Kun je iets vertellen over je ervaring met phishing van vorig jaar en hoe dat incident werd ontdekt?
"Vorig najaar werden er e-mails naar collega’s verstuurd, zogenaamd uit mijn naam. Ik ontdekte het incident niet zelf, maar collega’s meldden dat er iets niet klopte aan de mails die zogenaamd van mij afkomstig waren. Het betrof verzoeken die niet strookten met normale communicatie.
Ik heb direct een waarschuwingsmail gestuurd naar alle collega’s: ‘Let op: er gaat een mail rond. Ik ben het niet, niets mee doen!’ Tegelijkertijd heb ik de ICT-helpdesk ingeschakeld. Zij bevestigden dat het om een phishingpoging ging. Ik vermoed dat mijn leidinggevende positie hier een rol speelde; mails uit mijn naam wekken sneller vertrouwen. Gelukkig hebben we als organisatie adequaat gereageerd en verdere schade voorkomen."
Hoe heeft het incident van vorig jaar jouw kijk op de rol van technologie binnen onze organisatie veranderd?
"Het incident heeft mijn kijk niet echt veranderd. Door eerdere meldingen en mijn rol binnen de organisatie ben ik me al bewust van de risico’s. Wat het wel benadrukt, is dat je ontzettend kritisch moet zijn over wat je ontvangt. Klik nergens op zonder dat je 100% zeker bent dat het legitiem is. De technologie ontwikkelt zich snel, en er komt ongetwijfeld een moment waarop echt niet meer te zien is wat nep is."
Welke lessen heb je geleerd uit je eigen ervaring(en) met phishing-aanvallen?
"Privé krijg ik ook regelmatig phishingmails. Daarnaast ontvang ik berichten van bedrijven en banken waarbij je goed moet kijken of ze echt zijn. Het belangrijkste is alert blijven. Mijn ervaring heeft me weer scherp gemaakt, ook al was dit een relatief klein incident.
Ik heb daarnaast ook andere vormen van fraude meegemaakt, zoals mensen die via LinkedIn proberen miljoenen op je rekening te storten, of nepverzoeken namens officiële instanties. Soms blijkt iets nep, maar soms ook niet.
We hebben ook een geval gehad dat iemand zich oneigenlijk uitgaf als lid van de NJV. En ook wel eens dat iemand namens de politie via e-mail contact met mij opnam. Ik dacht meteen ‘dat is nep’. Maar dat was het achteraf helemaal niet. Kortom, er kan van alles en nog wat gebeuren."
Wat zijn volgens jou de meest voorkomende valkuilen bij phishing- of CEO-phishingaanvallen?
"Ik gebruik nooit mijn privémail of -telefoon voor werkgerelateerde communicatie. Dat is een eenvoudige, maar effectieve maatregel. Daarnaast is het belangrijk om bewust te blijven dat phishing zich steeds verder ontwikkelt."
Hoe kunnen we ervoor zorgen dat onze cyberbeveiligingsmaatregelen up-to-date blijven, vooral tijdens drukke periodes zoals de feestdagen?
"Tijdens de feestdagen worden mensen overspoeld met e-mails, wat phishing makkelijker maakt. Bewustwording is daarbij cruciaal. We moeten daar als Radboud Universiteit actief aan blijven werken, misschien zelfs strenger worden.
Een effectieve methode is om mensen af en toe bewust te confronteren met een phishingtest. Als je een keer ergens intrapt, blijft het beter hangen. Het is niet bedoeld om mensen te pesten, maar om hen te helpen alert te blijven.
Ook simpele dingen, zoals controleren of werkstations gelockt zijn, kunnen bijdragen aan bewustwording. We hebben dat in het verleden wel eens gedaan tijdens een plenaire meeting en het werkte als een wake-upcall."
Door kritisch te blijven en te investeren in bewustwording kunnen we als organisatie deze uitdagingen het hoofd bieden. De feestdagen zijn een goed moment om extra aandacht te besteden aan onze digitale veiligheid – een kleine inspanning die veel ongemak kan voorkomen."