Bør Du Phishe Dine kollegaer? Det Synes Vi!
Phishing-træning er en måde at teste, hvor gode dine kollegaer er til at opdage phishingmails. Men, det kan være kompliceret at komme igang, da det handler om at snyde andre bevidst. Hvisdet er gjort ordentligt, så kan det have en stor positiv indflydelse på din sikkerhed, men hvis det bliver gjort forkert, kan det have negative konsekvenser og møde modstand fra ens kollegaer. I dette blogindlæg går vi over nogle af fordelene ved phishing tests, hvad der kan gå galt og vi deler, hvordan phishing testing har forbedret nogle af vores kunders sikkerhed.
Her kan du læse om:
- Fordele: Hvorfor phishe dine kollegaer?
- Ulemper: Argumenter imod at sende phishing tests
- Eksempel på en phishing simulation der gik galt: FGU Vestegnen
- Hvad er bedømmelsen?
- Hvad vores kunder synes om phishing-testing
- Træn dine medarbejdere i at genkende phishingmails i dag
Fordele: Hvorfor phishe dine kollegaer?
At lave phishing simulationer er en god måde at træne dine kollegaer i at spotte ondsindede e-mails og håndtere dem ordentligt. Hvis du allerede har et IT-sikkerheds eller awareness-træning program på kontoret, så kan phishing træning være en god måde for dine kollegaer at tage alt det de har lært og bruge det i praksis.
Du har sikkert også et par kollegaer, som ikke synes IT-sikkerhed er en særlig stor sag eller som er sikre på, at de aldrig nogensinde ville falde for et phishingangreb. Phishing-simuleringer kan være brugbare, da de viser dine kollegaer, hvor svært det kan være at spotte en phishing email. Måske vil disse kollegaer være lidt mere motiveret til at lære om IT-sikkerhed bagefter.
Medarbejdere skal lære at spotte phishing-emails
Learning by doing, sådan lærer vi typisk bedst. Det en ting at kigge på en plakat med tegnene på en phishingmail, men intet kan rigtigt måle sig med the real deal. Dine kollegaer er sikkert gode til at spotte de åbenlyse og normale phishingmails som f.eks. mails, der lader som om, de er en webbank eller Post Nord, men de har måske større problemer i at spotte mere målrettede typer phishing som spear phishing eller direktørsvindel e-mail. At sende den her slags mails til dine medarbejdere, hjælper dem med at udvide deres awareness om phishing, hvilket gør din organisation mere sikker.
Medarbejdere skal vide, hvordan man rapporterer en phishingmail
Din organisation bør have klare instrukser, som medarbejdere skal følge, hvis de modtager en mistænksom email. En god rapporteringsproces kunne f.eks. være at fortælle den person, der står for IT-sikkerheden om mailen og advare sine andre kollegaer om emailen.
Rapporteringsprocessen fungerer dog kun, hvis den faktisk bliver brugt. En falsk phishing email er en måde at teste på, om dine kollegaer forstår rapporteringsprocessen, og om de bruger den eller ej. Resultaterne viser dig, om du har brug for en mere simpel proces, eller om folk skal have en påmindelse om, hvem de skal gå til, hvis de modtager et phishingforsøg. Vores egen erfaring viser, at det tager tid at få sådanne processer ind under huden.
Medarbejdere skal være forberedte på rigtige angreb
Vores erfaring viser, at efter kontinuerlig awareness-træning og phishing træning lavede brugerne mindst 50% færre fejl i phishingsimulationerne. I vores phishing tests, under den første phishingmail, indsendte 15% af modtagerne deres personlige oplysninger, som den “IT-kriminelle” anmodede om. Ved den tredje phishing test faldt tallet til kun 6% af medarbejderne.
Det betyder altså, at vores brugere er bedre forberedt på at håndtere et virkeligt phishingangreb, og at der er mindre sandsynlighed for, at de klikker på links eller sender følsom information. Man kan ikke være for sikker eller for overberedt, fordi phishing er den største IT-sikkerhedstrussel mod organisationer.
Evaluering af, hvor godt du har trænet dine medarbejdere i IT-trusler
Phishing-testen er ikke kun en test af dine kollegaer. Det er også en evaluering af, hvor godt du har trænet dem i phishing og it-sikkerhed. Hvis mange medarbejdere falder for phishingmailen, er det ikke nødvendigvis et tegn på, at de er færdige som gårdsangere - de skal bare kende materialet bedre. Vi ved også alle, at testresultater måler både lærerens kvalitet og elevens formåen. God træning skal ikke være en “jeg fik dig” situation, men en læringsmulighed for både læreren og eleverne. Den løbende evaluering skal fokusere på, hvordan I kan forbedre jer som helhed og ikke fokusere på den enkelte "elev".
Phishing-træning ser ud til at have mange fordele, men hvad kan der være af ulemper? Nogle er bekymrede for at starte phishing-træning i frygt for, hvordan deres kolleger vil reagere på at blive testet. Den her frygt dækker vi i næste del.
Ulemper: Argumenter imod at sende phishing tests
En af hovedgrundende til, at folk er bekymret for at starte på phishing testing, er at de tror, at deres medarbejdere ikke vil se positivt på det. I den her sektion, vil vi snakke om, hvorfor den her frygt eksisterer, og hvad du kan gøre for at undgå det.
Phishing-træning er uetisk
At sende en phishing-test kan ses som uetisk, fordi du snyder dine kolleger ved at sætte deres detektivevner på prøve. De løgne, du fortæller i phishing-e-mailen, skal være overbevisende og saftige, fordi e-mail-indholdet skal give medarbejderen lyst til at handle. Phishing-e-mails udnytter normalt modtagerens følelser, så de kan udgøre en trussel eller skabe en følelse af falsk presserende karakter. Alle disse følelser kan få dine kollegaer til at føle sig utilpasse, derfor ses phishing-træning af nogle som noget uetisk.
Men dine kollegaer kommer til at mærke de her følelser fra hvilken som helt phishing e-mail – lige meget om det er fra den søde IT-afdeling eller en rigtig IT-kriminel. Så, vi tror på, at det er bedst at træne din virksomhed i at blive bekendt med de her følelser (I et sikkert miljø), så de er klar, når de bliver udsat for en rigtig phishingmail. Det er vigtigt, at det gøres på en måde, hvor folk bliver trygge ved det.
Du kan miste kollegaers tillid
På samme måde frygter nogle, at phishing-træning kan mindske tilliden mellem IT-afdelingen og deres kolleger. Det skyldes, at kolleger føler, at de er blevet forrådt eller vildledt uretfærdigt. Det er dog usandsynligt, at dette sker, hvis målet med træningen er tydeligt kommunikeret, og ingen bliver udpeget for deres præstationer. Selvfølgelig ville det være let at skabe mistillid, hvis John blev kaldt ud foran hele kontoret, fordi han indsendte sine kreditkortoplysninger, som svar på en falsk phishing-e-mail. Det giver mening, at han ville føle sig forrådt og blive ked af det, hvis han blev ydmyget foran alle.
På den anden side, gjort godt, kan phishing-tests opbygge tillid mellem kollegaer og IT-afdelingen. Hvis kollegaer ser, at resultaterne kun diskuteres på virksomhedens overordnede præstationsniveau, og at IT-teamet er investeret i deres læring, kan det skabe tillid. Man kan have en tendens til at ville have mange til at klikke på ens phishingmail, da det må betyde, at mailen er god, men målet er, at ingen klikker selvom mailen er godt lavet. Derfor skal fokus være virksomhedens samlede fremgang eller udfordringer - ikke individets.
Løsningen: God kommunikation
Begge disse potentielle problemer kan løses med god kommunikation om målet med phishing-træningen. Medarbejdere kan frygte, at de vil blive dømt eller kaldt ud, hvis de klarer sig dårligt. At kommunikere formålet med træningen, og hvordan resultaterne vil blive brugt/delt, kan imødekomme disse bekymringer, før de overhovedet dukker op. Sørg for, at dine kolleger ved, at det er en læringsøvelse for alle, inklusive IT-afdelingen.
Det er også en god idé at understrege, at individuelle resultater ikke deles, og at ingens job er i fare. Alle kan komme til at klikke i et travlt moment. Fremhæv, at du er interesseret i, hvor godt virksomheden generelt klarer sig, i stedet for at se på individuelle resultater. Når dine kolleger ved dette, vil de føle sig meget mere komfortable med testene. Vi diskuterer dette og nogle andre tips til at skabe et vellykket phishing-testprogram i dette blogindlæg. Gør det til en leg og ros hinanden, når folk rapportere phishingmails og advarer hinanden.
Det kan selvsagt gå galt, og lad os se på et et eksempel, hvor en phishing-simulation ikke gik godt.
Eksempel på en phishing simulation der gik galt: FGU Vestegnen
FGU Vestegnen er en uddannelsesinstitution, som i 2021 sendte en phishing-e-mail ud til deres medarbejdere. Det endte i nyhederne, da deres medarbejdere reagerede dårligt på mailen. Phishing-mailen hævdede, at organisationen havde modtaget en donation på 25 millioner kroner som belønning for organisationens gode arbejde. Pengene ville blive fordelt mellem alle ansatte, hvilket betød, at alle medarbejderne ville få 8.500 kr. Den sum penge ville være deres, hvis de blot klikkede på et link og udfyldte nogle oplysninger.
Da medarbejderne fandt ud af, at det var en phishing-test, og at de ikke blev 8.500 kr. rigere, blev de vrede og skuffede. Blandt kritikpunkterne var, at der i mailen blev lovet en bonusbetaling for godt arbejde i en tid, hvor arbejdsforhold og løn var følsomme emner. Derudover refererede e-mailen til en donation fra en ekstern fond, som strider imod visse it-sikkerhedsselskabers etiske regler, da fonden fandtes i virkeligheden.
IT-direktøren i FGU Danmark forsvarede oprindeligt mailen og hævdede, at phishing-tests skulle være attraktive og realistiske for at være effektive. Virksomheden har dog siden undskyldt og foreslået, at de vil finde andre måder at teste phishing-beredskab på.
Hvad gik galt her?
Vi kan lære af de fejl, FGU begår. Der, hvor deres phishing-test gik galt, var, at de nævnte midler fra en rigtig ekstern fond, og den berørte et følsomt emne: arbejdsforhold. Løn og vilkår på arbejdet kan være følsomme emner for nogle medarbejdere, og derfor skal du være forsigtig, når du designer indholdet i dine phishing-mails. Man kan sagtens lave gode phishingmails uden at gøre det om emner, som har stor indvirkning på medarbejderes dagligdag og lïv. Hvis du har brug for hjælp til at tænke over, hvad du skal skrive i dine phishing-e-mails, har vi fire eksempler på kampagner, der kan bruges som inspiration.
FGU-sagen viser, at det ikke var selve phishing-testen, der var problemet, men derimod indholdet i e-mailen, og hvordan det blev kommunikeret. Disse to ting, indhold og kommunikation, er helt inden for din kontrol, hvilket betyder, at du kan lave phishing-simuleringer uden at have negative konsekvenser.
Hvad er bedømmelsen?
I vores øjne opvejer fordelene ved phishing-træning ulemperne. Det giver nok sig selv, da vi tilbyder phishing-træning.
Vi synes, at du skal phishe dine venner, og det er ikke kun noget, vi siger eller sælger - vi gør det også selv. Vi spiser vores egen medicin og kører interne phishing-simulationer, hvor vi løbende lærer og bliver bedre til at advare hinanden. I starten var nogle lidt bekymrede internt, men det er nået et punkt, hvor folk synes, at det er sjovt og støtter hinanden i at spotte phishingmails'ene hurtigst muligt.
Phish dine venner og kollegaer
Fordelene opvejer de potentielle konsekvenser, og hvis du overvejer dine skridt bør du undgå negative resultater eller dårlige reaktioner. For eksempel, hvis du fortæller kontoret, at du vil begynde at sende phishing-tests, før du sender nogen ud, kan du løse de tillidsproblemer, der kunne opstå. Du kan også køre den første phishingsimulation uden at folk ved det, hvis du tilgengæld har planlagt, hvad du kommunikere bagefter for at imødekomme potentielle sure eller overraskede kollegaer. Der er flere måder at gøre det på.
At fortælle alle om phishing-træningen på forhånd kan nogle gange give dig skæve resultater for din første phishingmail, fordi medarbejderne kan være opmærksomme eller klar på at finde en phishing-e-mail. Så det er op til dig at afveje mulighederne, og hvordan du tror, at dit personale vil reagere på at vide, at de er blevet phishet. Du kender dine kollegaer bedst.
Brug din sunde fornuft
I mange tilfælde er dine kollegaer ivrige efter at lære og teste deres evner i at spotte phishing-mails. Så længe du ikke offentligt navngiver og udstiller folk, der falder for phishing-fælden, så er phishing-tests normalt ikke en årsag til uro. I stedet kan du dele resultaterne af phishing-testen på et generelt niveau, for eksempel ved at dele, hvor stor en procentdel af virksomheden, der klikkede på det "ondsindede" link, og hvor stor en procentdel af medarbejderne, der sendte alle de anmodede personlige oplysninger. At dele resultaterne på et generelt niveau kan bringe din organisation tættere sammen ved at give alle et fælles mål at arbejde hen imod. Brug din sunde fornuft ift., hvordan ting vil blive modtaget. Hvordan ville du selv have det, hvis folk fik at vide, at du klikkede? Formentligt ikke fedt, så hold det på et generelt niveau.
Vi gør det også selv
Som nævnt kører vi selv phishing-træning ud over awareness-træning for at holde vores hold skarpe og parate til at håndtere almindelige it-sikkerhedstrusler.
Her er, hvad vores administrerende direktør, Rasmus Vinge, siger om de phishing-tests, som vi laver internt:
"Jeg ser en stor værdi i phishing-træning. Jeg ser, at hver gang vi sender phishing-mails til vores team, bliver det til en snak mellem kollegaer. Det betyder, at phishing bliver en del af dagsordenen, og at folk advarer hinanden, når de opdager en phishing e-mail, hvilket ideelt set er det, vi gerne vil have. Samtidig ser vi også, hvor mange mennesker, der bliver ofre for e-mails'ene, hvilket hjælper os med at vurdere, hvor gode vi har været til at skabe opmærksomhed løbende, og om vi skal øge niveauet af initiativer."
Vi hører også denne slags historier fra vores kunder, som du kan læse om i næste del.
Hvad vores kunder synes om phishing-testing
Vores kunde, DTU Biosustain, fortæller, hvordan phishing-tests har forbedret deres sikkerhed. De bruger både vores awareness-træning og phishing-træning, og deres IT-chef, Mads, mener, at det har gjort deres sikkerhed stærkere på mange måder. For eksempel siger Mads, at:
- Phishing-tests er et godt supplement til andre IT-træningsaktiviteter
- Phishing-tests kan hjælpe dig med at baseline, hvor effektive dine andre træningsaktiviteter er
- Phishing-tests giver dig et reelt tal på, hvordan din virksomhed udvikler sig, og hvor gode dine kolleger er til at spotte phishing-e-mails
Så du behøver ikke bare tage vores ord for det. Phishing-træning virker og kan blive en vigtig del af dit it-sikkerhedsarbejde.
Træn dine medarbejdere i at genkende phishingmails i dag
Phishing er den største sikkerhedstrussel, som virksomheder står over for i dag, og det kræver blot, at der er én medarbejder der falder for en phishingmail, før din virksomhed kan opleve alvorlige konsekvenser. Det er ekstremt dyrt for enhver organisation at opleve et brud, der starter med en phishing-e-mail.
Hvis du vil vide mere om phishing-træning, kan du bruge denne formular til at booke en gratis demo med en af vores phishing-eksperter. Du kan også se dette eksempel på en phishing-kampagne med oplysninger om, hvor mange personer der har klikket på e-mailen og sendt deres personlige oplysninger afsted. Vi ser frem til at høre fra dig!
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.