Hoe het management van CB een ransomware wake-up call kreeg

CB heeft 150 jaar ervaring in logistieke dienstverlening en distribueert fysieke boeken, audioboeken en e-books, in de winkelstraat en online in Nederland en België. Ook biedt CB logistieke oplossingen voor de zorgmarkt. Met ruim 800 professionals draagt CB iedere dag bij aan het succes van haar klanten.

“Ken je de gevaren van een out of office reply?”, vraagt Chris Amelink, Manager Architectuur en Security bij CB. Dat het noemen van een terugkeerdatum security-technisch niet slim is, is een van de dingen die het team leerde tijdens de door ilionx gegeven workshop. Hij vervolgt: “Ransomware is zeer gevaarlijk en heeft een grote impact. We hebben natuurlijk de benodigde certificeringen en we hebben een beleid ten aanzien van ransomware: we betalen niet als we gechanteerd worden en we focussen ons sterk op preventie en recovery.” Hoewel veel mensen denken dat de security goed geregeld is bij het installeren van een stevige firewall, weet Chris wel beter: “Helaas is de mens de zwakste schakel in dit geheel. Iedereen heeft wel de kennis, maar af en toe moet je met je neus op de feiten worden gedrukt om scherp te blijven.” En dit is precies wat ilionx voor CB heeft gedaan.

ilionx maakte, in samenspraak met CB, een programma op maat voor het directie- en managementteam. CB koos voor een korte, gerichte actie door middel van een gesimuleerde phishing aanval. Hiermee werd de oplettendheid, reactie en handelswijze in kaart gebracht. Chris: “Juist degene die altijd al riep bang te zijn voor een fake phishing mail van mij, trapte er nu met beide benen in. Phishing mails spelen bijna altijd in op je primaire emoties, je reptielenbrein. In deze mail werd om de betaling van een fictieve parkeerboete gevraagd. De boosheid of verontwaardiging die dat opleverde, leverde dus ook kliks op.” Aansluitend leerden de managers en directeuren tijdens een workshop de motieven, handelswijze, tools en aanpak van kwaadwillenden kennen. Ook gingen ze aan de slag met het in kaart brengen van de waardevolle data en systemen van CB. Ze leerden hoe social engineering werkt en mochten daarna zelf een succesvolle aanval op CB opzetten. Met deze oefening werd duidelijk waar en hoe zij zelf een sleutelrol spelen in veilig werken. Als laatste onderdeel maakten de directie- en managementteamleden een online security quiz. De besproken onderwerpen kwamen terug in de vorm van veertig multiple choice vragen met direct uitleg en feedback.

Dankzij deze gerichte aanpak is het directie- en managementteam  nu bewuster van hoe cybercriminaliteit werkt en waar kwaadwillenden op uit kunnen zijn. Tegelijkertijd zien ze het belang van het veilig houden van data en systemen en hun eigen rol hierin. Zo wordt deze groep steeds meer de sterkste schakel om de organisatie veilig te houden. Chris: “Het fijne van de workshops vond ik dat de theorie werd afgewisseld met zelf actief bezig zijn. Ineens waren de deelnemers zelf hackers. Wat zouden ze kunnen doen om bij CB zoveel mogelijk schade aan te richten? En hoe zouden ze dat aanpakken? Door deze actieve manier van leren, zat niemand tussendoor zijn mails te lezen of iets anders te doen. Het mooie was dat er ook in elk groepje een mol zat met nog een speciale opdracht. Dit maakte het nog eens extra leuk. Kortom, ik zou het andere bedrijven zeker aanraden. Security kan heel saai zijn, dus je moet het leuk maken en elke keer weer vernieuwen. Daar is ilionx heel goed in geslaagd. Ons eerste aanspreekpunt bij ilionx heeft heel goed geluisterd naar wat wij wilden en dit op een heel prettige en menselijke manier tot een succes gebracht.”