Nieuws

Anti-phishing training kinderen werkt kort Blijvende aandacht cybersecurity

Kinderen die een training krijgen in cybersecurity en het herkennen van phishing, zijn beter in staat onderscheid te maken tussen valse en echte emails en websites. Maar die kennis zakt wel snel weg. Blijvende aandacht in het onderwijs is nodig. Dat blijkt uit onderzoek van de Universiteit Twente.

Kinderen leren zichzelf al heel jong zoveel over het omgaan met internet, ook op hun smartphones en tablets, dat de vraag rijst of ze ook de valkuilen herkennen. Voor kinderen in de leeftijdsgroep 8-13 jaar hebben de onderzoekers daarom een test en een training ontworpen rondom ‘phishing’: emails en webpages die er echt uitzien, maar bijvoorbeeld vragen om privégegevens. Uit het onderzoek, bij zes scholen en in totaal 353 leerlingen, blijkt dat in elke schoolklas wel iemand een voorbeeld kent uit zijn of haar omgeving, die slachtoffer is van phishing en zo geld is kwijtgeraakt. Sommige kinderen kennen ook de televisiespotjes die ertegen waarschuwen.

Eye-opener voor leerkrachten

Uit de test blijkt echter dat de kinderen zelf middelmatig scoren in het herkennen van phishing, ongeveer zes van de tien halen ze eruit. Na een training stijgt dit met 14 procent. De leerlingen leren dan bijvoorbeeld kritisch kijken naar het email- of webadres en naar de manier waarop het is verwoord. Ook voor hun leerkrachten bleek het vaak een eye-opener dat je verdachte web- en emailadressen eenvoudig kunt checken. Daarnaast leerden de scholieren bijvoorbeeld letten op overdreven urgentie (‘als je niet meteen reageert, dan…’)  en op gebrekkige taal.

Hoewel de scholieren direct na de training beter scoren – er is overigens geen verschil tussen jongens en meisjes – blijken ze bij een herhaalde test na vier weken niet veel beter te scoren dan vóór de training, in het herkennen van phishing mails. De kennis is niet helemaal weg, een echte email weten ze goed te herkennen. Er is dus wel ‘awareness’ gekweekt, maar dit vergt onderhoud. Temeer omdat phishing-technieken steeds ‘levensechter’ worden en ook kunnen opduiken in de games die kinderen online spelen, verdient het blijvende aandacht in de context van cybersecurity. Bijvoorbeeld in een les-onderdeel waarin ook cyberpesten is opgenomen en aandacht voor privacy: wat zet je wel en wat niet online. De eerste stap, volgens de onderzoekers, is het trainen van de leerkrachten. Maar kinderen leren het meest als het hun éigen gespreksonderwerp wordt, ook thuis.

Met aandacht voor de schaduwkant van online-zijn kun je niet vroeg genoeg beginnen. Phishing wordt vooral als een probleem voor volwassenen gezien in hun zakelijke communicatie. Maar hoewel kinderen misschien minder gebruik maken van email (desondanks had nog 80 procent een eigen emailadres) en meer van social media, duiken slimme technieken ook daar op. Initiatieven zoals ‘Safe and Secure Online’ verdienen verdere uitbreiding, vinden de onderzoekers: universiteiten en IT security ondernemingen kunnen daarin een rol spelen.

Het paper ‘How effective is anti-phishing training for children?’ door Elmer Lastdrager, Inés Carvajal Gallardo, Pieter Hartel en Marianne Junger, is gepresenteerd op het Symposium on Usable Privacy and Security (SOUPS2017) in Santa Clara. Het paper was daar goed voor een Distinguished Paper Award.

Wiebe van der Veen
Persvoorlichter (aanwezig ma-vr)