Vlaamse onderwijsinstellingen starten met phishingsimulaties via Leuvense Phished

Phishing malware email

Het Leuvense bedrijf Phished heeft een aanbesteding gewonnen om de Vlaamse universiteiten, hogescholen en gelieerde instellingen van cyber-awarenesstraining via phishingsimulaties te voorzien. De aankoop is op meerdere vlakken een primeur.

De werkgroep cybersecurity van de Vlaamse Interuniversitaire Raad (VLIR) heeft beslist om in zee te gaan met Phished: een scale-up uit Leuven die gespecialiseerd is in cyberopleiding via gesimuleerde phishingcampagnes om bewustzijn te creëren bij werknemers. De raamovereenkomst omvat alle Vlaamse universiteiten, verschillende geassocieerde hogescholen en enkele andere universitaire instellingen zoals het UZ Gent en het UZA. Binnen de overeenkomst kunnen de afzonderlijke organisaties licenties afnemen bij Phished.io om zelf campagnes op te zetten.

Tienduizenden doelwitten

De overeenkomst heeft in eerste instantie betrekking op 72.000 personeelsleden verspreid over de deelnemende instellingen, met de optie om aan een gunstig tarief nog licenties voor meer dan 260.000 studenten af te nemen. Het contract loopt over een periode van vier jaar.

“We zochten specifiek naar een product waarmee we phishingsimulaties konden uitvoeren, met daaraan gekoppelde leermodules”, zegt Michel Raes, IT Security Officer bij de Universiteit Gent. Hij heeft de aanbesteding mee opgesteld. “Verder moest het product zo autonoom mogelijk werken, zodat we niet al te veel menselijk kapitaal moeten investeren.”

Phished voorziet gelokaliseerde phishingcampagnes die inspelen op de Vlaamse leefwereld en ondersteunt die met AI, zodat ze sterk geautomatiseerd kunnen worden. De campagnes zijn verschillend maar kunnen bijvoorbeeld over Sinterklaas gaan, en niet over de Fourth of July in de VS. Verder worden de resultaten van werknemers gekoppeld aan onmiddellijke feedback. Het bedrijf beschikt daarvoor over trainingen op maat: een dienst die eind 2020 werd geïntroduceerd en in dit verhaal een relevant argument was.

Schaalvoordeel

De VLIR-universiteiten hoopten door hun krachten te bundelen via een gezamenlijke aankoop een schaalvoordeel te genereren. “Door samen voor dezelfde leverancier te kiezen, kunnen we ervaringen uitwisselen, maar hoopten we ook op een goede prijs”, vertelt Raes. Phished voldeed in eerste instantie aan alle kwalitatieve eisen van de aanbesteding, waarop Frederik Van de Meulebroucke, CCO van Phished, trots is. Verder kon het bedrijf inderdaad een economisch interessant voorstel afleveren.

Door samen voor dezelfde leverancier te kiezen, hoopten we op een goede prijs.

Michel Raes, IT Security Officer Universiteit Gent

De gezamenlijke aanbesteding is een primeur voor de cybersecuritywerkgroep binnen de VLIR en daardoor een teken aan de wand voor het belang van dergelijke campagnes binnen moderne cyberbeveiliging. “Onze werkgroep cybersecurity zoekt vooral gemeenschappelijk begrip over onderwerpen die alle universiteiten aanbelangen”, verduidelijkt Raes. “Het is de allereerste keer dat we een aankoopdossier hebben opgesteld waar alle partners unaniem achterstonden.”

Wandelen op eierschalen

De invulling van het raamcontract is de verantwoordelijkheid van de deelnemende instellingen, al verwacht Raes wel dat de meesten zullen starten met simulaties voor het gros van hun personeel. Binnen de Universiteit Gent bouwt hij samen met zijn team de simulaties geleidelijk aan op met de ambitie om uiteindelijk alle 13.000 personeelsleden te betrekken. Naar eventuele campagnes voor studenten, wordt op een later tijdstip gekeken.

lees ook

Hoe een phishing-aanval tot stand komt

Voor de campagnes zelf plant Raes om er bewust iets minder uit te sturen dan best practices misschien wel vereisen. “Dat zouden er redelijk veel zijn. Wekelijks een mail sturen gaat niet; we moeten een beetje op eierschalen lopen. E-mail is eigenlijk best oude technologie. We proberen de beveiliging ervan langs de ene kant onder controle te houden met allerhande mechanismen. Langs de andere kant is e-mail nu eenmaal een zeer kritisch communicatiemiddel voor de academische wereld. Zij krijgen al gigantisch veel e-mails, een wekelijkse simulatie zou dan wat veel zijn.” Raes plant een middenweg te bewandelen met tests gebouwd rond een maandelijkse frequentie.

Grootste aanbesteding

Van de Meulebroucke is trots dat Phished de aanbesteding gewonnen heeft. “Het is het grootste aanbesteding die dit jaar in België werd uitgeschreven”, zegt hij. “Als Belg ben ik bovendien heel fier dat onze universiteiten zo’n voortrekkersrol spelen. Michel Raes en de VLIR verdienen een pluim op de hoed. Zij begrijpen wat nodig is: niet alleen een testje per kwartaal maar relevante tests op regelmatige basis, gekoppeld aan trainingen.”

Hij wijst verder naar de Europese NIS 2-richtlijn die volgend jaar van kracht gaat. “Die verplicht het hoger management om opleidingen rond phishing te volgen. Het is slim om daar op tijd mee aan de slag te gaan.”

Vechten tegen de bierkaai

In afwachting tonen de Vlaamse Universiteiten samen met Phished dat gesimuleerde phishing-campagnes en trainingen een belangrijk onderdeel zijn van een goede cyberbeveiliging. Phishing is niet voor niets de voornaamst vector waarlangs aanvallers en malware zich een weg tot in het netwerk banen. “In 2018 was het nog vechten tegen de bierkaai”, besluit Van de Meulebroucke. “Het was moeilijk om organisaties te overtuigen van het belang van awarenesstraining. Vandaag is dat stilaan anders.”

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.