Gjør phishing-testprogrammet klart
Bestem deg for om du skal fortelle dine ansatte
Før du sender ut simulerte phishing-e-poster til de ansatte må du bestemme deg for hvor mye du vil at de skal vite om det nye opplæringsprogrammet. Avhengig av de ansatte kan du velge å ikke si noe om programmet, slik at du oppnår fullstendig realistiske resultater på test-e-postene. Hvis du derimot vet at de ansatte vil reagere på å bli testet uten at de er klar over det, er det nok best å la dem få vite om phishing-simuleringen på forhånd.
Hvis du bestemmer deg for å holde programmet hemmelig i første omgang har du fordelen av å få mer realistiske testresultater. Siden de ansatte ikke forventer phishing-e-poster, får du et bedre innblikk i beredskapen og sårbarheten deres i forhold til ekte angrep. Når det er sagt risikerer du imidlertid at dine ansatte føler seg gransket og villedet – særlig hvis du bruker testresultatene for å single ut spesifikke personer.
På den annen side, ved å informere om programmet før den første simulerte phishing-e-posten sendes ut, bidrar du til å fostre åpenhet i organisasjonen. Det gir også en fin anledning til å minne alle på kontoret om rutinene for IT-sikkerhet, hva datafisking er, hvordan de oppdager det i innboksen og hva som kan skje dersom de ved en feiltagelse sender fra seg sensitive opplysninger.
Det å avgjøre om de ansatte skal informeres eller ikke kan være vanskelig, men hvis du tar hensyn til både bedriftskulturen og de ansattes beste, burde du kunne klare å ta en avgjørelse som passer best for teamet ditt.
Vi opplever at kundene våre vanligvis foretrekker å ikke informere brukerne før den første testen, men i stedet forteller om programmet etter den første testen. Denne løsningen passer kanskje også for din organisasjon.
Minn de ansatte på rapporteringsprosessen din
Hvis du informerer de ansatte om phishing-testprogrammet i forkant, så er det også en fin anledning til å oppdatere alle på de gjeldende rapporterings- og responsrutinene. Sørg for at alle vet hva de bør gjøre hvis de mistenker at de har en skadelig e-post i innboksen sin: Hvem skal de rapportere det til, og hvordan? Hva bør de gjøre, og hva bør de IKKE gjøre med e-posten?
Hvis du bestemmer deg for å holde programmet skjult i første omgang, kan den første simulerte phishing-e-posten gi deg verdifull innsikt i hvor godt teamet ditt forstår rapporteringsrutinen. Noen ganger tror ansatte at det er tre eller fire forskjellige steder de skal rapportere om mistenkelige e-poster. Å se hvor godt de ansatte forstår rapporteringen av IT-trusler er etter vår erfaring en av de viktigste innsiktene våre kunder får fra phishing-testingen. Etter at den første phishing-testen er ferdig kan du kalle inn til et møte for å diskutere programmet med de ansatte og gi en rask oppfriskning på prossessen.
Tips til hvordan utforme en god falsk phishing-e-post
Hvis du ikke samarbeider med noen som tilbyr phishing-rådgivning, vil du sannsynligvis bruke en del tid på å utforme phishing-e-postene som skal sendes til de ansatte. For å gi dine ansatte øvelse i å gjenkjenne phishing e-poster i virkeligheten, er det viktig at du gjør e-postene troverdige og bruker de samme metodene som de cyberkriminelle gjør. Før du begynner å lure på hvordan du skal utforme de perfekte e-postene, finner du noen tips du kan bruke for å komme i gang nedenfor.
Bruk vanlige phishing-kjennetegn
Selv om phishing-e-poster ofte ser forskjellige ut, så er det en del ting som går igjen. For eksempel:
-
Generelle eller merkelige hilsener som ikke er vanlige å bruke
-
Et avsenderdomene eller en e-postadresse som ser mistenkelig ut
-
Vedlegg med uvanlig filtype
-
Lenker som ser merkelige ut eller ikke samsvarer med lenketeksten
-
Hasteforespørsel om å oppgi sensitive opplysninger (f.eks. innloggingsinformasjon eller kredittkortopplysninger)
Dette er noen av de typiske tegnene på phishing som du kan inkludere i e-postene dine. Du kan med fordel ta utgangspunkt i disse når du utformer test e-postene. Hvis teamet ditt har god forståelse for phishing kan disse signalene gjøre det for enkelt for dem. Dårlig grammatikk og stavefeil begynner for eksempel å bli mindre og mindre fremtredende i phishing-e-poster siden de cyberkriminelle blir flinkere, og søppelpostfiltrene våre fanger opp mer åpenbare phishing-trusler. For å gjøre opplæringen mer effektiv, kan du blande inn andre signaler som gjør e-postene vanskeligere å oppdage.
Gjør e-postene lokkende
For at et phishing-angrep skal være vellykket, må mottageren føle et behov for å handle. Bland noe av taktikken nedenfor med de grunnleggende phishing-signalene for å gjøre opplærings-e-postene dine enda mer effektive:
Ved å bruke disse teknikkene gjør du det vanskeligere for de ansatte å motstå å klikke på e-posten. Husk: desto mer troverdige e-postene er, desto flinkere blir teamet ditt til å oppdage skadelige e-poster.
Du bør også holde deg oppdatert på løpende trender innenfor phishing-e-poster slik at du kan inkludere dem i testene dine.
Her er fire eksempler på phishing-kampanjer som vi har laget og testet på våre kunder.
Lag en tidsplan
Du må også bestemme deg for hvor ofte du planlegger å sende phishing-e-poster slik at du har en kontinuerlig tidsplan for opplæringen. Tidsplanen kan selvsagt justeres underveis i opplæringsprosessen. En mulighet er også å sende ut phishing-tester oftere til ansatte som feilet på tidligere tester.
Hvor ofte er ofte nok?
Vi anbefaler å sende ut simulerte phishing-e-poster minst to ganger i året, men fire til seks ganger i året er også bra hvis du har nok ressurser. Det viktigste er å teste ofte nok for å sikre løpende årvåkenhet, men samtidig unngå at de ansatte blir likegyldige eller går lei. Økt bevisstgjøring er helt avgjørende, men med overdreven testing risikerer du at de ansatte bare venter på den neste testen istedenfor å øve på deteksjonsferdighetene sine.
Utsendelse av simulerte phishing-e-poster
Når du har informert om opplæringen, utformet en del utkast til e-poster og laget en tidsplan, er du klar til å starte utsendelse av e-postene!
Den første test-e-posten du sender ut bør være middels vanskelig. Dette gir deg mulighet til å få en realistisk oppfatning av hvordan de ansatte ville ha respondert i tilfelle dette var en ekte phishing-e-post. Avhengig av målene dine for phishing-testprogrammet kan du også starte med en vanskelig e-post. Det kan være nyttig hvis du ønsker å vise hvor farlige phishing-e-poster virkelig kan være. Resultatene fra denne første testen kan fungere som et utgangspunkt for å måle de ansattes fremgang etter hvert som de lærer.
Unngå at testene blir for enkle
Etterhvert som de ansatte blir flinkere til å oppdage phishing-e-postene, kan du gjøre testene vanskeligere. En måte å gjøre det på er å få e-postene til å se ut som de kommer fra en intern avsender istedenfor en ekstern. Vi er vanligvis mindre på vakt når vi tror en e-post kommer fra en kollega, noe som gjør «interne» e-poster mer troverdige. Denne type for test er viktig fordi det vanligvis er enkelt for cyberkriminelle å finne navn og roller til personer i organisasjonen din, særlig hvis selskapet ditt har en «Om oss»-nettside eller hvis de ansatte har LinkedIn-profiler. En forespørsel om å oppgi bankopplysninger vurderes forskjellig avhengig av om den kommer fra økonomiavdelingen eller fra en «Nigeriansk prins»! Å bytte ut avsenderen gjør e-posten mer målrettet og lærer de ansatte å gjenkjenne en farlig type phishing som kalles spyd-phishing.
En annen strategi du kan benytte er å sende e-poster kun til noen få ansatte av gangen. Slik unngår du problemer med at de ansatte advarer hverandre og i stedet får muligheten til å teste ferdighetene sine på egenhånd. Vi anbefaler også å kjøre forskjellige temaer for phishing-simuleringene, fordi ett tema kan være enkelt for noen og ikke for andre.
Phishing-testprogrammer er som å gå på trening
Etter at programmet for phishing-simulering har kjørt en stund, kan det være fristende å la det gå i glemmekassen. Likevel er det viktig å holde programmet gående, selv om de ansatte stadig scorer høyt på testene.
På en måte kan phishing-testing ligne på fysisk trening; løfter du vekter hver dag i et halvt år vil du føle deg sterkere og kanskje tenke at du ikke trenger å trene lenger. Men hvis du plutselig slutter å trene blir musklene dine svakere og du må trene masse for å komme tilbake til der du var. Hjernen vår virker på samme måte! Uten jevnlig trening vil de ansatte plutselig slite med å gjenkjenne forsøk på phishing.
Programmet er dessuten ikke bare til for å holde de ansatte på alerten. Det er også en måte å lære dem om nye former for phishing, og sørge for at alle nye ansatte blir like godt opplært som de andre.
For å oppsummere – kontinuerlig testing er den beste måten å forberede de ansatte på å respondere på virkelige phishing-scenarioer.
Bruk dataen du samler inn til å gjøre opplæringen bedre
Opplysningene du samler inn fra phishing-testene er verdifulle for å gjøre IT-sikkerhetspraksisen mer målrettet. Opplysningene du burde samle inn fra hver kampanje er:
-
Antall personer som klikket på lenken
-
Antall personer som fullførte den forespurte handlingen (for eksempel deling av personopplysninger)
-
Antall personer som rapporterte e-posten på korrekt måte
Denne informasjonen gjør at du kan begynne å observere mønstre. Opplysningene kan for eksempel brukes til å:
-
Gi føringer for videre opplæring i bevisstgjøring
-
Finne ut hvor godt de ansatte forstår de interne rapporteringspolicyene
-
Målrette ytterligere opplæring mot de enkeltansatte som vil ha mest nytte av det
Vurder å samarbeide med en ekstern partner
Siden vellykket phishing-testing bør være en kontinuerlig prosess, kan det være tidskrevende å holde programmet gående. Derfor kan det være fornuftig å jobbe med en ekstern leverandør av opplæringstjenester. Å samarbeide med en leverandør av opplæringstjenester kan spare deg for tid når det gjelder utforming av test-e-postene, administrasjon av opplæringen og analyse av testresultatene.
Phishing-opplæringen vår gjør nettopp det. Vi utformer og sender simulerte phishing-e-poster til de ansatte, men du forblir en del av prosessen med tilgang til en live tracking-plattform og bearbeidede innsiktsrapporter om hvordan forskjellige team responderer. Ikke nøl med å kontakte oss hvis du ønsker å lære mer.
Komplementer phishing-testing med andre bevisstgjøringsaktiviteter
Phishing-testing er et viktig for teamet ditt, men det bør ikke være alt du gjør! Du kan se på phishing-simulering som en del av et større program for sikkerhets-bevisstgjøring. Akkurat som det å lære å kjøre bil; for å lykkes kreves både teori og praksis. På samme måte som at du trenger både klasseromsundervisning og timevis med øvelseskjøring for å bli en god sjåfør, trenger du også generell opplæring i bevisstgjøring og simulerte øvelser for å oppnå en sterk cybersikkerhetskultur!
Gjennom vårt arbeid med IT-sikkerhet har vi sett at et årvåkent team er det som vil gjøre din bedrift motstandsdyktig mot cyber-angrep, og det er grunnen til at det er så viktig å opprettholde en sterk cybersikkerhetskultur i organisasjonen. I tillegg til phishing-opplæring bør du ta i bruk andre initiativer for å forbedre bevisstgjøringen av IT-sikkerheten i selskapet og trene opp de ansatte til å bli det sterkeste forsvaret ditt.
Les mer: Gratis GDPR- og cybersikkerhetsplakater