker:Ja, ja. Maar ik
Giel Oerlemans:moet heel eerlijk zeggen, ik ga naar wat marketing termen erbij. Je het hebt over, nou ja, in het beginsel moeten de cyber hygiëne.
Renco Schoemaker:Ja, ik zat daar laatst nog over te mopperen in een training die ik gaf. Toen kwam het woord cyber hygiëne voorbij.
Giel Oerlemans:Ja, ik zou het ook nooit zelf, ik zeg het nu zelf, maar ik hoor het zelfs dat je denkt.
Renco Schoemaker:Is niet, nou ja, het is een woord wat je ook tegenkomt in de cyberbeveiligingse wet. Zwype hygiëne vanuit de NIS 2. Dat woord, ja het komt niet uit de lucht vallen. Ik hoop alleen dat het stille dood sterft. Ik vind het geen verrijking, maar ik snap wel wat ze ermee bedoelen.
Renco Schoemaker:Een soort basismaatregelen, maar die zitten dan niet natuurlijk niet alleen maar op de mens, maar ook in de techniek, in de organisatie, in het fysieke.
Giel Oerlemans:Ja, zeker. Dus dat is
Renco Schoemaker:een beetje verwarrend wat ze er precies mee bedoelen. Ik heb toevallig die, wat is dat, die algemene maatregel van bestuur er nog even op nageslagen, want daar wordt die dan, nee in de memorie van toelichting wordt dan uitgewerkt wat nou precies bedoeld wordt met dat woord cyber hygiëne, maar dat was brede definitie, daar ben ik nog niet heel vrolijk van. Daar heb je
Giel Oerlemans:eigenlijk nog niks aan. Nee, nee,
Renco Schoemaker:vond het geen verrijking, maar goed, dat even, ik sla je even aan op dat woord, Dat doet er verder niet toe. En deze diensten die je net beschrijft. Ik vind trouwens, jullie, ik zit naar je shirt te kijken, want je hebt een shirt aan met je eigen bedrijfsnaam erop. Ja. Dat vind ik ook terecht, want we nemen ook video op van deze podcast.
Renco Schoemaker:Dus iedereen die in deze podcast komt, zou dat moeten doen. Ik heb het alleen zelf ook niet meer, realiseer ik me dan.
Giel Oerlemans:Ik moet heel eerlijk bekennen dat ik vandaag ook naar de beurs ben geweest. Dus daar moest ik ook het merk uitdragen. Maar ik denk, hou het gewoon aan. Want het staat vast leuk en deels.
Renco Schoemaker:Als ik jouw compagnon bel, dan krijg ik niet stiekem te horen dat jij dit gewoon altijd aan hebt als een soort promotie.
Giel Oerlemans:Wel makkelijk om je des ochtends alleen maar gewoon hier in te huizen natuurlijk, ja. Nee, nee, hij moest hem echt speciaal uit de kast door trekken.
Renco Schoemaker:Nee, maar de naam Stack Secure. Stack is voor mij, roept wel, heeft een technische associatie. In de stack hebben we het wel eens over. Ik ben niet een techneut, dus ik ga niet pretenderen dat ik precies kan uitleggen wat er dan mee bedoeld wordt. Maar stack is voor mij een verzameling lagen technologie die je inzet variërend van nou ja onderaan zit dan ergens echt de hardware, het ijzer zullen we maar zeggen.
Renco Schoemaker:Ja. Je hebt een nou ja, tot en met de applicatie waarin je interactie hebt met de gebruiker en er zit dan nog van alles tussen. Ja. Dus ik ben gewoon even benieuwd
Giel Oerlemans:van waar die vandaan Ja, nou, ik moet, persoonlijk ken ik de stack als datastructuur vanuit softwareontwikkeling, want dat is in beginsel mijn achtergrond, maar daar slaat het niet op. Nee, wat wij er eigenlijk mee willen zeggen is dat informatiebeveiliging, beveiliging security, dat je eigenlijk altijd een gelaagde aanpak nodig hebt om echt veilig te worden. Dus in die zin echt letterlijk gewoon vertaald als een stapel. Dus je stapelt enerzijds, je begint met een stuk beleidsmatige, hoe zou je het moeten doen? Je hebt een hoop technologie die daarbij aan moet sluiten, die jou veilig moet houden, firewalls, endpoint detectie etcetera.
Giel Oerlemans:En daarnaast heb je ook een hoop organisatorische culturele zaken, maar ook de mens. En daar hebben we natuurlijk in het begin nu al over gehad, want wij proberen die mens ook mee te nemen en ja, bewust te maken, te trainen om juist te handelen sommige zaken wel te doen en andere zaken te laten.
Renco Schoemaker:Ja. Want net kwam al eventjes die term cyberbeveiligingswet voorbij. Ik heb me daar aardig in verdiept en daar zie je gewoon in staan dat die dat bestuur van de essentiële entiteit of belangrijke entiteit zoals het dan zo mooi heet. Dat bestuur krijgt allerlei verplichtingen. Nou dus dat bestuur is niet altijd qua kennis en ervaring daartoe in staat.
Renco Schoemaker:Dus dat bestuur moet zelf op training. Daarvan zou je nog kunnen zeggen die gaan misschien wel een trainingsdag volgen met een trainer. In de zin van in een klas met een trainer voor de klas. Maar er staat ook in die cyberbeveiligingswet dat die de bestuurder verantwoordelijk voor is dat alle medewerkers, de individuele medewerkers in de organisatie ook over voldoende kennis beschikken om bijvoorbeeld risico's te signaleren en om maatregelen te doorgronden, te begrijpen, toe te kunnen passen in hun eigen persoonlijke werk.
Giel Oerlemans:Ja.
Renco Schoemaker:Dat klinkt toch als, voor jou moet dat toch als muziek in de oren klinken.
Giel Oerlemans:Nou ja, dat doet het in die zin ook. Dit is eigenlijk precies wat je bijvoorbeeld in een ISO 27001 eigenlijk ook tegenkomt. 1 van de beheersmaatregelen of een van de gaan ook in op het trainen van mensen of bewust maken van medewerkers. Dus in die zin ja. Ergens denken wij er zijn ook een hoop risico's op informatiebeveiliging die je ook gewoon niet kunt oplossen met technische maatregelen.
Giel Oerlemans:Dus die mens is zou eigenlijk sowieso wel erbij moeten horen. En heel veel dingen zijn common sense, maar toch gebeurt het niet.
Renco Schoemaker:Kan je eens een voorbeeld geven van iets wat je niet met een technische maatregel kan wegnemen?
Giel Oerlemans:Nou, ik denk dat een wezenlijk risico op datalek ontstaat dat mensen, hè, wat er gebeurt bij een bij en rondom een printer. Dus mensen die printen wat uit en die laten het liggen of ze hebben iets uitgeprint en zijn er klaar mee. Ze gooien het in de afvalbak en dat komt ergens op straat in een openbare container terecht. Even misschien een simplistisch voorbeeld, maar daar heb je ook mee te maken. Moet je mensen ook zeggen waarom ze die schredder moeten gebruiken.
Renco Schoemaker:Ja, dan kun je nog mooie dingen inregelen met een toegangspas waarmee je je authentiseert op de printer. Dat is allemaal prachtig. Maar uiteindelijk komt dat printje eruit en daar stopt eigenlijk de invloedsfeer van die technische maatregel dan. Precies. Ja,
Giel Oerlemans:ja. Nee, dus je kunt heel veel dingen doen om ook van alles scenario's af te vangen. Maar ja, uiteindelijk komt daar ook een een en ander achteraan. En wat je zegt, de toegangspas, ja, dat is ook allemaal leuk, maar wij doen bijvoorbeeld ook mystery guests bij organisaties. Leuk, ja.
Giel Oerlemans:Wat je toch ook heel vaak ziet is dat mensen heel erg bereid zijn om de deur voor je open te houden. Dus ook op dat gebied zeg maar van moet je mensen eigenlijk iets meegeven van dit zijn echt wezenlijke manieren waarop mensen gewoon jouw organisatie kunnen compromitteren. En ja, ik moet eerst organisaties nog tegenkomen waarbij dat niet gebeurt, zeg maar. Dat mensen of de deur openhouden of je kunt er achteraan lopen of niemand zegt er iets van. Er loopt iemand zonder pas ergens rond te dolen.
Giel Oerlemans:Zijn ook belangrijke zaken. Als het over informatiebeveiliging is, je hebt natuurlijk een stuk digitaal is dan misschien wat andere koek. Maar als je het in breed perspectief bekijkt.
Renco Schoemaker:Ja, informatiebeveiliging omvat mijns inziens ook die geprinte informatie. Dus die hoort er ook dan bij.
Giel Oerlemans:Maar ja, en daar komt dan een beetje de term cyber sowieso een beetje dwars tussendoor. Want dat neigt wat mij betreft altijd al heel erg naar het technische domein en alles wat je op je computer of op je smartphone of op je tablet zit te doen. En ja, het is ook nog heel die informatie die slingert ook gewoon op bureaus. Dus ja, eigenlijk alles waar wij ooit binnenkomen om een inventarisatie te doen, ja, dan kijk je toch even van wat ligt er her en der verspreid.
Renco Schoemaker:Vroesteformatie. Dat kan ik toch zien.
Giel Oerlemans:Ja, nou, dat zijn ook gewoon dingen die je rapporteert natuurlijk van
Renco Schoemaker:Ja, zeker als je natuurlijk een mystery guest of iets doet. Ja, ook. Dat zeg ik natuurlijk helemaal.
Giel Oerlemans:Kijk gewoon hoe ver kun je komen, maar ook wat kan ik al überhaupt vinden. En je hebt ook organisaties die hebben gewoon publieke ruimte, wat daar slingert is natuurlijk helemaal.
Renco Schoemaker:En dan even een kritische vraag vanuit mijn eigen ervaringen. Voor veel mensen die zien dat volgen van zo'n e-learning echt als een moetje. Ja. Is dat ook, ik zit in overheidsland. Tijdens ons voorgesprek gaf je al aan van nou wij verkopen onze producten en diensten aan zowel aan de publieke sector maar ook aan commerciële sector.
Renco Schoemaker:Dus je hebt een veel gevarieerdere klantengroep dan de organisaties waar ik voor werk. Maar ik heb wel ervaring dat veel mensen zeggen ja, ik moet dat doen, maar ja.
Giel Oerlemans:Nou ja, dat is wisselend natuurlijk van wij zien dat ook wel. Bij de ene klant landt het supergoed en de andere enthousiast. We maken ook stukken. We hebben natuurlijk elementen van gamification, een leaderboard. We zien klanten die daar ook vanuit die gaan dat organiseren en die zetten daar een prijsje tegenover.
Giel Oerlemans:Dus er is echt iets om voor te strijden. Hebt er ook die zeggen ja, ik wil mensen niet, het is allemaal vrijwillig en dan wordt het allemaal wel wat lastiger.
Renco Schoemaker:Dan zullen de deelname percentages ook lager zijn.
Giel Oerlemans:Die zijn dan, ja tuurlijk, die zijn dan over het algemeen lager. We proberen het in die zin leuk en begrijpelijk te brengen. Ik denk dat het ook een hele grote drempel vaak is van het is allemaal te moeilijk, ik snap er toch niks van.
Renco Schoemaker:Ja, te veel vaktaal of
Giel Oerlemans:zo ook. Maar ik denk dat we richten ons wel echt gewoon op de gemiddelde medewerkers. Dus niet dat wij voor techneuten specifieke training maken. Die zullen misschien eerder denken van goh, we hebben wel erg eenvoudig. Ja, dat is gewoon zo.
Giel Oerlemans:Hoewel daar toch ook altijd weer aspecten zijn die je dan toch niet kennen. Dus dat is denk ik een factor. Ja, en daarbij denk dat het ook heel belangrijk is voor mensen om te beseffen dat ze er ook in privé gewoon heel veel aan hebben. Want wat wij in die video's wel ook meenemen is van nou ja, we noemen bijvoorbeeld WhatsApp-fraude net eventjes. Je hebt daar ook gewoon heel veel scenario's die gewoon in de huiselijke sfeer plaatsvinden.
Giel Oerlemans:Pap, ik ben mijn telefoon kwijt. Kun je me even, kun je me eventjes wat geld overmaken nadat jij gebeld bent door dat nummer met de stem van je dochter of je zoon. Superleuk. Heeft jouw
Renco Schoemaker:werk te maken natuurlijk, maar
Giel Oerlemans:Nee, heeft niks met je werk te maken, maar ja, je hebt last van een phishing e-mail waar natuurlijk bedrijven veel last van hebben. Ja, daar hebben mensen in de privésfeer net zo goed mee te maken. En sms'jes en weet ik veel wat, waardoor ze gewoon direct financiële schade lijden. Op een later moment te maken kunnen krijgen met identiteitsfraude, al hun accounts kwijt zijn, hun social profielen. Heel naar zijn
Renco Schoemaker:om dat allemaal mee te maken.
Giel Oerlemans:Ja, ik moet zeggen, je krijgt af en toe wel eens een telefoontje uit, gewoon in je privé kring van iemand die zegt van ja, ik kan niet meer in mijn LinkedIn en mijn Facebook staat ineens een rare foto en wat moet ik nu doen? Weet je, dat ja, nou, dan komen ze toevallig omdat ze weten wat je doet, komen ze vrij uit. Maar super vervelend, maar uiteindelijk al die lessen die we in die training stoppen en over het algemeen gewoon is natuurlijk ook de boodschap van nou ja, je mag best wel een beetje argwaan hebben bij heel veel dingen. En als het te boy is om waar te zijn, dan is het dat ook, dat standaard waar je mee begint. Ja, dat is zowel in je professionele leven als privé heel erg van toepassing.
Renco Schoemaker:Dus een deel van die adoptie zeg maar of de bereidwilligheid moet ik meer zeggen om hier tijd en energie in te steken. Verder gaan dan alleen maar dat het moet van je leidinggevende kan dus gelegen zitten in hey ik doe daar ook echt iets. Ik doe daar kennis op die ik niet alleen maar binnen mijn werk kan gebruiken. Dan zou je nog van kunnen zeggen ja dat moet ik inderdaad doen. Maar in je privé sfeer denk je in 1 keer van hé dit hier heb ik zelf wat aan.
Renco Schoemaker:Dus dan is het minder bezwaarlijk om daar tijd en energie in te steken denk ik.
Giel Oerlemans:Ik denk dat ja, dat is een deel van de boot zo. En uiteindelijk kijk wij hebben contactpersoon binnen zo'n organisatie die wil die adoptie omhoog. Want die wil zijn training goed bekeken hebben. En kijk als je het verplicht dan zie je, dan gaat dat over het algemeen heel erg goed. En daar zit natuurlijk ook een heel veel, heel deel van het platform op ingericht dat je precies kan meten wie wat wel en niet gedaan heeft en hoe goed.
Giel Oerlemans:En dan kan
Renco Schoemaker:je bijvoorbeeld ook terug rapporteren naar een leidinggevende.
Giel Oerlemans:Ja, we proberen daar ook de, want vaak hebben wij natuurlijk CISO's als primaire contactpersoon bij een klant. CISO IT managers vaak soms ook wel heel af en toe gaat het over HR die de trainingen, voor de voortgang van trainingen. Maar ja, die heeft ook geen zin, zeker voor grotere organisaties, om ieder individu achter zijn broek aan te zitten. Dus we hebben dat wel ingericht als zijnde dat je de hiërarchische structuur erin kan stoppen dat zeg maar de afdelingsmanagers noemen wij ze dan in principe verantwoordelijk zijn voor de prestatie van hun team en kunnen zien van hé Jantje heeft de trainingen niet gedaan en hij gaat hem.
Renco Schoemaker:Gaat natuurlijk ook veel effectiever zijn dan wanneer die Ciso met een zweepje op dat pand gaat bij wijze van spreken.
Giel Oerlemans:Ja, precies. Maar goed, dat vereist wel dat je in je organisatie ook natuurlijk wel wat doet dat het echt een onderdeel is van de beoordelingscyclus bijvoorbeeld. Of dat je gewoon in ieder geval bij bent. En dat mensen, ik ben altijd voorzichtig met de term afgerekend worden op. Maar je moet het serieus nemen.
Giel Oerlemans:Die afdelingsmeting moet ook dat zien gewoon als een metric van hé, mijn afdeling presteert goed of niet goed.
Renco Schoemaker:En geven jullie daar dan ook adviezen over of zo? Als je een nieuwe klant aansluit of misschien een tijdje als klant hebt dat je zegt nou dit zijn wel een aantal randvoorwaarden. Wil je eruit halen wat erin zit? Dan moet je meer doen dan alleen maar zeg maar ons platform aansluiten. Wat natuurlijk de belangrijkste stap is die je moet nemen.
Renco Schoemaker:Uiteraard. Maar je moet meer doen eigenlijk om echt je doelen goed te bereiken. Zul je meer moeten doen dan alleen maar de e-learning aanbieden. Dat gaat over dat voorbeeldgedrag en over het integreren van de deelname. Nou bijvoorbeeld in zo'n voortgangsgesprek.
Renco Schoemaker:Zeg je daar ook iets over?
Giel Oerlemans:Zeker. Ja kijk dat is uiteindelijk we hebben natuurlijk wat je al zei we hebben een breed palet aan klanten. Dus bij de ene zit er een heel team wat hiermee aan de gang gaat en de andere is er eigenlijk niemand voor. En is het een soort hete aardappel die doorgegeven wordt in de organisatie. Wij bieden daar altijd aan.
Giel Oerlemans:We denken over het algemeen vanaf het beginsel altijd wel heel erg mee met klanten. In het begin met een onboarding. Kijk, je kunt heel snel aan de slag, maar we willen altijd even goed toelichten hoe het werkt. Wat wij ook heel belangrijk vinden eigenlijk als platform is dat je, wij hebben natuurlijk standaard onderwerp, standaard content, we hebben het over wachtwoorden. Nou ergens komt pas ergens over wachtwoordmanagers.
Giel Oerlemans:Ja, wat je dan eigenlijk, wat wij adviseren aan als klant is dan zet daar nou bij welke wachtwoordmanager jullie dan gebruiken en waar je terecht kan als je het niet snapt of iets dergelijks. Je kunt bij iedere module kun je je eigen notities toevoegen of je eigen materiaal toevoegen, zodat je het ook echt eigen kan maken. Als je het over AVG hebt, zet dan neer wie de contactpersoon is en wie is de FG bij
Renco Schoemaker:de website,
Giel Oerlemans:wie moet je melden?
Renco Schoemaker:Een soort mix tussen gestandaardiseerde content die toch een beetje een specifiek sausje krijgt en die herkenbaarder wordt voor
Giel Oerlemans:de individuele medewerker. Dus wat we daar ook en een stap verder. Je kunt je eigen content aan toevoegen. Wij gebruiken, wij zijn zelf ISO 27001 gecertificeerd. Wat wij bijvoorbeeld Ja, heel wat bloedveteranen gekocht.
Giel Oerlemans:Nee, mag best eventjes even bij stilstaan. Ja, nee, nee, maar wat wij, wij gebruiken ons eigen platform dus om aan te tonen. Onze medewerkers zijn getraind. Meer dus onszelf zeggen dan, we hebben zelf die menu's opgenomen, dus ja. Je kan ervan dromen.
Giel Oerlemans:Ja, ja, sommige wel ja. Sommige stukjes. Autocue dingen op te lezen.
Renco Schoemaker:Dat zie
Giel Oerlemans:je op tv zie je dat mensen gewoon een uur aan een stuk goed doen. Ik denk nou chapeau, dat
Renco Schoemaker:is echt een vak. Echt een vak. Echt respect.
Giel Oerlemans:Dus dat is wel een leercurve geweest. En uiteindelijk hebben we ook gewoon een goede editor zitten die daar iets moois van kan maken. En ik denk dat het goed op staat. Maar dat terzijde. Dus als medewerkers voor die training, op die onderwerpen.
Giel Oerlemans:Maar wat we bijvoorbeeld ook doen is dat wij onze beleidsstukken ook vertalen naar een beetje wat is nou voor die gebruiker of die gebruiker vind ik een vervelend woord. Wat is voor die medewerker nou relevant? Die punten die vatten wij eigenlijk samen in een eigen soort wat we maken, gewoon een custom module. Dat doen dan, dat doen wij zelf dan in tekstformaat, maar je kunt ook een videootje erover opnemen bijvoorbeeld. Die zetten we er ook in als zijnde custom module in onze eigen training omgeving.
Giel Oerlemans:En daar die voegen we eigenlijk toe aan dat leerprogramma voor onze eigen medewerkers. Dus als die auditor komt kijken van en dat beleid, weet je, is dat ook, hebben mensen dat gelezen, weten ze waar het staat, nou dan zie je daar gewoon, iedere medewerker heeft gewoon een vinkje, heeft het gewoon gesnapt, kan nog eventueel een vraag over beantwoorden.
Renco Schoemaker:Ja, dan helpt het je ook in die aantoonbaarheid, want dat is natuurlijk als ik zie, als het gaat om die e-learning platformen dat medewerkers moeten ook vaak laten zien, al dan niet aan hun leidinggevende afhankelijk van hoever je dat ingericht hebt. Ofwel een auditor die opzet bestaande werking komt toetsen en die zegt, hoe zit het eigenlijk met jouw bewustwording? Kun je mij eens aantonen Als je bijvoorbeeld ISO 27001 gecertificeerd bent, maar het kan ook vanuit een andere invalshoek komen, dan is het natuurlijk wel lekker dat je gewoon een sluitende registratie hebt waar je niet alleen maar kan laten zien van, ja mensen hebben de e-learning gevolgd, maar als je dan meteen ook afcheckt, dat punt van hey is er een informatiebeveiligingsbeleid ja oké hier is hij maar ook is hij uitgedragen in de organisatie ja we hebben hem geplugd in onze in onze e-learning.
Giel Oerlemans:Iedereen heeft hem bekeken iedereen heeft bevestigd dat ze ze snappen wat daar staat.
Renco Schoemaker:Al doe je nog met een paar vragen wat je net al zei. Dat je er nog een vraag over stelt.
Giel Oerlemans:Dat kan. Kun je natuurlijk vermaken wat jij nodig 8.
Renco Schoemaker:Dat is natuurlijk mooi van
Giel Oerlemans:de ISO dat je gewoon alles kan doen wat jij nodig 8. Maar het is ook wat je ook vaak ziet is van nou de auditor komt langs. Moeten we hier, wie moet er op kantoor zijn? Nou, want we krijgen dan wel eens een vraag natuurlijk van goh, waar staat dat dan? Nou ja, dat is ook makkelijker dat het die centrale plek is waar dan iemand zegt, oké, als ik iets moet weten van waar staat ons beleid, dan open ik die e-learning, ga ik naar die beleidsmodule en dan kun je daar altijd doorlinken naar het daadwerkelijke bestand
Renco Schoemaker:waar in
Giel Oerlemans:de regel niemand leest natuurlijk.
Renco Schoemaker:Ja, maar 1 plek, 1 plek met deuren zullen we zeggen naar de juiste plek binnen organisatie. En maar Giel, dan toch nog even bruggetje slaan naar een andere dienst die jullie bieden. Dus phishing simulaties. Ja. Ik denk dat het aanbieden van een platform waarin je customized, als je dat zou willen content aanbiedt om bewustwording te creëren, bewustzijn te verhogen bij gebruikers.
Renco Schoemaker:Ja, dat daar zal vraag naar zijn en ik denk dat dat met de komst van de cyberbeveiligingswet alleen maar meer wordt. Ik denk ook weinig mensen betwijfelen dat je daar wat aan hebt. Maar er zijn wel mensen die betwijfelen of je wel wat aan een phishing simulatie hebt. Ja Ik kom dat tegen in mijn werk. Dat mensen zeggen ja, die phishing simulaties, wat ben nou eigenlijk aan het meten daar dan?
Renco Schoemaker:Dus ja, ik voel me toch verplicht jou daar ook nog eens even over aan de tand te voelen. Want hoe zie jij dat? Je hebt dat argument misschien ook wel gehoord.
Giel Oerlemans:Ik zie dat er regelmatig langskomen. Dan lees ik ook meteen, vaak lees ik het. En dan lees ik ook vaak meteen dat ik er niks over hoef te zeggen, omdat wij die dingen verkopen. En dat is meteen de einde argument. Nee, nou nee, lees ook En vrij recent was er ook een redelijk serieuze studie daar gedaan bij, ik geloof dat dit in Amerika was, weet niet precies, bij een vrij grote organisatie waarin dan de conclusie inderdaad was dat het effect van die training of vooral de training na een phishing simulatie die ze dan deden, dat dat heel beperkt was.
Giel Oerlemans:Dus ik heb dat gelezen, van oké, onderzoek getoond, dat lijkt allemaal te kloppen. En bij die organisatie was het geloof ik ergens conclusie dat het 2 procent verschil maakte en dat ze eigenlijk weinig effect zagen. Dus nou, er zijn organisaties waar het schijnbaar weinig effect heeft. Wat wij zelf gewoon zien is, tuurlijk, zit echt wel heel veel variatie in. Er zit heel veel variatie in het thema wat je gebruikt en de boodschap en het scenario.
Giel Oerlemans:Er zit heel veel variatie tussen organisaties. Wij zien echt heel veel organisaties waarbij je gewoon wel degelijk ziet dat de ratio van hoeveel mensen openen die mail en hoeveel daarvan klikken op de link en hoeveel daarvan vullen ook daadwerkelijk gegevens in over de tijd omlaag gaat. Er is in 2022 geloof ik een onderzoekje gedaan binnen MKB Nederland. Ik moet eerlijk zeggen dat ik zo'n euro kwijt ben wie dat precies uitgevoerd heeft, maar daar was de conclusie wel van nou ja, zit wel degelijk een effect, maar dat ebt ook weg. Dus wat wij daarin ook altijd adviseren is van nou ja, je moet ook gewoon 3 of 4 keer per jaar dat moment dat top of mind maken eigenlijk van hé dit soort dreiging bestaat door mensen te confronteren met een phishingmail.
Giel Oerlemans:Zo kan het eruit zien.
Renco Schoemaker:Maar maar hoe zit het, een van de bezwaren die aangedragen wordt is die onderlinge vergelijkbaarheid. Dus als je zegt, nou de click rate was eerste a en die is nu b, die is nu lager. Ja. Ja. Dan wil je natuurlijk eigenlijk zoveel mogelijk, net als in een professioneel experiment wil je eigenlijk zoveel mogelijk parameters wil je controleren wat me knap lastig lijkt in deze situatie.
Renco Schoemaker:En eigenlijk alleen vaststellen of de e-learning positief heeft bijgedragen aan het verlagen van die click rate. Nou dat is natuurlijk volgens mij een onmogelijke opgave omdat er allerlei andere ontwikkelingen zijn waar jij niet aan de knoppen zit, maar die wel invloed kunnen hebben op die click rate. Dat zou kunnen. En daarnaast, ja, ik veronderstel even dat als je 3 tot 4 keer per jaar een phishingmail stuurt, dat je niet 3 keer tot 4 keer per jaar exact dezelfde phishingmail stuurt. Dus je zult ook in wat je stuurt, misschien in, dat weet ik niet hoor, is ook meteen een vraag dus, in hoe goed je hem maakt, daar zou je misschien wel wat in experimenteren.
Renco Schoemaker:En dan, ja, wat als je dan zegt ja het is minder, dan kan je iemand die dus anti-phishing simuleert, die zegt ja, maar ja, dit keer had je gewoon een makkelijke.
Giel Oerlemans:Ja, nee, ja, ik denk dat je af moet van het idee dat je een soort van objectieve waarheid meet van nu is het a, nu is het precies exact 10 procent kans dat iemand iets invult en dat is vorige keer was het 8 procent. Natuurlijk, dat hangt van heel veel parameters af. En is dat ook je doel om dan per se je effectiviteit e-learning aan te tonen? Ik denk zelf dat het doen van de simulaties, het geconfronteerd worden met het feit dat het bestaat en hoe het eruit ziet, dat dat an sich al heel veel bijdraagt bij het stuk bewustwording van mensen. Dus in die zin in dat experiment wat ze deden.
Giel Oerlemans:De controlegroep had ook phishingmails gekregen. Alleen die kregen dan niet de bevestiging dit was een phishingmail, maar die zijn er wel mee geconfronteerd en die deden het dus bijna net zo goed als de rest. Je kunt je afvragen, is niet ook de component dat mensen worden blootgesteld aan dit en ze herkennen het wel en ze doen er niks mee. Ze herkennen het wel en ze melden. Dat overigens ook iets is wat we, kom ik direct wel op terug, dat zien we omhoog gaan hoeveel mensen dat doen.
Giel Oerlemans:Of ik trap er gewoon in om het maar even enigszins negatief te stellen. Kijk, uiteindelijk iedereen trapt erin. Ik zou er zelf ook in kunnen trappen. Volgens mij is een half jaartje geleden de oprichter van Hefer, Bin Powned, Troy Hunt zelf ook in phishing getrapt. Nou ja,
Renco Schoemaker:die
Giel Oerlemans:wordt dan verondersteld. Security professional zijn, die herkent ook niet. En volgens mij is dat prima. Alleen het feit dat je eraan wordt bloot gesteld, dat je het ziet, want het heel deel van het argument is ja, je moet technisch zorgen dat die mail niet aankomt. En dat is correct, Dus je probeert het omlaag te krijgen, maar je kunt niet 100 procent van alle kwaadaardige mail blokkeren, want dat betekent dat je ook mail gaat blokkeren die niet kwaadaardig is.
Giel Oerlemans:Dan krijg je mensen aan je bureau staan als IT'er.
Renco Schoemaker:Ja, maar dat is eigenlijk ook weer terug bij jouw stack, zeg maar, waarbij je een aantal lagen hebt.
Giel Oerlemans:Dat is het deel wat ik niet snap aan de argumentatie. Van of het nou exact een percentage is, je gaat, wij zien echt wel heel veel organisaties die gewoon beginnen met, soms wordt er gewoon 20 procent van mensen vult gewoon hun wachtwoord in. En dat zie je gaandeweg als je dat dus periodiek doet. Dat wijst dat ene onderzoek je ook uit. Ik moet zeggen ene schema.
Giel Oerlemans:Als je dat periodiek doet, blijft dat top van mind. En je ziet dat percentage af. We hebben echt wel klanten die, ik geef 0, daar komt het nooit op uit. We hebben wel eens klanten die waarbij niks gebeurt, maar over het algemeen zit dat, zul je zeggen van als je op 1, 2, 3 procent van je populatie uitkomt, betekent dus dat de kans dat als er ergens ooit een mailtje doorglipt, die kans die probeer je te minimaliseren met je technische maatregelen, met je spamfilter. Nou, dan stel je hebt 100 mails, dan komt er ergens 1.
Giel Oerlemans:Die komt bij 1 persoon terecht. De kans dat die persoon dan in principe dan vatbaar daarvoor is, is in mijn optiek dan een stuk lager. Die is 5 procent, geen 20. En in die simulaties sturen wij natuurlijk over het algemeen iedereen een mail. Dus dan krijg je natuurlijk, betekent dat heel veel mensen erin trappen.
Giel Oerlemans:Er gaat altijd iemand klikken, dat klopt. Alleen je moet, ja, in een reëel scenario is het niet zo dat iedereen die mail krijgt. Dan worden een paar mensen misschien gespeerfisht. Misschien denkt het spim filter de eerste 5 mails gaan er doorheen en dan denkt hij, hé, er zijn er toch wel heel veel.
Renco Schoemaker:Als je
Giel Oerlemans:gaat blokkeren. Nou, dan kun je er natuurlijk monitoring en alerting hebben wat je wil, maar ik denk jij weet uit de praktijk waarschijnlijk ook, daar wordt ook niet altijd adequaat op gehandeld. Dus het wordt ook niet meteen teruggetrokken. Dus je bent heel erg afhankelijk dan van dat net diegene die hem wel krijgen dan toevallig het top of mind hebben om het niet te trappen. Het herkennen en het melden, waardoor je het alsnog terug kan trekken.
Giel Oerlemans:Ja, er zouden maar net wel een intrappen. Je kunt het nooit waterdicht maken. Dat is denk ik ook de bodem. Je kunt het technisch niet waterdicht maken en je kunt de mens niet 100 procent ervan weerhouden om op, nou ja, ze zeggen vaak op links klikken, maar ik denk dan het linkje klikken is dan stap 1. Maar het gaat er vooral om dat ze dan niet, dan hebben ze nog een moment waarop ze kunnen terug trekken en denken van hé, klopt niet helemaal of dit moet ik niet doen, want ik heb in de training geleerd van ik moet niet navigeren naar een platform via een linkje in de mail.
Giel Oerlemans:Ik ga gewoon zelf naar de platform en log in. Maar je kunt gewoon als standaard werkwijze ook aan. Dus in die zin denk ik van die gelaagdheid draagt gewoon bij dat de overal kans dat het misgaat gewoon kleiner wordt.
Renco Schoemaker:Ja, dus je moet misschien qua exactheid en van die cijfers en die percentages moet je misschien wat bescheiden zijn. De zin van in hoeverre inderdaad kun je dat 1 op 1 naast elkaar zetten. Maar jij zegt, zoom nou even wat uit. Je bereikt wel degelijk wat met die testen. Overigens, ik ben heel, ik ben dat met je eens hoor.
Renco Schoemaker:Maar ik merk, ik stel jou deze vraag omdat ik zelf merk dat als ik dit argument dus tegen krijg, dat ik toch een beetje zit te stamelen van ja, zo'n goede respons hebt. Terwijl ja, hebt het ook niet in 2 zinnen gedaan. Maar dat hoeft ook niet hoor, maar je hebt toch wel redelijk scherp uitgelegd waarom het toch zinvol is en dat je inderdaad dat degene die tegen is wel een punt heeft, maar dat dat niet maakt dat je maar
Giel Oerlemans:niet stoppen. Uiteindelijk lees ik die irritaties best vaak en dan denk wat ik dan vind van die percentages en dat het nooit naar 0 is, ook dat moet je gewoon accepteren.
Renco Schoemaker:Kijk,
Giel Oerlemans:dat je zegt van ik vind het ethisch niet te doen. Ja, dat is uiteindelijk gewoon, dan kun je een mening over verschillen. En wij zien.
Renco Schoemaker:Maar er ligt ook aan wie follow-up is natuurlijk. Nou, dat denk
Giel Oerlemans:ik ook. Ik denk ook vaak wordt er heel vaak aangehaald slechte simulaties die gaan over dingen die niemand kan weten. Kijk, dat is ook precies wij, we doen bij de klanten kunnen ze bij ons zelf aan de gang. Maar wat we eigenlijk het liefst aanbieden en denken van dan doe je het eigenlijk, is dat wij zelf echt helemaal beheerd, managed, noem het dan maar, een phishing simulatie doen. Want wij doen die dingen 100 keren per jaar.
Giel Oerlemans:En wij zien bij heel veel organisaties, ja, nou ja, ik zal zeggen wat werkt, wat niet. Het is altijd een beetje dubbel, want je zei al, je doet, wij doen het goed als het dan, als mensen erin trappen, zeg maar, voor het bewijs van. En je organisatie doet het goed als er niemand erin trapt. Dus eigenlijk is de uitkomst nooit goed. Of altijd goed.
Giel Oerlemans:Nou ja, dat is maar net hoe je het uitgeleend bent. Maar ja, we doen dat heel vaak, dus je weet ook wel van oké, bepaalde thema's en scenario's, dat werkt wel. Wij hebben ook heel vaak dan, we doen al een intake met een klant en dat varieert ieder mens is verschillend. Maar je hebt het al best wel vaak die denken van ja, maar volgende week gaan we dit aankondigen op mijn zus en zo. En dan is handig.
Giel Oerlemans:Ja, stop. Dat is iets wat een buitenstaander, een hacker en zeker niet iemand die aan het sprayen is met van ik probeer maar te raken kan weten.
Renco Schoemaker:Daar stuur je wel op bij dan, want anders wordt het eigenlijk te Ja, natuurlijk.
Giel Oerlemans:En dat je niet moet beginnen over een salarisverhoging of een bonus of wat dan ook.
Renco Schoemaker:Ja, totdat die aanvallers dat toch ook gaan doen.
Giel Oerlemans:Ja, nee, dus kijk, het ethische aspect wat mij betreft dan beperkt tot van oké, je moet, je weet wel waar mensen dan op aangaan en wat je dan misschien toch moet laten, maar dat kun je ook natuurlijk met een klant spiegelen. Je hebt heel vaak hele verschillende reacties in organisaties. We doen regelmatig scenario's vanuit een HR-afdeling. Ja, bij de ene zeg ik van nou goed, spiegel je voor. Wat kan er gaan gebeuren is dat mensen naar die HR afdeling gaan van hoog poten.
Giel Oerlemans:Ga je die mensen van tevoren inlichten, we gaan dit namens jullie doen of niet? En de ene zegt nou dat kunnen we niet doen zonder dat we ze inlichten. En de andere zegt nou laat maar gebeuren. We willen het wel zien.
Renco Schoemaker:Er zijn geen lopende antwoorden op.
Giel Oerlemans:We laten dan in die zin die inschatting heel vaak wel bij een klant van jij weet beter hoe jullie mensen hier ergens dan, hoe daarmee omgaan. Wat we bijvoorbeeld ook heel veel zien en dat is een beetje flauw. We doen simulatie en dan adviseren we over het algemeen van stuur iedereen op hetzelfde moment diezelfde mail. Vaak komt het binnen, handelen ze. Er zit een mate van urgentie heel vaak in.
Giel Oerlemans:Ze gaan snel aan de gang of ze komen straks binnen. Ze klikken even die mailtje door en hup. Want wat krijg je anders? Dan gaat het natuurlijk als een lopend vuurtje en dan gaan mensen. Wil je.
Renco Schoemaker:En dan is het naar elkaar eigenlijk.
Giel Oerlemans:Je wil eigenlijk iedere collega de kans geven om erin te trappen of in ieder geval om het zelf te ervaren, om zelf getraind of bewust worden.
Renco Schoemaker:Dus ook het goede gedrag te laten zien. Dat is toch een wat beter of misschien een positieve frame in ieder geval.
Giel Oerlemans:Ja, nee, precies. Maakt niet uit wat ze doen, maar je wil uiteindelijk dat ze bloot worden gesteld aan het scenario en dan daarop handelen. En niet dat ze van een collega, hé, dat is een test gaande van je moet goed scoren. Want uiteindelijk daar begint het natuurlijk mee dat ook heel vaak wordt een soort van je wordt afgerekend op. Nee, als iemand erin trapt, dan maakt niet uit.
Giel Oerlemans:Dat kan iedereen gebeuren. Kijk, je wil collectief dat die kans omlaag gaat. Dus je wil steeds minder mensen die er intrappen. Je gaat nooit op 0 komen, zeker met grote aantallen mensen. Er gaan altijd mensen voor vervallen, want daar betekent het toch.
Renco Schoemaker:Er zit ook verloop in. Er zijn grote organisaties natuurlijk. Ja, bij kleine ook, maar
Giel Oerlemans:ook dat. Maar ook mensen die er, want dat liet dat onderzoek ook goed zien. Er zijn mensen die hebben het 7 keer goed gedaan en de 8 keer ging het fout. Ja, die hebben de koffie niet op, die hebben problemen thuis, die zijn gehaast. Er kan van alles zijn wat van invloed is, waardoor jij toch ontvankelijk bent daarvoor.
Giel Oerlemans:Dus als collectief moet die kans natuurlijk wel gewoon omlaag. Maar welk individu dat dan doet. Ik had laatst een discussie op LinkedIn erover. Ik zeg van ja, eigenlijk dit argument snap ik niet zo goed, want ik kom heel weinig organisaties steken. Doe ik wel eens een praatje zeg maar achteraf en hebben we een simulatie gedaan.
Giel Oerlemans:Ja. En dan gaan we gewoon presenteren wat we hebben gedaan, wat de uitslag was. En nou, dan zijn er best mensen die zeggen, ja, ik ben er helemaal in gestoken, weet je. Die vinden dat helemaal niet erg. Terwijl je Is
Renco Schoemaker:het ook niet erg om toe te geven om daar nog wat over te vertellen?
Giel Oerlemans:Totaal niet. En nou ja, wat je niet wil is dat er echt een heel lacherige sfeer over ontstaat. Want het is wel degelijk ernstig natuurlijk. Maar best mensen die er gewoon toedoedig worden gegeven. En je hebt ook organisaties waarbij ze heel, ja, en wat je in die agnantatie vaak krijgt, heel krampachtig van mensen krijgen de zwarte piet en die voelen zich neergekeken en die worden afgerekend.
Giel Oerlemans:Ja, tuurlijk, dat soort advies geven we ook wel mee van oké, er komt een uitslag. Hoe ga je daar dan mee om? En als ik tegenover iemand zit, wie moet ik een schop geven, want wie heeft er weer ingetrapt, dan probeer je daar ook wel iets van mee te geven van nou ja, misschien niet de beste methode. Welk doel wil je bereiken? Wil je dat mensen hier beter, daar beter in worden, bewuster zijn en uiteindelijk dat het dit niet gaat leiden tot een aanval?
Giel Oerlemans:Of wil je inderdaad, ja, ik weet niet wat je dan wil bereiken, maar dat werkt niet. Dat is ook wel aangetoond dat het niet werkt om mensen af te rekenen, want dan worden ze bang. Dan gaan ze wel waarschuwen. En het gaat er juist om dat ze gewoon op het moment dat het ertoe doet, dat ze dan scherp zijn.
Renco Schoemaker:Beter hoe handelen en het natuurlijk signaleren. Maar dus eigenlijk ik hoor jou zeggen, Giel, inderdaad, die degenen die kritisch zijn op phishing simulaties, die hebben een aantal goede punten, maar dat zijn punten waar je ook tegemoet aan kan komen, waar nog verstandige dingen over te zeggen zijn, keuzes in te maken zijn. Daarmee hoeven we niet het hele instrumenten overboord
Giel Oerlemans:te gooien. Dat denk ik wel en ik denk uiteindelijk van ja, er zit natuurlijk altijd heel veel kwaliteitsverschil in. En daarom zeggen wij van ja, als je dat zelf gaat doen en je doet dat dan 1 keer per jaar, dat is hartstikke leuk, want ja, tuurlijk.
Renco Schoemaker:Maar dan ga je ook eerder off the rails natuurlijk.
Giel Oerlemans:Dan heb je ook de kans dat je iets nastreeft wat je niet zou willen of moeten willen. Je denkt van ik ga zo doortrap maken dat iedereen erin stinkt. Ja, dat is helemaal niet het doel. Je wilt bewustwording creëren. Je wilt ook in een bepaalde mate meten waar de organisatie staat.
Giel Oerlemans:Maar ja, daarom denk ik van laat dat vooral aan professionals over. En dan denk ik misschien dat degenen die daar heel veel commentaar op hebben ook maar eens moeten kijken van oké, hoe kan het dan ook? Want ja, je hebt heel vaak hoor je dingen van ja, dat zijn alle fouten die je bij wijze van kan maken. Als je iets heel slecht doet, ja, dan zou ik ook zeggen doe het maar niet meer. Ja,
Renco Schoemaker:maar het is natuurlijk een beetje flauw om te veronderstellen dat alle phishing simulaties dan van dat erbarmelijke niveau zijn. Dat is natuurlijk niet waar. Ja. Er zijn mensen zoals jij die dat vaak doen en die weten waar, hoe je die kan tweaken en
Giel Oerlemans:Ik zag recent eentje, dat was van, ja, we hadden des ochtends een stand-up gehad en toen heb ik om 10 uur heb ik een mailtje uit gestuurd of iedereen dan eventjes als resultaat van die standup pluppelen. Ja, dat mensen daar in trappen. Dat zou ik ook, daar heb je helemaal niks aan.
Renco Schoemaker:Ik zou dan ook echt aftaaien, weet je wel. Ook
Giel Oerlemans:als gewoon
Renco Schoemaker:als gebruiker. Dan denk ik ja, tuurlijk. Als dit het spelletje wordt, dan doe ik niet meer mee. Dat kan misschien niet helemaal, want ik sting erin. Dus ik doe wel mee, maar dan ben je mij wel kwijt inderdaad.
Giel Oerlemans:Nee, dat klopt.
Renco Schoemaker:Gaan naar een afronding toe. Ik hoor in ieder geval heel veel punten denk ik waar veel luisteraars die nu meeluisteren die zullen vast wel eens te maken hebben met phishing simulaties of daadwerkelijke phishingmails. Volgens mij geef jij een heel aantal goede adviezen om op een constructieve zinvolle en positieve manier phishing simulaties te blijven uitvoeren. Ook regelmatig te doen. En daarnaast hebben we het natuurlijk ook gehad over de online e-learning over informatiebeveiliging, security.
Renco Schoemaker:Nou, daar is volgens mij ook genoeg markt voor. Dus ja, ik hoop dat jullie, want jullie bestaan nu 5 jaar.
Giel Oerlemans:Ja, we zijn eigenlijk mijn hoofd oktober 2020 begonnen.
Renco Schoemaker:Dus goed en wel 5 jaar. Nou, ik hoop dat, dat is zeg maar, ja, dat jullie nog wel een goeie, want je zou zeggen dat dat, de omstandigheden zijn er naar, denk ik dan.
Giel Oerlemans:Ja, ja, in die zin de markt zit mee, maar je zit eigenlijk al sinds die periode natuurlijk mee. In coronatijd ging iedereen thuiswerken en dat soort zaken. Nou, er is gewoon heel veel te doen in het nieuws over het onderwerp. Je hoort nu natuurlijk een stuk soevereiniteit komt nu natuurlijk boven drijven met wat er aan de andere kant van de plas gebeurt.
Renco Schoemaker:Jullie hosten toch wel in de EU, hè?
Giel Oerlemans:Nou, wij zijn vanaf het begin zijn eigenlijk al heel soeverein bezig geweest. Dus heel ons platform draait binnen de EU. Eigenlijk alles wat wij doen, ook wat wij intern gebruiken. Wij zijn, nou misschien dan een vreemde eend in de bijna redelijk wars, maar van alles wat big tech is. Dus wij hebben eigenlijk nou ja, 95 procent van onze IT-infrastructuur is allemaal binnen Nederland of de EU gehost, geopereerd.
Renco Schoemaker:Ik pink even een traantje weg hier.
Giel Oerlemans:Ja, het is fantastisch.
Renco Schoemaker:En ook een mooi slot. Heel veel dank voor jouw extiezen in deze podcast.
Giel Oerlemans:Jij ook bedankt voor de uitnodiging.
Renco Schoemaker:Ja. Was leuk. En nou, we gaan nog wat drinken zou ik zeggen. En dan moet jij daarna nog maar weer eens de reis hervatten naar het Ik
Giel Oerlemans:mag nou iets harder rijden is dat scheelt. Ja, 130 hè. Afgerond naar beneden. Zoiets.
Renco Schoemaker:Hey, dank je wel Giel en tot de tijd.
Giel Oerlemans:Yes.
Renco Schoemaker:En daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassen binnen je eigen werk. Op mijn site, keepost-up punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie's en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert.
Renco Schoemaker:Tot dan.
