Tijdens de afgelopen feestdagen verzond het Amerikaanse bedrijf GoDaddy een phishing simulatie naar 7.000 medewerkers. De medewerkers werden gelokt met een zogenaamde Kerstbonus van 650 dollar waarvoor ze alleen hun persoonsgegevens moesten invullen. 500 medewerkers slaagde niet voor de test en moesten als straf de security awareness training opnieuw volgen.
Deze actie leidde tot grote verontwaardiging en eindigde als PR nachtmerrie voor GoDaddy. Uiteindelijk ging het bedrijf door het stof en bood haar excuses aan voor de manier waarop ze de test hebben uitgevoerd.
Grote en kleine bedrijven slagen er steeds beter in om hun systemen technische te beveiligen, waardoor aanvallers steeds vaker de menselijke kwetsbaarheid proberen te misbruiken. Hierbij worden juist de gebruikers aangevallen door bijvoorbeeld phishing mails te sturen. Het trainen van je medewerkers wordt dus steeds belangrijker.
‘Naming and shaming’
Het falen van deze phishing test betekent net zo goed het falen van het bedrijf om medewerkers te beschermen en op te leiden. Naming en shaming als motivator om gedrag te veranderen is niet effectief en kan zelfs leiden tot een angstcultuur in een organisatie. Het versturen van een phishing simulatie verhoogt niet direct de awareness en leidt ook niet tot gedragsverandering. Juist de manier waarop de simulatie wordt ingezet en de manier waarop er over wordt gecommuniceerd bepaalt het succes.