Het Digitaal Brevet: nieuwe module Phishing & Ransomware

Digitaal Brevet

In 2020 werd het Digitaal Brevet opgeleverd. Met deze modules van 60-90 minuten kunnen instellingen hun studenten en medewerkers fundamentele kennis meegeven over veilig en privacy bewust werken en studeren. Het Digitaal Brevet is gratis te downloaden en te gebruiken voor instellingen via de Cybersave Yourself Toolkit. Er is nu een nieuwe module beschikbaar met als onderwerp Phishing en Ransomeware.

Verbeterpunten Digitaal Brevet 2020

Tijdens de evaluatie dit jaar noemden instellingen de volgende verbeterpunten:

  • Vanuit didactisch oogpunt is het veel tekst en weinig interactie;
  • Een e-learning van 60-90 minuten is lang;
  • Het is moeilijk het management te overtuigen om een awareness in de vorm van een e-learning verplicht te maken;
  • Hoewel onderwijsinstellingen al over een LMS beschikken, is het niet eenvoudig om het LMS voor het Digitaal Brevet in te zetten;
  • Vanwege de grote inspanning wordt het Digitaal Brevet vooral ingezet voor (nieuwe) medewerkers;
  • Een belangrijk doel van e-learnings is het inzicht krijgen in hoeveel medewerkers en van welke afdelingen de module doorlopen hebben.

Op basis van de feedback heeft Cybersave Yourself een nieuwe online e-learningmodule over phishing en ransomware ontwikkeld die instellingen kunnen aanpassen en gratis kunnen gebruiken. De generieke module is voor iedereen beschikbaar op www.cybersaveyourself.com

Gebaseerd op een echte ransomware-aanval

De module volgt het verhaal van een ransomware-aanval op de Universiteit Maastricht die het onderwijs tijdens de kerstvakantie stil legde. Het begon met een phishingmail die uitgroeide tot een grootschalige aanval. Met een krappe deadline om in januari weer te beginnen, moest de universiteit een moeilijke beslissing nemen.

In de ongeveer tien minuten durende module leert de deelnemer hoe je een phishingmail herkent en hoe je een ransomware-aanval voorkomt. De module integreert de verhaallijn met verschillende soorten media: e-mails, brieven, tweets en audiodialogen. De kennis wordt op de proef gesteld door verschillende korte quizzen.

Voor en door het onderwijs  gemaakt

De module is gemaakt door professionals van Nederlandse universiteiten en met de hulp van onderwijsexperts. We begonnen met een structuursessie met de werkgroep, gevolgd door het interviewen van experts van de Universiteit Maastricht voor de verhaallijn. Vervolgens werd de verhaallijn uitgewerkt naar verschillende onderdelen: het ontvangen van een phishingmail, het melden bij sevicedesk en de uiteindelijke overweging om het losgeld te betalen. De module sluit af met tips hoe je phishingmail kunt herkennen en

Bij het evalueren van onze bestaande e-learning module kwamen we erachter dat voor veel instellingen het gebruik van het LMS een ingewikkeld en traag proces was. Daarom kozen we voor een online magazine formaat. De module kan worden ingesloten als een i-frame in Sharepoint of een ander systeem, of toegankelijk worden gemaakt door een knop toe te voegen met een link naar de online module in welk systeem een instelling ook gebruikt. De module kan worden ingebed in een Learning Management Systeem (LMS). Het is ook mogelijk de module te downloaden en op een locale server te plaatsen.

Meten is weten

Weten hoeveel van je werknemers of studenten de e-learning hebben afgerond, is een waardevol inzicht. Door middel van interviews kwamen we erachter dat het verzamelen van statistieken en het maken van rapporten een van de meest gewenste functionaliteiten was, maar ook een van de meest complexe processen om te implementeren.

Kijkend naar de systemen die Nederlandse instellingen al gebruiken, hebben we de quizzen toegevoegd door quizzen te maken in Microsoft Forms. Instellingen die willen weten hoeveel van hun medewerkers of studenten de e-learning hebben gevolgd, kunnen een versie voor hun instelling aanvragen waarin de generieke quizzen vervangen worden door de quizzen van de instelling. Zo hebben zij volledige controle over de vragen die ze willen testen en direct inzicht in de basisgegevens via Microsoft Forms.

Beperkingen van deze module

Deze module bevat geen video's vanwege budgetbeperkingen. Als instellingen zelf video opnemen om de audio gesprekken te vervangen dan kan dat.

Sommige systemen verhinderen het insluiten van i-frames. In dat geval is de module toegankelijk via een knop of door de link naar de module toe te voegen. De link leidt naar de website waar de module wordt gehost, waardoor het minder aantrekkelijk is voor beveiligingsprofessionals die er vaak de voorkeur aan geven om bewustwordingsmateriaal binnen de systemen van hun instellingen te hosten. Het is ook mogelijk om de module op een lokale server te hosten.

De quizzen kunnen worden vervangen als een instelling Office 365 heeft. Als dit niet beschikbaar is, kan de generieke module nog steeds worden gebruikt om het bewustzijn te vergroten. Als een instelling een LMS heeft, kunnen ze de quizzen naar het LMS verplaatsen om statistieken te genereren.

De quizzen in deze module zijn formatief. Dit betekent dat ze bedoeld zijn om de lezer te helpen de stof te leren. Voor bewustmakingsdoeleinden is vaak een summatieve test nodig. Dit is een test die je moet afleggen om aan te tonen dat je de leerstof onder de knie hebt. Als instellingen een summatieve toetsing vereisen, kan dit probleem worden opgelost door de module in hun LMS op te nemen en de eindtoets naar de LMS te verplaatsen.

Privacy en beveiliging

We hebben gekozen voor een leverancier (Maglr) die er expliciet voor kiest om geen persoonlijke gegevens van bezoekers van publicaties te verzamelen en op te slaan. Voor de generieke module gebruikten we O365 formulieren die geen persoonlijke gegevens nodig hebben of verzamelen.

Omdat het insluiten van een i-frame een zeker risico met zich meebrengt, blokkeren sommige instellingen deze functie. Als je het formulier wilt embedden, moet je de IT-afdeling vragen om embedden vanuit Maglr als bron toe te staan. Als je dit risico van het insluiten van een i-frame helemaal wilt vermijden, adviseren wij om een knop met een link naar je module in je eigen leeromgeving te plaatsen, of de module op een lokale server te plaatsen.

Over Cybersave Yourself

Deze module wordt aangeboden als onderdeel van de Cybersave Yourself toolkit. Cybersave Yourself is de security awareness campagne voor onderwijs en onderzoek in Nederland. Het bevat beveiligingstips, video's en spelletjes over beveiliging en privacybewustzijn. Voor instellingen biedt Cybersave Yourself een toolkit met materialen die ze kunnen gebruiken om hun eigen bewustwordingsprogramma's te maken.

Ga naar de website van Cybersave Yourself

Gerelateerde artikelen

Beveilig digitale communicatie met TLS

Voor het beveiligen van digitale communicatie zijn HTTPS en TLS belangrijke cryptografische protocollen. In onze handreiking vind je uitgebreide informatie en praktische richtlijnen voor de implementatie hiervan.