Ber deg slutte å straffe de som «stryker» phishing-testen

- Ansatte som faller for phishing er ikke det svakeste leddet, de er nå dine sikreste medarbeidere, skriver Zack Korman.

IT-ansvarlige elsker å sende ut simulert phishing, skriver Zack Korman. Her en phishing-mail som gir seg ut for å være fra Skatteetaten. Den fisker etter person og kredittkortopplysninger. 📸: Cornelius Poppe / NTB
IT-ansvarlige elsker å sende ut simulert phishing, skriver Zack Korman. Her en phishing-mail som gir seg ut for å være fra Skatteetaten. Den fisker etter person og kredittkortopplysninger. 📸: Cornelius Poppe / NTB Vis mer

IT-ansvarlige elsker å sende ut simulert phishing. De har et godt alibi i den erklærte intensjonen om å forbedre sikkerhet for bedriften, men det er ikke tvil om at de hygger seg litt når ansatte faller for “gratis gavekort”-eposten de brukte mesteparten av en arbeidsdag på å sette sammen.

Hvis du har falt for en av disse, vet du hva som følger: Obligatorisk sikkerhetskurs. Du har blitt tatt i fartskontroll, og boten er å se på nedlatende videoer og fylle ut “har du fulgt med i timen”-skjemaer.

IT-avdelinger har også sterke meninger om hva man bør gjøre med de som ikke samarbeider med denne prosessen. Fjerning av tilganger, rapportering til øverste ledelse, trusler om lønnsreduksjon og oppsigelse står gjerne på ønskelista, særlig i land der slikt ikke strider mot arbeidsmiljøloven.

Når såpass sterkt krutt blir brukt, skulle man anta at hver eneste person som har falt for phishing er en enorm og øyeblikkelig trussel for bedriftens velbefinnende - men sånn er det ikke.

Klikkerne har allerede lært

I Pistachio har vi kjørt over 100.000 phishing-simuleringer de siste seks månedene.

En av de mer åpenbare statistikkene vi har fått er denne: En person som har klikket på en phishing-epost har 50 prosent lavere sannsynlighet for å klikke på neste simulering, sammenlignet med de som ikke klikket.

Dette gir mening, rent intuitivt. De fleste vet hvordan man identifiserer phishing-forsøk, men de glemmer å være på vakt.

Å falle for en simulering er en god påminnelse, om at du må følge med.

Ikke svakeste leddet

Ansatte som faller for phishing er dermed ikke det svakeste leddet. De er nå dine sikreste medarbeidere. Å tvinge dem gjennom ekstra kursing er dårlig ressursbruk.

For å gjøre det verre har IT-avdelinger en tendens til å sende ut en phishing-epost i kvartalet, kanskje sjeldnere, og markere de ti prosentene som falt for denne som “folk som trenger ekstra kursing”.

Men vår erfaring er at etter seks phishing-simuleringer har 40 prosent av alle ansatte i en organisasjon klikket minst én gang.

Hvis folk som faller for phishing virkelig er svake ledd og øyeblikkelige trusler, er de resterende 30 prosent som IT-avdelingen ikke klarte å fange opp den største trusselen av alle.

Straff fungerer ikke

Cybersikkerhet er ikke noe man kan banke inn i folk. Det trenger å være en samlet innsats, og man trenger å legge til rette for motivasjon og interesse for temaet.

Vi bør høre etter når en ansatt klager over å føle seg straffet for å ha falt for simulert phishing. Å skape splid mellom IT-avdelingen og øvrige ansatte fører ikke noe godt med seg.

Sikkerhetsavdelinger som leser dette oppfordres til å vurdere hvordan dagens praksis påvirker resten av bedriften. Hvis ansatte avskyr IT-sikkerhet, er det på tide med en forandring.

Kilder: