Bør du phishe kollegene dine? Det synes vi!

Phishing-testing, også kalt phishing-simuleringer eller phishing-trening, er en måte å teste hvor godt kollegene dine kan oppdage en phishing-e-post. Det kan være komplisert å ta beslutningen om å starte phishing-testing for dine ansatte, fordi det innebærer å villede andre med vilje. Når det gjøres bra, har det en veldig positiv innvirkning på sikkerheten. Men hvis det gjøres dårlig, kan det få negative konsekvenser. I dette innlegget går vi gjennom noen av fordelene med phishing-testing, hva som kan gå galt, og hvordan phishing-testing har forbedret sikkerheten hos en av kundene våre.

Her kan du lese om

• Hvorfor skulle du phishe dine egne ansatte?

  • Hvordan du lærer opp medarbeiderne dine til å gjenkjenne phishing-e-post

  • Test om kollegene dine vet hvem de skal rapportere phishing-forsøk til

• • Forberede seg på et angrep i det virkelige liv

  • Evaluere hvor godt du har lært opp medarbeiderne dine om IT-trusler

• Argumenter mot å sende phishing-tester
  • Uetisk
  • Tap av tillit
  • Løsningen på problemet: God kommunikasjon
• Eksempel på en phishing-simulering som gikk galt: FGU Vestegnen
  • Hva gikk galt her?
• Hva er dommen?
  • Vær så god og phishe vennene dine
  • Men bruk sunn fornuft
  • Vi praktiserer det vi preker
• Hva kundene våre mener om phishing-testing
• Lær opp dine ansatte til å gjenkjenne phishing-e-post i dag
  
  
  

Hvorfor skulle du phishe dine egne ansatte?

Å gjennomføre phishing-tester på kontoret er en velprøvd måte å lære opp kollegene dine til å gjenkjenne ondsinnede e-poster og iverksette riktige tiltak når de mottar en slik e-post. Hvis du allerede kjører et opplæringsprogramfor IT-sikkerhet eller awareness trening på kontoret, er phishing-tester en flott måte for medarbeiderne dine å bruke alt de har lært i praksis i et virkelig scenario. På denne måten fungerer det som et naturlig supplement til all opplæring dere allerede driver med.

Du har sikkert også noen kolleger som mener at IT-sikkerhet ikke er så farlig, eller at de aldri ville falt for et phishingforsøk. Phishing-simuleringer er nyttige fordi de viser kollegene dine hvor vanskelig det kan være å oppdage en phishing-e-post. Kanskje blir disse kollegene litt mer motiverte til å lære om IT-sikkerhet til slutt.

Lær opp medarbeiderne dine til å gjenkjenne phishing-e-post

Vi lærer best ved å gjøre. Det er én ting å lese en plakat om tegnene på en phishing-e-post, men ingenting kan sammenlignes med virkeligheten. Og selv om kollegene dine sannsynligvis er godt kjent med phishing-e-poster som kommer til deres personlige innbokser fra kriminelle som utgir seg for å være en bank eller moteforhandler, kan de ha vanskeligere for å oppdage en velresearchet spear phishing- eller CEO-svindel-e-post. Ved å sende medarbeiderne dine denne typen test-e-poster, øker du bevisstheten deres om phishing, noe som gjør organisasjonen din sikrere.

Test om kollegene dine vet hvem de skal rapportere phishing-forsøk til

Organisasjonen din bør ha klare instruksjoner som medarbeiderne kan følge hvis de mottar en mistenkelig e-post. En god rapporteringsprosess kan for eksempel være å først informere den IT-sikkerhetsansvarlige,og deretter advare kollegene om e-posten.

Rapporteringsprosessen fungerer bare hvis den faktisk brukes. En falsk phishing-e-post er en måte å teste hvor godt de ansatte forstår rapporteringsprosessen, og om de bruker den. Resultatene kan fortelle deg om du trenger en enklere prosess, eller om folk trenger en påminnelse om hvem de skal si ifra til.

Forbered deg på et virkelig angrep

Forskningen vår viser at etter kontinuerlig bevisstgjøringstrening og phishing-testing hadde brukerne minst 50 % færre feil under phishing-simuleringer. I våre phishing-tester oppgir i gjennomsnitt 15 % av mottakerne den personlige informasjonen som "nettkriminelle" ber om under den første phishing-testen. Ved den tredje phishing-testen går dette tallet ned til bare 6 % av de ansatte.

Dette betyr at brukerne våre er mye bedre forberedt på å håndtere et reelt phishing-angrep, og det er mindre sannsynlig at de klikker på lenker eller sender inn sensitiv informasjon. Man kan ikke være for sikker eller for godt forberedt, for phishing er den største cybersikkerhetstrusselen mot organisasjoner.

Evaluer hvor godt du har informert medarbeiderne dine om IT-trusler

Phishing-testen er ikke bare en test for kollegene dine. Den er også en evaluering av hvor godt du har informert dem om phishing og IT-sikkerhet. Hvis mange faller for phishing-testen, er det ikke nødvendigvis et tegn på at de er dødsdømte - de trenger bare å sette seg bedre inn i materialet. Og vi vet alle at testresultater måler både kvaliteten på læreren og intelligensen til eleven. God opplæring skal ikke være et "gotcha"-øyeblikk, men en læringsmulighet for både læreren og elevene.

Så phishing-testing ser ut til å ha mange fordeler. Hva kan ulempene være? Noen er bekymret for å begynne med phishing-testing på grunn av hvordan kollegene deres vil reagere på å bli testet. Vi tar for oss denne frykten i neste del.

Argumenter mot å sende ut phishing-tester

Hovedgrunnen til at folk nøler med å begynne med phishing-testing, er at de tror at det kan bli oppfattet negativt av kollegene. I denne delen skal vi snakke om hvorfor denne frykten eksisterer, og hvordan du kan unngå å bli såret.

Uetisk

Å sende ut en phishing-test kan oppfattes som uetisk fordi du lurer kollegene dine ved å sette deres deteksjonsevner på prøve. Løgnene du forteller i phishing-e-posten, bør være overbevisende og saftige, fordi innholdet i e-posten må få en ansatt til å ønske å handle. Phishing-e-poster utnytter vanligvis mottakerens følelser, slik at de kan inneholde en trussel eller skape en følelse av falsk hastverk. Alle disse følelsene kan få kollegene til å føle seg ukomfortable, og deter derfor phishing-testing kan oppfattes som uetisk.

Men disse følelsene vil alle phishing-e-poster fremkalle - enten de er sendt av det vennlige IT-teamet eller av en ekte nettkriminell. Derfor mener vi at det er best å lære opp teamet ditt til å bli kjent med disse følelsene (i trygge omgivelser) ,slik at de er forberedt når det virkelig skjer.

Tap av tillit

På samme måte frykter noen at phishing-testing kan redusere tilliten mellom IT-teamet og kollegene. Dette kan føre til at kollegene føler at de har blitt forrådt eller villedet på en urettferdig måte. Dette er imidlertid usannsynlig hvis målet med opplæringen er tydelig kommunisert, og ingen blir utpekt for sine prestasjoner. Det er klart at det ville være lett å skape mistillit hvis John ble uthengt foran hele kontoret fordi han sendte inn kredittkortinformasjonen sin som svar på en falsk phishing-e-post. Det er logisk at han ville føle seg forrådt og opprørt hvis han ble ydmyket foran alle.

På den annen side kan phishing-testing, hvis den gjøres på en god måte, bygge tillit mellom kolleger og IT-teamet. Når kollegene ser at resultatene bare diskuteres på bedriftsnivå, og at IT-teamet investerer i læringen deres ,kan dette bygge tillit.

Løsningen på problemet: God kommunikasjon

Begge disse potensielle problemene kan løses ved å kommunisere godt om målet med phishing-testene. Medarbeiderne kan frykte at de vil bli dømt eller uthengt hvis de presterer dårlig. Ved å kommunisere om formålet med opplæringen og hvordan resultatene skal brukes/deles, kan disse spenningene løses før de oppstår. Sørg for at kollegene dine vet at det er en læringsøvelse for alle, inkludert IT-teamet.

Det er også lurt å understreke at individuelle resultater ikke vil bli delt i hele selskapet, og at ingen står i fare for å miste jobben sin. Understrek at du er interessert i hvordan selskapet presterer totalt sett, i stedet for å se på individuelle resultater. Når kollegene dine vet dette, vil de føle seg mye mer komfortable med testene. Vi diskuterer dette og noen andre tips for å skape et vellykket phishing-testprogram i dette blogginnlegget.

Deretter tar vi for oss et tilfelle der en phishing-test fikk negative konsekvenser. FGU Vestegnen kom i nyhetene på grunn av en phishing-test som de ansatte mente var uetisk. Les videre for å se hva som skjedde.

Eksempel på en phishing-simulering som gikk galt: FGU Vestegnen

FGU Vestegnen er en utdanningsinstitusjon i Danmark. I 2021 sendte de ut en phishing-e-post til sine ansatte, noe som ble omtalt i nyhetene fordi de ansatte reagerte dårlig. I phishing-test-e-posten ble det hevdet at de hadde mottatt en donasjon på 25 millioner danske kroner som en belønning for organisasjonens gode arbeid. Pengene skulle deles mellom alle de ansatte, noe som betyr at alle ville få 8 500 danske kroner. Pengene ville bli deres, med den enkle oppfordringen om å fylle inn personopplysningene sine.

Da de ansatte fant ut at det var en phishing-test, og at de ikke kom til å bli 8 500 kroner rikere, ble de sinte og skuffet. Kritikken gikk blant annet på at e-posten lovet en bonusutbetaling for godt arbeid, i en tid da arbeidsforhold og lønn var et sensitivt tema. I tillegg henviste e-posten til en donasjon fra en ekstern stiftelse, noe som strider mot enkelte IT-sikkerhetsselskapers etiske retningslinjer.

IT-direktøren i FGU Danmark forsvarte opprinnelig e-posten og hevdet at phishing-tester bør være attraktive og realistiske for å være effektive. Selskapet har imidlertid siden beklaget og antydet at de vil finne andre måter å teste phishing-beredskapen på.

Hva gikk galt her?

Vi kan lære av feilene FGU gjorde. Der phishing-testen deres gikk galt, var at den nevnte midler fra en ekte ekstern stiftelse, og at den berørte et sensitivt tema: arbeidsforhold. Lønns- og arbeidsvilkår kan være et følsomt tema for enkelte ansatte, og derfor må du være forsiktig når du utformer innholdet i phishing-e-postene dine. Hvis du trenger litt hjelp til å tenke på hva du skal skrive i phishing-e-postene dine, har vi fire eksempler på kampanjer som du kan ta en titt på.

Saken viser at det ikke var selve phishing-testen som var problemet, men innholdet i e-posten og hvordan det ble kommunisert. Disse to tingene, innhold og kommunikasjon, er helt innenfor din kontroll, noe som betyr at du kan gjøre phishing-simuleringer uten at det får negative konsekvenser.

Hva er dommen?

Hvis du er bekymret etter å ha lest om den dårlig mottatte phishing-e-posten, kan vi fortelle deg at alt er i orden.

Vi synes du bør phishe vennene dine, og det er ikke bare noe vi sier eller selger - vi gjør det selv også.

Sett i gang og phishe vennenedine

Fordelene oppveier de potensielle konsekvensene. Og du kan ta skritt for å unngå negative utfall eller dårlige reaksjoner. Hvis du for eksempel forteller kontoret ditt at du kommer til å begynne å sende phishing-tester før du sender ut noen, kan du løse problemet medtillitsproblemer.

Hvis du forteller alle om phishing-tester på forhånd, kan det noen ganger gi deg skjeve resultater for den første phishing-testen, fordi de ansatte kan være mer bevisste eller forberedt på å finne en phishing-e-post. Så det er opp til deg å vurdere alternativene og hvordan du tror de ansatte vil reagere på å få vite at de har blitt utsatt for phishing.

Men bruk sunn fornuft

I mange tilfeller er de ansatte ivrige etter å lære og teste sine ferdigheter i å oppdage phishing. Så lenge du ikke offentlig henger ut folk som går i phishing-fella, er phishing-tester vanligvis ingen grunn til uro. I stedet kan du dele resultatene av phishing-testen på et generelt nivå, for eksempel ved å dele hvor stor prosentandel av bedriften som klikket på den "ondsinnede" lenken, og hvor stor prosentandel som sendte alle de forespurte personopplysningene. Å dele resultatene på et overordnet nivå kan bringe organisasjonen nærmere hverandre ved å gi alle et felles mål å jobbe mot.

Vi praktiserer det vi prediker

Vi sier ikke bare til alle andre at de skal phishe sine egne ansatte, mens vi selv holder oss unna. Vi bruker selv phishing-testing, i tillegg til bevissthetstrening, for å holde våre ansatte skjerpet og forberedt på å håndtere vanlige IT-sikkerhetstrusler.

Her er hva vår administrerende direktør, Rasmus Vinge, sier om phishing-testene vi gjennomfører internt:

"Jeg ser en stor verdi i phishing-opplæring. Jeg ser at hver gang vi sender phishing-e-poster til teamet vårt, blir det et samtaleemne. Det betyr at phishing blir en del av den daglige agendaen, og at folk advarer hverandre når de oppdager en phishing-e-post, noe som er det vi ideelt sett ønsker. Samtidig ser vi også hvor mange som blir offer for e-postene, noe som kan hjelpe oss med å evaluere hvor flinke vi har vært til å skape bevissthet underveis, og om vi må øke innsatsen."

Vi hører også vanlige historier fra kundene våre, og det kan du lese om i neste avsnitt.

Hva kundene våre mener om phishing-testing

Kunden vår, DTU Biosustain, forteller om hvordan phishing-testing har forbedret sikkerheten deres. De bruker både vår awareness trening og phishing-testing, og IT-sjefen deres, Mads, mener at det har styrket sikkerheten deres på mange måter. Det sier Mads for eksempel:

• Phishing-testing er et godt supplement til andre IT-opplæringsaktiviteter

• Phishing-testing kan hjelpe deg med å se hvor effektive de andre opplæringsaktivitetene dine er

• Phishing-testing gir deg et reelt tall på hvordan det går med bedriften, og hvor flinke kollegene dine er til å oppdage phishing-e-post

Så du trenger ikke bare å ta vårt ord for det. Phishing-testing fungerer og kan bli en viktig del av IT-sikkerhetsarbeidet ditt.

Lær opp medarbeiderne dine til å gjenkjenne phishing-e-post i dag

Phishing er den største sikkerhetstrusselen bedrifter står overfor i dag, og det skal bare én ansatt til som faller for en phishing-e-post for at virksomheten din blir alvorlig forstyrret. I tillegg er det ekstremt kostbart for enhver organisasjonå oppleve et sikkerhetsbrudd som starter med en phishing-e-post .

Hvis du vil lære mer om phishing-testing, kan du bruke dette skjemaet til å bestille en gratis demo med en av våre phishing-eksperter. Du kan også sjekke ut dette eksemplet på en phishing-kampanje med informasjon om hvor mange som klikket på e-posten og sendte fra seg personopplysningene sine. Vi ser frem til å høre fra deg!