Door Anoniem: Een collega van mijn wilt alle medewerkers een phishing mail sturen en zelf malware op het interne netwerk ed. installeren om de weerbaarheid van organisatie te testen tegen hackers ed.
Mag dit zonder toestemming van medewerkers, maar wel van de directie?
Wat zou een goede reden volgens jullie zijn om dit te doen?
Een phishing-test wordt wel vaker gedaan - de reden is om awareness bij de gebruikers te vergroten .
Meestal een tijdje na een training waarbij gewaarschuwd / uitgelegd wordt dat het fenomeen bestaat , waar je op moet letten en wat je wel en niet moet doen bij een verdachte mail .
En ja , voor die test is geen expliciete toestemming van medewerkers nodig - directie gaat over bedrijfsbeleid .
Natuurlijk moet de test wel zodanig uitgevoerd worden dat aan normale arbeids/avg voorwaarden e.d. voldaan wordt.
"malware installeren" klinkt heel wat riskanter . Actieve malware moet je echt niet doen - als je goed genoeg bent om die om toom te houden ben je zeker goed genoeg om het effect te simuleren.
Het klinkt nogal als een hobby-bob situatie van iemand die het gaaf vind om intern hackertje te spelen .
In de normale cursussen/opleiding/certificaties die een typische security officer heeft zijn dit soort onderwerpen ook wel aan bod gekomen. Dat je collega of jij dat hier moeten gaan zitten vragen doet me een hobby bob vermoeden.