• Sami Souguir

    Schepen van Cultuur, Stadsontwikkeling en Ruimtelijke Planning

Phishing e-mail

26 september 2017

Begin juni ontvingen vele medewerkers van de Groep Gent een e-mail met als onderwerp "Hoe sterk is jouw wachtwoord". Het ging echter om een "fake" phishing email. In werkelijkheid kaderde deze email in een test van Audit Vlaanderen waarop steden en gemeenten zich vrijwillig konden inschrijven. Deze test had als doel het bewustzijn bij de medewerkers van Groep Gent te verhogen en te meten.

Digipolis zou van Audit Vlaanderen gedetailleerde (maar anonieme) resultaten van deze test ontvangen. Op basis van deze resultaten zouden ook verdere stappen worden ondernomen.

Concreet heb ik volgende vragen:

  • Wat was het resultaat van deze test?
  • Welke stappen werden op basis van dit resultaat ondernomen?

Sami Souguir
Fractievoorzitter


Antwoord:

We hebben ons in Februari inderdaad ingeschreven voor de phishing-test die Audit Vlaanderen organiseerde in het kader van de thema-audit informatieveiligheid die ze bij verschillende lokale besturen op dit moment uitvoeren.


Context

Die phishing-mails werden in de maand april verstuurd.

De resultaten van deze eerste test werden rechtstreeks naar de stadssecretaris verstuurd en vinden jullie in de bijlage.

Het ging om 3 mails:

  • Sportief Vlaanderen: In de hoop kans te maken op een sporthorloge gaven 189 medewerkers (4% van de doelgroep) gegevens in.
  • Smartphone Promo: Hoewel er 1071 (21%) medewerkers op de link klikten, gaver er slechts 8 gegevens in op de achterliggende website.
  • Klacht verstuurd aan de secretaris, met een mogelijke frauduleuze html-bijlage.

Audit Vlaanderen merkte na deze eerste phishingtest dat steden en gemeenten vaak technische maatregelen namen om te verhinderen dat deze mails in de mailbox van hun medewerkers terechtkwamen.

Ook Digipolis nam bij ons dergelijke maatregelen. Na meldingen aan de servicedesk door collega’s over deze frauduleuze mails, werden die dan ook geblacklisted en werd er ook via Diginieuws gecommuniceerd. Daardoor kregen heel wat collega’s de betreffende mails zelfs niet in hun mailbox. In het geval van een echte phishing-test is dat uiteraard een effectieve maatregel.

Hoewel de resultaten een duidelijk beeld geven over de kwetsbaarheid van onze organisatie in het geval van een phishing-aanval, geven ze geen weergaven van het werkelijke bewustzijn van onze medewerkers.

Om die reden gaf Audit Vlaanderen de mogelijkheid om tot 28 mei 2017 in te schrijven voor een aanvullende phishing-test. Na goedkeuring van de stadssecretaris hebben we dat dan ook gedaan.

Deze tweede phishing-test werd uitgevoerd in de eerste helft van Juni 2017. Audit Vlaanderen gaf dit keer aan vanuit welk domein de phishing-mail zou verstuurd worden. Een aantal collega’s van systeembeheer en de servicedesk werden op voorhand daarvan op de hoogte gebracht, om zo de test te kunnen laten verlopen zonder dat de mails geblokkeerd werden. Resultaten van deze tweede phishing-test hebben we ondertussen ook ontvangen. Het bijgewerkte rapport vind je ook in de bijlage.

Aan verschillende phishing-testen lieten we niet enkel medewerkers van de administratie deelnemen, ook leden van het bestuur en gemeenteraadsleden kregen deze mails in hun mailbox. Het bewustzijn rond phishing is bij de laatste twee mogelijk nog belangrijker. Gezien de publieke functie die raadsleden en leden van het politiek bestuur uitoefenen kunnen zij namelijk eerder als een doelwit gezien worden.


Resultaten

Uit het resultaat blijkt dat de resultaten voor de Stad Gent gelijklopen met die van het OCMW-Gent.

De eerste test geeft enkel de resultaten van de Stad en Digipolis. De testgroep bestond uit 5084 medewerkers.

Wat betreft de eerste mail, om een sporthorloge te winnen, klikten ongeveer 7% (348) op de link en gaven ongeveer 4% (189) gegevens in. De tweede mail, die aangaf dat je een smartphone kon winnen, kon wel meer collega’s verleiden om op de link te klikken, namelijk 21% (1071), maar bleek nadien duidelijk frauduleus te zijn waardoor er slechts 8 collega’s gegevens ingaven.

Het feit dat er bij de eerste test toch bijna 200 medewerkers gegevens ingaven is toch alarmerend, dat bovendien maar liefst 21% van de collega het niet konden laten op een frauduleuze link te klikken op z’n minst zorgwekkend. De verhalen rond het wannacry-virus hebben duidelijk aangegeven dat het klikken op een verkeerde link al nefaste gevolgen kan hebben. De ransomware die via wannacry verstuurd werden lieten via phishing een bestand los op je computer die vervolgens alles versleutelde, waarna je plots een scherm te zien krijgt waarop men geld vraagt om je computer te ontgrendelen. Natuurlijk zonder verzekering dat je ooit je bestanden nog terugziet.

De tweede phishingtest werd dus uitgevoerd met medeweten van de collega’s bij de servicedesk en systeembeheer bij Digipolis, waardoor er dus geen technische maatregelen ter beveiliging werden uitgevoerd. Hier zijn de Stad, het OCMW en Digipolis in één beweging meegenomen. Om die reden beslaat de testgroep 6957 medewerkers.

De resultaten blijken daarbij iets zwaarder. Ongeveer 11,5% (792) klikte op de link, terwijl een goede 7% (498) effectief gegevens invoerde. Dat toont dat de maatregelen die Digipolis trof weldegelijk effect hadden gehad bij de eerste test.

Digipolis neemt op dit moment al de volgende technische maatregelen om phishing mails te bestrijden:

  1. Alle inkomende mails worden gescand op onze email security gateway (IronPort)
  2. Op onze mailservers is McAfee Security for Exchange geïnstalleerd, dat actief op zoek gaat naar verdachte mails.
  3. Indien de vorige 2 maatregelen toch nog een mail zouden doorlaten:
    1. verdachte urls worden geblokkeerd door de firewall (Palo Alto) als er op geklikt wordt
    2. phishing e-mails die worden gemeld aan de servicedesk worden automatisch uit de mailboxen (op de servers) gehaald, indien deze nog niet zijn geopend afgeleverd zijn in de outlook postbus.

Desondanks tonen deze tests toch aan dat het niettegenstaande de vele inspanningen rond communicatie omtrent phishing en virussen noodzakelijk is blijvend op sensibilisering toe te spitsen.


Volgende stappen

Op vraag van de stadssecretaris zullen we de resultaten op een volgend managementteam toelichten.

Waarbij we enkele maatregelen zullen voorstellen:

  • Blijvend communiceren via alle mogelijke middelen die we ter ons beschikking hebben: intranet, een specifieke pagina in het personeelsblad, Diginieuws, e-zine/lijninfo, …
  • Samen met Digipolis kunnen we een regelmatige herhaling doen van een phishingtest. Eventueel met e-learning.
  • Digipolis zal ook extra technische maatregelen invoeren:  Momenteel is Digipolis namelijk bezig met het implementeren van McAfee Endpoint Protection op alle toestellen van eindgebruikers. Een van die modules is WebControl, die alle links in een email gaat valideren op betrouwbaarheid.

Hieronder ook nog eens de algemene resultaten en verloop van de phishing-test:
http://www.auditvlaanderen.be/thema-audit-informatiebeveiliging-en-phishing-test

Martine De Regge
Schepen van Personeelsbeleid, Facility Management en Administratieve Vereenvoudiging