In de uitvoerende fase van onze phishing simulatie worden alle doelwitten in de gebruikerslijst benaderd via de e-mail. De e-mails worden gemaakt aan de hand van eerder opgestelde templates.

Deze e-mail templates voor onze phishingberichten worden per opdrachtgever op maat gemaakt, bijvoorbeeld met betrekking tot huisstijl, de interne communicatiestijl en de keuze in relevante onderwerpen. Die onderwerpen zijn bijvoorbeeld wachtwoordwijzigingen, malware aanvallen, LinkedIn en andere sociale media, en verzoeken van managers of collega’s om op bestanden en linkjes te klikken.

Operatie Hengel is een analyse naar phishing, het ‘hengelen’ naar informatie. Het doel is benchmarken wat er nou eigenlijk gebeurt op phishing bij onze opdrachtgevers als we campagnes naast elkaar leggen.

Zo kun je bijvoorbeeld de resultaten vergelijken wanneer een phishing simulatie a) een op zichzelf staande interventie is of b) een interventie als onderdeel van een grotere campagne. De inzet van een phishing simulatie kan namelijk één onderdeel zijn van een awareness campagne, maar ook een interventie op zich zijn. In dat geval heeft de betreffende opdrachtgever – in ieder geval op dat moment – geen ander awareness traject lopen.

Bijvoorbeeld: een simulatie kent 5 rondes, met ieder 5 templates (sjablonen). De eerste ronde geldt dan als een baseline: hoe moeilijk (of gemakkelijk) is het gekozen template voor de betreffende organisatie? Dat wordt gemeten op basis van aantal kliks.

Over tijd kun je de resultaten gaan vergelijken. Per ronde, maar ook per organisatie. Zodanig, dat je op basis van de gegevens kunt gaan voorspellen hoe een organisatie gaat presteren, afhankelijk van variabelen zoals template, tijd van ontvangst, volgorde van onderwerpen, cultuurverschillen (bijvoorbeeld tussen Europese en Amerikaanse bedrijven), publiek versus private sector (persoonsgegevens van burgers versus die van klanten) of type medewerker – een LinkedIn-template geeft bijvoorbeeld andere resultaten bij kantoormedewerkers dan bij productiemedewerkers.

Met andere woorden, er worden eigenschappen ingevoerd waaraan je KPI’s kan koppelen; ‘wanneer is deze campagne geslaagd? Welke klikratio willen we bereiken’. Ook kun je variabelen onderscheiden. “Als je wordt aangesproken met voor- en achternaam in een mail, dan is de kans veel groter dat je klikt dan bij een algemene aanhef.”

Uiteraard is anonimiteit van al deze gegevens van groot belang. Organisaties willen weten waar ze staan, als benchmark, maar we kunnen uiteraard niet melden ‘beter dan organisatie X of overheidsinstantie Y’. Wél is er een duidelijke indicatie van hoe ‘goed’ de score is – in algemene context. Niet om van de andere organisatie te ‘winnen’, maar om te kunnen bepalen waar je staat. En wat je nog ‘moet’, vanuit het gewenste risicoprofiel, de doelen van de organisatie op security en privacy, of het belang van phishing awareness in het groter geheel (er wordt wellicht door IT al heel veel foute e-mail onderschept, bijvoorbeeld).

Wat in ieder geval heel waardevol is, is het feit dat duidelijk te zien is – keer op keer – dat naarmate je mensen dezelfde ervaringen laat beleven, ze dat steeds beter gaan herkennen. Ongeacht onderwerp: naar mate de tijd vordert, daalt het aantal kliks. Die effecten van het leergedrag zijn door Operatie Hengel goed zichtbaar. Dat laat ten eerste zien dat de phishing simulatie op zichzelf heel waardevol is: het aantal kliks, en daarmee het risico van een data breach binnen een organisatie, neemt consequent af.

Zou je dieper op de data in willen zoomen, en eigenschappen op medewerkersniveau toe gaan kennen, dan kun je uiteraard ook dieper gaan analyseren. Is een relatief nieuwe collega net zo vatbaar als een senior die al 15 jaar aan boord is? Ook kun je met meer sociaal-demografische informatie over die medewerker nog beter risicogroepen in kaart brengen.

Met andere woorden, hoe meer gegevens, hoe meer waardevolle conclusies je kan trekken richting een risicoprofiel. Maar: dan kom je op het terrein van big data, en dat is expliciet niet waar we ons mee bezig houden. Veel liever kijken we naar inzichten die waardevol zijn voor de insteek van verdere communicatiecampagnes en trainingen. Zodat we jouw medewerkers nog beter kunnen voorbereiden op die onvermijdelijke foute e-mail.