Dat hangt wel sterk af van het karakter van de directie. Heb meegemaakt dat de direct bestond uit slappe vaatdoeken, zonder enig besef of inzicht.

Gelukkig ook wel directie meegemaakt die wel wisten waar ze mee bezig waren, maar die hadden dan ook lang gestudeerd.

Welk punt wil je collega eigenlijk maken?

Een phishing-test wordt wel vaker gedaan - de reden is om awareness bij de gebruikers te vergroten .
Meestal een tijdje na een training waarbij gewaarschuwd / uitgelegd wordt dat het fenomeen bestaat , waar je op moet letten en wat je wel en niet moet doen bij een verdachte mail .

En ja , voor die test is geen expliciete toestemming van medewerkers nodig - directie gaat over bedrijfsbeleid .
Natuurlijk moet de test wel zodanig uitgevoerd worden dat aan normale arbeids/avg voorwaarden e.d. voldaan wordt.

"malware installeren" klinkt heel wat riskanter . Actieve malware moet je echt niet doen - als je goed genoeg bent om die om toom te houden ben je zeker goed genoeg om het effect te simuleren.

Het klinkt nogal als een hobby-bob situatie van iemand die het gaaf vind om intern hackertje te spelen .

In de normale cursussen/opleiding/certificaties die een typische security officer heeft zijn dit soort onderwerpen ook wel aan bod gekomen. Dat je collega of jij dat hier moeten gaan zitten vragen doet me een hobby bob vermoeden.

Als die collega net zo goed is in Nederlands, zullen er minder mensen intrappen dan je anders tegen je in het harnas zou kunnen jagen, zonde!

Tip: als je mensen niet eerst een insecurity-awareness training geeft voor je hen phishing mails gaat sturen, maak je geen vrienden. Je zult daarna eerst veel moeite moeten doen om de zelfgemaakte schade te herstellen. Maar, desgewenst natuurlijk een prima aanpak om verslechteringen te realiseren.

Phishing mail naar een obscure.updatezz.tk/free

En daar een berichtje zetten "Dit was een test. De volgende kan echt zijn. " met een linkje naar wat phising is.


Wat is daar hobby bob aan?

Malware installeren kan fout gaan en je baan kosten.

De reacties hierboven zijn nog behoorlijk mild. Alles hangt af van het soort malware, los van het feit wat de directie daar van vindt. Als je een EICAR file op een share zet of verwerkt in een webpagina om zo te kijken hoe gebruikers reageren of om te kijken of het bestand op alle machines wordt gedetecteerd: is nog wat voor te zeggen, hoewel dit HEEL veel afstemming vereist met de organisatie. Doe je dit zonder communicatie naar de stakeholders, maak je borst dan maar nat. Denk aan het aantal telefoontjes naar de helpdesk van mensen die denken dat hun PC is besmet, onbedoelde escalaties richting management, beheerders die "not amused" zijn omdat ze bezig waren met de voorbereidingen van een upgrade die het hele weekend gaat duren, de tijd die het duurt om een rapportage te schrijven en ga zo maar door.

Als het actieve malware is, dan wens ik de organisatie veel succes en is je collega niet helemaal lekker bij zijn paasei. Er bestaat voor 999 van de 1000 bedrijven geen reden om dit te doen. Mochten zaken kapot gaan en de backup en restore procedures niet goed in elkaar zitten, dan haal je (afhankelijk van het soort bedrijf) de voorpagina van de landelijke kranten. Klanten waarvan de dienstverlening niet meer gegarandeerd kan worden, software/documenten die niet meer te herstellen zijn, herstelacties die maar half lukken waarna je een instabiel netwerk krijgt en de problemen na verloop van tijd her en der weer de kop op steken, SLA's die je niet meer haalt, batches die fout lopen, noem maar op. Een directie met ook maar een greintje verstand gaat daar nooit mee akkoord.

Het klinkt mij in de oren als een zeer ondoordacht plan van een techneut die een leuk idee heeft, zonder de consequenties te overzien van zijn ideetje. Er zijn 1001 andere manieren om de "cyberweerbaarheid" van een organisatie te testen, zoals bepaalde simulatievormen. En zelfs bij dat soort simulaties heb je een zeer grondige voorbereiding nodig, waarin aspecten worden beschreven als
(1) de te testen scenario's
(2) testdoelen
(3) succescriteria
(4) tijdslijnen
(5) communicatielijnen
(6) ... (kortom alles dat je bij dit soort plannen van tevoren bedenkt)

Dit plan klinkt net zo doordacht als je eigen bedrijf opbellen met een bommelding om te kijken of het calamiteitenplan een beetje lekker werkt of roken onder een brandmelder om het evacuatieplan te testen.

Je bent met zo'n phishing simulatie bezig om het gedrag van mensen te monitoren. Ik zou dat niet zomaar in het wilde weg doen. Wij hebben een reglement waar de spelregels voor monitoring in zijn vastgelegd. Dit reglement is ondertekend door de directeur en de OR-voorzitter. Dat voorkomt een hoop gedoe.

Actieve malware loslaten op je eigen netwerk is onverstandig en onnodig.

Alles.

En als je werkelijk denkt dat je voorstel geschikt is - ga vooral ergens werken waar je een heel juniore onderknuppel bent , en leer dan van mensen die het vak wel kennen wat er verder bij komt kijken.

Daar komt bij wat ik in mijn eerdere bijdrage wellicht niet duidelijk verwoord heb (uit ervaring, ik ben totaal geen psycholoog of zo): het zijn menselijke eigenschappen om boos te zijn als je ergens ingetuind bent - en om vervolgens te proberen daar een ander de schuld van te geven. Als de intrappers te weten komen dat ze door de "securityclub" van hun eigen organisatie belazerd zijn, heb je juist degenen die je wilt bereiken kwaad op je gemaakt. Vooral als collega's, die er niet intrapten, -trots op hun eigen kundigheid- al pochend en belachelijkmakend ("jeetje dat zie je toch zo") zout in de wonden van de slachtoffers wrijven, gaat dit het aantal securityincidenten zeker niet verminderen - integendeel: "ICT moet er voortaan maar voor zorgen dat het spamfilter, firewall en antivirus problemen voorkomen als ik ergens op klik".

En die mensen hebben nog een punt ook, want de makers van dat soort halfbakken meuk beloven gouden bergen - (die security.nl ook nog eens klakkeloos overneemt, zoals in https://www.security.nl/posting/705624/Test%3A+weinig+onderscheid+tussen+virusscanners+voor+Windows+10).

Wees verstandig blijf bij je werkgebied en takenpakket. Dit zijn zaken die je uitbesteed aan gespecialiseerde bedrijven in de cybersecurity sector. Je kunt dit niet doen zonder de nodige juridsche en technische kennis en je wilt als interne IT afdeling neutraal blijven naar je eindgebruikers want je moet er wel mee door 1 deur kunnen straks na de tests.

Je doet dit soort zaken nooit met een echt virus en een EICAR is ook niet nodig tenzij je de antimalware detectie wilt testen in plaats van de gebruikers.

Je zet normaliter een phishing kopie op van een inlog situatie die bekend is bij de organisatie, afdeling je maakt dan per afdeling een unieke link (niet per persoon) en stuurt deze via mail, sms of welke ingang je ook wilt gebruiken. Op zowel de link als de phishing pagina hang je een tracking pixel je registreert de aantal bezorgingen je registreert de aantal kliks en je registreer hoevaak er op de login button geklikt is. Je verwerkt niet verder echte informatie achter de velden hangt dus ook geen koppeling naar een database. Vervolgens kan je op afdeling niveau een conclussie trekken over de weerbaarheid.

Ik kan niet sterk genoeg benadrukken dat het niet naar 1 persoon mag herleid worden anders heb je echt tramalant als iemand een klacht indient.
Verder is het gebruikelijk om iedergeval alle teamleads op de hoogte te stellen je kan hun ook weer in een afzonderlijke test gooien indien nodig. Het laatste wat je wilt is dat er namelijk paniek ontstaat waar meer schade uitkomt of dat iets je test vertroebeld.

Je hebt voor dit alles ten alle tijden vrijwaring documenten nodig van directie, board en dit dient schriftelijk te zijn met exact beschreven wat de test doet tot hoever de test gaat en wat er met de data mag gedaan worden. Dit document dient door een jurist gecontroleerd te worden alvorens je het project start.

Bij dit soort zaken komt weken als niet maanden aan voorbereiding kijken zeker bij de eerste keer. Dus als het echt zo belangrijk is huur een bedrijf in en heb geen kopzorgen die je geheid gaat krijgen anders.