"Hackers breken niet in, maar ze loggen in." Dat is de harde realiteit van vandaag als het gaat om phishing. Met OutKept zorgen Simon Bauwens en Dieter Tinel ervoor dat bedrijven zich beter wapenen tegen verdachte mails door simulatiecampagnes op maat te bouwen. "Onze samenwerking met een community van ethische phishers maakt ons wereldwijd uniek."
Bedrijf
De buitenwipper voor cybercriminelen, zo zou je OutKept letterlijk kunnen omschrijven. De Gentse SaaS-start-up (software as a service) wil het risico op een succesvolle cyberaanval drastisch verlagen door mensen te trainen in het herkennen van frauduleuze phisingmails. "Daarvoor werken we samen met een community van ethische phishers. Zij maken de phisingmails op ons platform die wij gebruiken voor simulatiecampagnes in bedrijven", zegt medeoprichter Simon Bauwens.
Phising is immers geen nieuw fenomeen meer. Vorig jaar kreeg Safe On Web, digitaal meldpunt voor cybercriminaliteit, maar liefst 4,5 miljoen gemelde phisingmails binnen. "Dat is een weerzinwekkend cijfer, maar helaas slechts het topje van de ijsberg", aldus Dieter Tinel die samen met Simon het bedrijf runt. "Er is maar een persoon nodig in je bedrijf die op een verdachte link klikt waardoor alle systemen plots klem kunnen zitten. Door onze phisingsimulatiecampagnes zien we dat het aantal kliks op links in phisingmails al drie tot zes maanden gemiddeld met 50% zakt. Onze klanten kunnen via ons platform de impact van de mails volgen. Maar we proberen vooral medewerkers enkele basisreflexen aan te leren als ze een mail openen. Het is zoals de straat oversteken. Dan kijk je ook langs weerszijden of er geen verkeer aankomt. Als je dat niet doet, kan de impact desastreus zij. Bij phisingmails is dat net hetzelfde."
Voor ons zijn mensen de beste verdedigingspoort tegen phising
Bezielers
Zoals de dienstverlening van OutKept digitaal verloopt, vonden ook Simon en Dieter elkaar zo. "Een tweetal jaar geleden volgden we hetzelfde Voka-webinar rond artificial intelligence waar nadien nog even tijd was om kennis te maken", vertelt Simon. "We waren beiden op zoek naar een co-founder voor een aantal gelijklopende ideeën. Na een aantal keer sparren kwamen we tot een concept dat nu gevormd is tot OutKept. De eerste maanden zagen we elkaar uitsluitend digitaal door de coronapandemie, maar zodra het kon, spraken we gelukkig al eens fysiek af voor een koffie", lacht Simon.
Met een achtergrond in consultancy en een gezonde passie voor digitale topics vormt Simon een complementair duo met Dieter, die in een vorig leven actief was als expert in cybersecurity. "Intussen hebben we een team met de ontwikkeling van het platform en het beheer van de community. Daarnaast zijn ook een hondertal ethische phishers op ons platform een cruciale schakel in onze werking geworden."
Inspiratiebron
Dat de inspiratie niet ver te zoeken was om iets te doen rond phishing, is een understatement. "Internationale cijfers wijzen uit dat succesvolle phishingpogingen tot zes keer meer voorkomen in vergelijking met voor de coronapandemie. Tegenwoordig is het niet meer zo moeilijk om mensen in de val te lokken. Je kan perfect vanuit de slaapkamer een miljoen e-mailadressen aankopen op het dark web en er phisingmails op afvuren. De drempels zijn steeds lager", waarschuwt Dieter.
"Gelukkig zien we dat het bewustzijn groeit en dat bedrijven die tot twee jaar geleden niets deden, nu wel kijken om een extra 'menselijke' beschermingslaag in te bouwen naast de gebruikelijke technische spamfilters. Zo is preventie rond phishing een nieuwe uitgave geworden in bedrijfsbudgetten. Daarnaast zien we dat er verplichtingen langs de zijlijn worden opgelegd. Sommige verzekeraars willen geen cybersecurityverzekering meer afsluiten zonder dat er phisingsimulaties gebeuren. Dat is maar logisch ook. Je gaat toch ook geen huis verzekeren tegen inbraak als de deuren wagenwijd openstaan?", zegt Simon fijntjes.
USP
OutKept is het enige bedrijf ter wereld dat op schaal samenwerkt met een community van ethische phishers die hen content in de vorm van phishingmails aanlevert. "Daardoor kunnen we bedrijven mails bezorgen die inspelen op de lokale actualiteit of context van hun werknemers. Begin dit jaar werd gewaarschuwd voor phishingmails die de ronde deden om een afspraak vast te leggen voor het boostervaccin. Wij gebruikten diezelfde mails toen al drie maanden eerder in de simulaties bij klanten."
De community dikt nog elke dag aan in omvang en bestaat uit ethische phishers met verschillende achtergronden? "We hebben een samenwerking met Howest waarvan een groot deel studenten van de opleiding toegepaste informatie en cybersecurity zich aanmeldt op ons platform om phishingmails te maken. Het is een leuke bijverdienste, want de ethische phishers worden vergoed per keer dat er op hun eigen mailcreatie geklikt wordt vanuit de bedrijven. Zo zit er ook een stukje gameification in en krijgt OutKept steeds voldoende kwalitatieve input", verduidelijkt Dieter.
Grootste uitdaging
Een digitaal platform op punt stellen brengt meestal technische moeilijkheden met zich mee, weet Simon te vertellen. "Toen we net ons prototype hadden verbeterd en gelanceerd bij onze eerste klant, kwamen we aan een click rate van 100%. We weten dat onze phishingmails sterk zijn, maar dat iedereen er op klikt is natuurlijk onmogelijk. In de logs zagen we dat sommige mensen zelfs drie keer op 1 seconde geklikt hadden. Dat deed uiteraard vermoeden dat er iets schortte aan de instellingen. We hebben dus lang gebouwd aan een algoritme dat met een grote accuraatheid bepaalt wanneer er menselijke interacties zijn met phishingmails. Daarnaast kwamen onze phishingmails. Daarnaast kwamen onze phishingmails ook niet altijd terecht in de inbox. De spamfilters werken soms te goed voor ons, een uitdaging waar criminelen maar even goed ook wij mee kampen", lacht Dieter. "Gelukkig kunnen wij samenwerken met onze klanten om dit te verhelpen, en zij niet.
Grootste meevaller
"We hadden nooit durven dromen dat onze oplossing zo'n kwantificeerbare impact zou hebben", klinkt het verheugd bij Simon. "Voor je met een community begint te werken, weet je nooit op voorhand wat de uitkomst zal zijn. Maar de resultaten stijgen boven onze verwachtingen uit. De kwaliteit van de phishingmails die door onze ethische hackers zijn gemaakt, is van een zodanig hoog niveau dat IT-managers uit bedrijven zelf ook soms twee keer moeten kijken of het om een betrouwbare mail gaat. Bovendien kunnen we bedrijven met duidelijke cijfers aantonen dat het aantal clicks gemiddeld met de helft daalt na een aantal maanden. Dat is altijd positief voor de value proposition van een start-up."
Toekomst
“Het duurt gemiddeld een tweetal uur om een campagne voor een klant op te zetten. Onze oplossing is dus redelijk schaalbaar en toepasbaar in diverse sectoren. Of je nu een bouwbedrijf of een boekhoudkantoor hebt, iedereen is vatbaar voor phishing. Om internationaal te groeien en het team gevoelig uit te breiden, is er financiering nodig. Dankzij het Finfinder-evenement van Voka (waar matchmaking plaatsvindt tussen scale-ups en durfkapitalisten) hebben we een eerste investeerder gevonden. Zonder dergelijke activiteiten of een warme aanbeveling in het netwerk is de zoektocht naar extra middelen zeker niet evident. Nu zijn we nog op zoek naar een co-investeerder die ons een extra duwtje in de rug kan geven”, aldus Dieter.
Bryo
Nog voor er sprake was van OutKept, nam Simon al deel aan het Bryo StartUp traject. “Vanuit een ander bedrijfje dat ik mee heb opgericht, ging ik naar de sessies om ervaringen te delen. Daar ben ik dan uitgestapt om aan het phishingavontuur te beginnen. Nu neem ik opnieuw aan Bryo deel, maar dan aan het ScaleUp traject. Het gebeurt soms dat we elkaar afwisselen in de sessies want het blijft hoe dan ook interessant om er iets van op te pikken voor ons allebei.”
Gouden tip
Van begin af aan trokken Simon en Dieter hun stoute schoenen aan om zoveel mogelijk potentiële klanten aan te spreken. “We hebben zelfs Voka gevraagd om het eerste prototype van ons platform te testen. Dat was voor ons een blijk van vertrouwen om nadien andere prospecten te benaderen met een mooie referentie op zak. Om een gunst durven vragen brengt je ongelooflijk ver, ook al is je product nog verre van optimaal. Het is belangrijk dat je continu vraagt waar klanten naar op zoek zijn. De lijst met functionaliteiten die we met OutKept nog willen bouwen is eindeloos, maar met een team van beperkte omvang kan je toch maar een fractie realiseren. De prioriteiten laat je best bepalen door jouw belangrijkste stakeholders”, geeft Simon nog mee.