Embuild Friendly
phishing project
Met de steun van VLAIO bundelden Embuild Vlaanderen en OutKept de krachten om het cyberbewustzijn in de bouwsector te versterken.
Meer dan 100 Vlaamse KMO's actief in de bouw ontvingen hierdoor een jaar lang gratis phishing-simulaties en trainingen om zich beter te wapenen tegen cyberdreigingen.
Dit project liep van februari 2024 tot mei 2025. Op deze toolkit pagina kan je lezen welke impact we hebben gemaakt, alsook enkele tips en doorverwijzing naar interessante initiatieven om het project op te volgen.
Phishing vormt nog steeds één van de grootste cyberrisico’s voor bedrijven. Met het project Friendly Phishing kregen meer dan 100 Vlaamse bouwbedrijven de kans om hun medewerkers een jaar lang gratis te trainen met het OutKept phishing-simulatieplatform. Voorwaarden opgesteld door Vlaio waren dat organisaties moesten voldoen aan volgende voorwaarden:
- Vlaamse onderneming in de bouwsector zijn.
- Bedrijfsgrootte van maximaal 250 medewerkers (KMO).
- Lid zijn van Buildwise en/of Embuild Vlaanderen.
- Beschikken over een eigen mailserver, zodat whitelisting OutKept servers en domeinen mogelijk was.
Na enkele onboardingen in Q1 en Q2 van 2024 kon voor velen de campagne van start gaan. Medewerkers ontvingen van OutKept realistische phishing simulatie mails, van generiek tot afgestemd op de bouwsector, soms ook gepersonaliseerd. Zo werd aan de juiste reflexen gewerkt om verdachte berichten te herkennen en correct te reageren.
Resultaten
Deze grafiek toont het percentage mensen dat interactie had met een phishingsimulatie binnen het Friendly Phishing-project en de bouwsector. Het gaat om het procentueel aandeel gebruikers dat op een of andere manier reageerde op een phishingmail – zoals klikken op een link, openen van een bijlage, of antwoorden op het bericht.
Kerninzichten:
- Beide groepen tonen een duidelijke daling in phishinggevoeligheid tot oktober 2024.
- Van oktober 2024 t/m februari 2025 blijft het interactiepercentage laag en stabiel (~4%). Dit zien we als een "menselijk minimum".
- In maart-april 2025 stijgen de cijfers weer scherp, mogelijks te wijten aan OutKept's algoritme dat rond deze tijd verder verfijnd werd
- Opvallend is de piek in augustus en april die mogelijks met het bouwverlof te maken heeft. Verminderde alertheid kunnen hierbij een rol spelen.
Friendly Phishing Het percentage van gebruikers dat voor een phishing-simulatie is gevallen, bij bouwbedrijven die deel namen aan het Embuild Friendly Phishing project. Dit wil zeggen dat met ofwel geklikt heeft op een verdachte link in een mail, een verdachte bijlage bij een simulatie heeft geopend, of een phishing simulatie mail beantwoord heeft.
Bouwsector Het percentage van gebruikers dat voor een phishing-simulatie is gevallen, bij bouwbedrijven uit het Friendly phishing project alsook andere bouwbedrijven die OutKept simulaties ontvingen in deze periode (verrijkte dataset met geanonimiseerde en geaggregeerde data). Dit wil zeggen dat met ofwel geklikt heeft op een verdachte link in een mail, een verdachte bijlage bij een simulatie heeft geopend, of een phishing simulatie mail beantwoord heeft.
Functiespecifieke tips voor
de bouwsector
Projectleider
Als spilfiguur tussen werf en kantoor werk je met veel digitale tools en communiceer je vaak met externe partijen. Daardoor ben je een aantrekkelijk doelwit voor phishing en cyberaanvallen.
- Controleer altijd het e-mailadres van leveranciers of klanten, zelfs als de naam vertrouwd lijkt.
- Open geen bijlagen of links in onverwachte e-mails over bestellingen of facturen.
- Vergrendel je laptop en smartphone als je ze even onbewaakt achterlaat, ook op de werf.
-
Houd software en apps altijd up-to-date (ook tekenprogramma’s en planningssoftware).
- Veel op de baan met je laptop? Check bij je IT collega of toestel encryptie aan staat of mogelijk is. Zo is een dief niets met je laptop als deze toch verloren gaat.
Calculator
Als calculator ontvang je vaak offertes, prijsaanvragen en promoties van leveranciers. Dit maakt je kwetsbaar voor phishingaanvallen gericht op financiële informatie.
- Controleer altijd het e-mailadres van bouwpartners die de prijsofferte willen bespreken en vermijdt het openen van bijlages.
- Bij het ontvangen van tijdelijke promoties van leveranciers controleer je dit best ook nog via een alternatief kanaal (bv. website).
- Gebruik een wachtwoordmanager om je logins voor software en leveranciersportalen te beheren.
- Werk met wachtwoordbeveiligde documenten voor vertrouwelijke info zoals marges of onderaannemersprijzen.
HR & administratie
HR- en administratieve medewerkers verwerken persoonlijke gegevens en looninformatie, dit is gevoelige data die cybercriminelen graag misbruiken.
- Controleer elk verzoek om persoonlijke gegevens of bankinfo aan te passen, zelfs van collega’s.
- Dubbelcheck dringende verzoeken van je baas door via een ander kanaal contact op te nemen.
- Opgepast met het achterlaten van gevoelige documenten op je bureau en vergrendel je computer steeds wanneer je deze achterlaat.
- Zorg dat een basis cyberbewustzijn opleiding deel uitmaakt van je onboarding proces en evaluatie proces, minstens voor nieuwe werknemers die een laptop, gsm of email adres van het bedrijf ontvangen.
- Verplicht Multi-factor authenticatie op alle software die door het bedrijf gebruikt wordt. Stem af met IT hoe dit best afgedwongen wordt.
Werfleider & bouwarbeider
Hoewel je meestal op de werf bent, gebruik je toch regelmatig e-mail, tablets of smartphones voor planningen en communicatie. Ook jij bent een potentiële schakel voor cybercriminelen.
- Wees waakzaam bij berichten via WhatsApp of sms met links naar documenten of foto's rond een project.
- Klik niet zomaar door na het scannen van een QR-code op de werf of op brochures en stickers, deze kunnen leiden naar kwaadaardige sites. Kijk goed waar de link je heen leidt, en surf liever zelf naar de vertrouwde website.
- Gebruik enkel de afgesproken apps om werfgegevens te raadplegen of door te sturen.
- Vergrendel je laptop en smartphone als je deze onbewaakt achterlaat.
Deel deze tips eenvoudig als PDF
Download bovenstaande tips als PDF om via mail, of als poster, te delen binnen je organisatie en vergroot het cyberbewustzijn op een eenvoudige en doeltreffende manier.
Deel deze tips eenvoudig als PDF
Download bovenstaande tips als PDF om via mail, of als poster, te delen binnen je organisatie.
Algemene tips & tricks
Volg processen
Laat je niet opjagen, ook als je baas even niet bereikbaar is. Volg altijd de afgesproken procedures, zeker bij betalingen of het delen van gevoelige informatie.
Gebruik MFA
Bescherm je accounts extra met MFA (multi-factor authenticatie). Dit maakt het voor cybercriminelen veel moeilijker om toegang te krijgen, zelfs als ze je wachtwoord weten.
Deel inzichten
Deel opvallende phishingpogingen of verdachte websites met collega’s of IT. Zo help je mee aan de algemene veiligheid van je organisatie.
Opvolging
Cyberveiligheid is geen eenmalige actie, maar een doorlopend werkpunt. Onderaan vind je subsidies, opleidingen en events die je kunnen helpen om je organisatie digitaal weerbaar te houden. Het belangrijkste is dat er een plan van aanpak komt. Zelfs kleine stapjes kunnen een enorm verschil maken. Wij raden aan om:
- Te evalueren hoe je er voor staat qua cyber security: Dit kan door de relevante mensen, bijvoorbeeld het hoofd van elke afdeling, samen te brengen en te bespreken waar jullie denken dat de grootste risico's zitten. Laat je in deze oefening liefst bijstaan door een dienstverlener die met cybersecurity bezig is. Dat kan je IT dienstverlener zijn, of een gespecialiseerde cybersecurity dienstverlener. Dit hoeft niet veel te kosten, vaak ben je met 1 of 2 sessies al heel wat.
- Een doel te stellen: Een doel kan je stellen ofwel op basis van de evaluatie die je gedaan hebt en de risico's die je ervaart, ofwel aan de hand van een bestaand kader zoals ISO27001, NIS2, of de Cyber Fundamentals (link naar: https://atwork.safeonweb.be/nl/tools-resources/cyberfundamentals-framework). De Cyber Fundamentals zijn een in Belgie ontwikkelde checklist die je kan helpen om prioriteiten te stellen. Heel nuttig als je niet weet waar te beginnen. Begin bij "small", en bekijk dan hoever je wil en kan gaan om veiliger te gaan werken.
- Een plan van aanpak te formuleren: nu je weet wat de doelen zijn voor jouw organisatie moet je zaken concreet maken: taken, rollen, verantwoordelijkheden, en tegen wanneer je bepaalde doelen wil bereikt hebben. Ook hiervoor kan je je laten bijstaan door een cybersecurity dienstverlener.
- Producten en oplossingen kiezen: Voor sommige doelen zal het noodzakelijk zijn software of hardware aan te kopen, of professioneel advies in te winnen. Hierbij is het belangrijk dat je begint bij je eigen doelstellingen. Je kan je niet zomaar "cyberveilig" kopen, dus voor je veel geld in een product investeert, weeg je dit beter af tegen de andere risico's of doelen waar je wat aan wil doen. Vergeet in dit verhaal ook de mens niet, in meer dan 90% van de cyber aanvallen is o.a. gebruik gemaakt van phishing.
Je staat echter niet alleen voor deze uitdaging. Embuild Vlaanderen werkt regelmatig met partners rond cybersecurity, en via Vlaio kan je aanspraak maken op allerlei steunmaatregelen die je voor een fractie van de kost toelaten met professionele dienstverleners aan de slag te gaan. Hier onder vind je enkele nuttige links.
Embuild
- Houd de agenda in de gaten voor onderwerpen over cybersecurity.
- Plan een bezoek in op de jaarlijkse Digital Construction beurs.
Vlaio
- Raadpleeg een overzicht aan initiatieven rond cybersecurity.
- Maak gebruik van een gesubsidieerd Cybersecurity verbetertraject.
- Neem deel aan evenementen rond cybersecurity.
Versterk je cyberbewustzijn met OutKept
Voorkom dat cybercriminelen je organisatie binnendringen met een simpele klik. OutKept helpt je om je medewerkers
te trainen in het herkennen van phishing en bevorderd veilig online gedrag.