Hogeschool Rotterdam vangt DataPhish

In de maanden mei en juni deed Hogeschool Rotterdam een succesvolle awareness campagne over de gevaren van phishing die zijn hoogtepunt bereikte met een fakebericht naar alle medewerkers.

De actie was succesvol omdat er geen ophef of verontwaardiging ontstond. Bij eerdere fakeberichten eisten medewerkers hun prijs op die ze dachten te hebben gewonnen. Hoe deden ze dat in Rotterdam?

Jan Landsaat, privacy adviseur bij Hogeschool Rotterdam: “We begonnen met een groepje privacy & security mensen waaronder o.a. de Privacy Officer, Chief Information Security Officer en Functionaris Gegevensbescherming plus collega’s van communicatie. Al snel bleek dat het allemaal niet zo ingewikkeld en duur hoefde te zijn en dachten we ‘waarom doen we het niet gewoon’ zonder allerlei officiële looplijnen te volgen die een hogeschool soms kent.”

DataPhish op locatie Museumpark
DataPhish op locatie Museumpark

Safe space

Onder drie studenten van de Willem de Kooning Academie (de gerenommeerde kunsttak van Hogeschool Rotterdam) werd een pitch gehouden. Alle drie de studenten hadden verrassende vondsten, maar Maria Mombers die toen nog midden in haar afstuderen zat, scoorde unaniem het hoogste. In haar campagne had zij een ‘safe space’ opgenomen waar ‘slachtoffers’ terecht kwamen.

Jan: “Dat was een prachtige vondst en maakte, denk ik, onze phishing mail zo sympathiek en dat er geen grote verontwaardiging ontstond. Bij een eerdere phishing actie was dat wel zo.”

Op deze speciale pagina werd uitgelegd hoe mensen hadden kunnen voorzien dat het om phishing ging en hoe er moet worden gehandeld als je een verdachte mail ziet. Ook werd de voorafgaande teasercampagne uit de doeken gedaan. Medewerkers hadden al kennis gemaakt met een enorme DataPhish. Als ze hadden opgelet…

Een van de opvallende fouten in de mail was dat de url hogescholrotterdam.nl werd gebruikt. Deze verbastering stond ook in de speciale variant op het hogeschoollogo. Slechts één oplettende communicatieadviseur had dit gezien en werd gevraagd dit voor zich te houden.

DataPhish op locatie Pieter de Hoogweg.
DataPhish op locatie Pieter de Hoogweg.

DataPhish

Voordat de fake mail werd gestuurd, was er op Instagram en Facebook een ludieke teaser campagne te zien. Maria Mombers liet in foto’s de belangrijkste locaties van de hogeschool overwoekeren met een enorm groot rood beest. De mysterieuze foto’s scoorden veel likes en reacties. Uiteindelijk kwam er een post dat de grote rode DataPhish had toegeslagen. De DataPhish blijft een rol spelen in vervolgcampagnes.

Jan: “Onze campagne hield niet op na de fake mail. Vlak voor de vakantie begon, hebben we geadviseerd om je bureau op te ruimen. Thuis en op school. In de vakantie hebben we gewaarschuwd om voorzichtig te zijn met wat je allemaal online zet. Allemaal op social media en met de DataPhish in de hoofdrol. Nu zijn we bezig met een campagne rondom verander-je-wachtwoord-dag op 24 november.”

DataPhish
DataPhish

Online en offline

De hogeschool was maar beperkt open tijdens de campagne. Er was ook een campagne bedacht op alle narrow casts en schermen op alle koffiemachines binnen de hogeschool. Jan: “Alle schermen waren in deze periode echter exclusief in gebruik voor informatie over corona, dus die ideeën hebben we niet uit kunnen voeren. Daar zat overigens nog een hele sterke tussen, die gaan we zeker nog een keer gebruiken! Nee, daar ga ik niets over verklappen.”

Online trainingen

De campagne was tot nu toe behoorlijk low budget. Een voordeel van het werken met jonge talentvolle ontwerpers en er zelf veel energie insteken. Naast de campagne starten ze bij de hogeschool eind van dit jaar met online trainingen voor medewerkers via Arda.

Jan: “Dat is, zeker ten opzichte van de campagne, een flinke investering. Het programma maken we samen met een paar andere onderwijsorganisaties voor een groot deel op maat. Medewerkers worden tijdens dit trainingsprogramma door middel van een realistische video geconfronteerd met een lastige situatie en worden gevraagd hoe te handelen. Ze kunnen met het volgen van deze maandelijkse trainingen punten verdienen, of we dit in gaan zetten weten we nog niet.” Ook rondom de introducering van Arda zal een interne campagne worden georganiseerd.

Meer over de awareness campagne

Op de site maakte de hogeschool de resultaten bekend. Bijna twintig procent trapte in de mail. Dat is al een stuk minder dan in 2017. Bijna 600 medewerkers maakten melding van phishing, een verbetering van vijftig procent. Overigens deed een docent binnen drie minuten een melding. Zo’n snelle reactie kan de hele organisatie redden van een groot probleem. Jan: “Zo’n medewerker is een held, we hebben hem ook een flinke bos bloemen gestuurd. Maar het kan beter, daar blijven we aan werken en kunnen we over een paar jaar hopelijk meten.”

Teskt: Ruud Vermaase, Communicatie Adviseur Hogeschool Rotterdam

Auteur

Reacties

Dit artikel heeft 0 reacties