I denne forskningsbaserte artikkelen utforsker vi effektene av phishing-trening. Visste du at 80% av organisasjoner oppgir at bevissthetstrening reduserer risikoen for at de ansatte faller for phishing-angrep, eller at phishing-simuleringer fører til en 37-doblet avkastning i gjennomsnitt? Våre undersøkelser viser at disse to treningsmetodene er enda mer effektive når de kombineres – med 60% færre feil etter få økter. Hvis du er interessert i å se mer forskning om effektene av phishing-trening og lære hvordan disse effektene oppnås, er det bare å fortsette å lese!
Innholdsfortegnelse
Phishing er en alvorlig trussel
Før vi dykker ned i effektene av phishing-trening, skal vi se på hvorfor phishing-trening er viktig. Phishing, eller nettfiske på norsk, er en av de største truslene som organisasjoner står overfor i dag – og det rammer både små og store organisasjoner over hele kloden. Dette gjelder sannsynligvis din organisasjon også! Det er flere grunner til at phishing er en såpass farlig trussel. Vi går gjennom noen av dem i de neste avsnittene.
Phishing-angrep er vanlige
I 2021 var phishing den desidert vanligste IT-kriminaliteten basert på antall ofre. Proofpoint sin State of the Phish-rapport fra 2022 viser også at 83% av alle organisasjoner ble rammet av minst ett vellykket phishing-angrep i fjor. Og det ser dessverre ut til at phishing-angrep vil bli både vanligere og vanskeligere å oppdage i årene som kommer. Forskning fra Mc.Afee viser nemlig at 81% av globale organisasjoner har opplevd en økning i phishing-e-poster siden 2020. Dette kan delvis skyldes pandemien og dens bivirkninger, slik som hjemmearbeid og økt digitalisering, i tillegg til tilgjengeligheten av “phishing-kits", som har gjort det lettere enn noensinne for IT-kriminelle å gjennomføre angrep.
Phishing-angrep er dyre å falle for
Phishing-angrep er ikke bare vanlige, de er også veldig kostbare. I snitt kostet databrudd som følge av phishing-angrep organisasjoner 4,91 millioner dollar i 2022. Mesteparten av den kostnaden er delt mellom å oppdage og begrense bruddet (29%) og tapt omsetning (38%). Gitt den økte frekvensen og de høye kostnadene til phishing-angrep er de estimert til å føre til tap av 17 700 dollar hvert minutt.
Phishing-angrep koster små bedrifter 1,6 millioner dollar
Mange tror at phishing kun utgjør en betydelig trussel for større selskaper, men forskning fra Symantec viser at små bedrifter mottar en større andel ondsinnete e-poster – hvor 1 av 323 e-poster er ondsinnete. Phishing-angrep kan også ha store økonomiske konsekvenser for mindre bedrifter. I snitt bruker små og mellomstore bedrifter 1,6 millioner dollar på å komme seg etter et phishing-angrep, og 60% av slike bedrifter går konkurs innen 6 måneder etter at de ble offer for et databrudd eller IT-angrep.
Phishing-angrep er vanskelige å oppdage
Du tror kanskje det er lett å oppdage phishing-forsøk, og at phishing derfor ikke utgjør en reell trussel for deg eller din organisasjon. Alle forstår vel at e-poster som tilbyr deg en stor sum penger ikke er ekte? Sannheten er imidlertid at IT-kriminelle stadig utvikler sine metoder. En ny metode som har blitt mer utbredt er spydfiske, og dette kan være mer enn dobbelt så suksessfullt som vanlig phishing. IT-kriminelle tar også i bruk ny teknologi slik som stavekontroll-programvare. Dette gjør phishing-angrep mer sofistikerte og vanskeligere å oppdage enn noensinne.
1 av 5 ansatte åpner lenkene i phishing-e-poster
Med dette i mente er det ikke overraskende at mange fortsatt faller for phishing-forsøk. Under Terranovas “Gone Phishing”-turnering i 2020 ble det sendt ut over en million falske phishing-e-poster til organisasjoner i 98 land for å teste deres motstand mot phishing. Resultatene viste at hele 1 av 5 ansatte klikket på lenken i phishing-eposten og at 13,4% av de ansatte oppga sin innloggingsformasjon. Dette er bekymringsverdig høye tall, gitt at det kun trengs at én ansatt deler sin innloggingsinformasjon for at hele din organisasjon settes i fare.
Heldigvis virker phishing-trening!
Hittil har vi sett at phishing-angrep er vanlige, dyre å falle for og vanskelige å oppdage. Med andre ord er phishing-angrep farlige, og du synes kanskje det virker nesten umulig å skulle beskytte din organisasjon fra dem. Men heldigvis finnes det håp. Vi har nemlig sett på effektene av phishing-trening, og tallene er krystallklare: phishing-trening virker! Dette vises av både interne og eksterne undersøkelser, samt tilbakemeldinger fra kundene våre.
Phishing-trening reduserer feil med 60%
Vi gjennomførte nylig en undersøkelse om effektene av phishing-trening, hvor vi sammenlignet kundene våre sine evner til å motstå phishing-angrep før og etter å ha deltatt i vårt treningsprogram. Undersøkelsen viste at etter regelmessig phishing-testing og bevissthetstrening begikk brukerne våre 60% færre feil under simulerte phishing-angrep. Under den første testen oppga i snitt 15% av mottakerne personopplysningene som ble forespurt av den “IT-kriminelle”. Innen den tredje phishing-testen gikk det tallet ned til kun 6% av de ansatte.
Dette viser hvor effektivt phishing-testing og bevissthetstrening kan være når det kombineres, med færre feil begått etter hver nye treningsrunde. For å forstå hvordan denne effekten oppnås, vil vi se på disse to formene for phishing-trening hver for seg. Hvordan skiller phishing-testing og bevissthetstrening seg fra hverandre, hva er deres beviste effekter og hvorfor er de så suksessfulle når de kombineres?
Phishing-bevissthetstrening
Phishing-bevissthetstrening er en underkategori av bevissthetstrening, som kan defineres som ulike læringsmetoder som har som mål å øke ansattes bevissthet om IT-sikkerhet. I phishing-bevissthetstrening er målet å gjøre de ansatte mer motstandsdyktige mot phishing ved å gjøre de bevisste på trusselen og sin egen oppførsel på nett. Treningen kan dekke emner som hvordan å oppdage tegnene på phishing, de ulike typene phishing-angrep og hva du bør gjøre når du får en phishing-e-post.
Hvordan øke bevisstheten om phishing
Siden målet er å holde de ansatte konstant bevisste, er et enkeltstående lynkurs ikke nok. I stedet deler man gjerne opp treningen i mindre deler og sprer den utover en lengre periode, slik at de ansatte ikke glemmer informasjonen med en gang, men holder seg bevisste lenger. Bevissthetstreningen kan foregå som digital e-læring, fysisk undervisning eller en blanding av begge. Den kan også inkludere korte videoer og interaktive elementer som quizzer for å øke læringsutbyttet. Plakater om IT-sikkerhet kan også henges opp på kontoret for å holde de ansatte bevisste gjennom dagen.
Bevissthetstrening minsker sjansen for å falle for phishing-angrep
Når det gjøres rett, kan phishing-bevissthetstrening være veldig effektivt. Ifølge Proofpoint sin omfattende “State of the Phish”-rapport fra 2022 oppga 80% av alle organisasjoner at bevissthetstrening reduserte de ansattes mottakelighet for phishing-angrep. Hvis du vil ha noen råd om hvordan du lager et effektivt bevissthetstreningsprogram, kan du sjekke ut guiden vår om hvordan du lykkes med bevissthetstrening.
Osterman Research oppgir også at bevissthetstrening dramatisk øker brukernes evner til å gjenkjenne trusler. Undersøkelsene deres viser at kun 23% av IT-sikkerhetsprofesjonelle oppgir at ansatte er “kapable” eller “veldig kapable” til å gjenkjenne IT-angrep før de mottar bevissthetstrening. Etter at de mottar bevissthetstrening, øker dette tallet til 68%. Våre undersøkelser viser at ansattes evner til å gjenkjenne IT-angrep øker enda mer når bevissthetstrening kombineres med en annen type aktiv trening: phishing-simuleringer.
Phishing-simuleringer
Phishing-simuleringer, eller phishing-tester, er en sikkerhetstreningsøvelse som tester organisasjonen din sin beredskap mot phishing ved å sende ut simulerte phishing-angrep til de ansatte. Mens bevissthetstrening dekker teorien, er phishing-simuleringer hvor de ansatte får testet alt de har lært i praksis.
Under en phishing-kampanje sendes simulerte phishing-e-poster ut til de ansatte. Du kan gjøre dette selv eller i samarbeid med en ekstern partner. Disse e-postene inneholder gjerne typiske elementer som du ville funnet i en ekte phishing-e-post, slik som forespørsler etter sensitiv informasjon, dårlig grammatikk eller spill på følelser. Phishing-tester trener ikke bare teamet ditt til å oppdage og rapportere phishing-angrep, det gir deg også et overblikk over hvordan teamet ditt ville prestert hvis de støtte på den ekte varen. Dette kan være en nyttig grunnlinje for når dere skal planlegge videre tiltak mot phishing.
Phishing-simuleringer er effektive og lønnsomme
Phishing-tester er bevist å være en effektiv læringsmetode. Når ansatte får testet sin kunnskap i et scenario fra det virkelige liv, øker læringsutbyttet deres dramatisk. Forskning fra InfoSec viser at etter et phishing-simuleringsprogram tas i bruk, dobles læringsutbyttet innen 12 måneder. Og Ponemon Institute anslår at tradisjonelle phishing-tester i snitt oppnår et læringsutbytte på 75%.
Simulerte phishing-angrep fører også til en høy avkastning. Ifølge Ponemon Institute hadde det minst effektive treningsprogrammet fortsatt en sjudoblet avkastning, og det gjennomsnittlige phishing-treningsprogrammet resulterer i en 37-doblet avkastning. Med andre ord er phishing-simuleringsprogrammer verdt kostnaden.
Å kombinere bevissthetstrening og phishing-simuleringer
Vår erfaring er at det mest effektive forsvaret mot phishing-angrep er bevissthetstrening kombinert med phishing-simuleringer. Slik vi så i stad, førte denne kombinasjonen til at brukerne våre begikk 60% færre feil etter jevnlig trening. Når du kombinerer disse treningsmetodene, får du det beste av begge verdener ved å dekke både teori og praksis. Dette øker læringsutbyttet og gjør dine ansatte mer forberedt på phishing-angrep, noe som styrker sikkerheten til din organisasjon betydelig.
Kombinert phishing-trening kan øke motivasjonen
Det er mange andre fordeler med å komplementere bevissthetstrening med et phishing-simuleringsprogram. Noen ansatte vil for eksempel kanskje ikke se behovet for phishing-treningen til å begynne med, men de vil nok bli mer motiverte når de innser hvor vanskelig det kan være å oppdage en realistisk phishing-e-post.
Simuleringer viser hvor bra treningen deres virker
Phishing-simuleringer fungerer også som en evaluering av hvor vellykket bevissthetstreningen har vært. På vår sikkerhetsplattform kan du følge med på resultatene av kampanjen i sanntid og raskt få et overblikk over hvor mange som åpnet e-postene, trykket på lenkene og delte data. I tillegg viser phishing-simuleringer deg om de ansatte kjenner organisasjonens prosedyre for å rapportere phishing-angrep. Basert på disse innsiktene kan du identifisere svake punkter i din IT-sikkerhet og utforme strategier for å videre opplære dine ansatte.
Kundene våre er enige i at phishing-trening virker
En av våre kunder som bruker både bevissthetstrenings- og phishing-testing-tjenestene våre er DTU Biosustain. Da vi spurte dem hvordan phishing-treningen vår har hjulpet deres organisasjon, svarte deres IT-sjef Mads at treningen har gjort deres ansatte mer bevisste om phishing:
“Før i tiden fikk jeg e-post fra kanskje en enkelt person som sa ‘Jeg har fått denne e-posten, og mine kollegaer har også fått den. Er den ekte eller en phishing-e-post?’. Nå får jeg mange e-poster hver gang det er en mistenkelig e-post i omløp. Selv hvis det ser ut som en reell e-post som kommer fra en fra DTU, så skriver folk til meg: ‘Det som vedkommende skriver virker litt rart. Er det en av de e-postene vi har blitt advart om av CyberPilot?’”.
Mads sier også:
“Før i tiden pleide jeg å sende ut: ‘Denne e-posten er i omløp.’
Det behøver jeg overhodet ikke å gjøre nå. Folk er selv klar over det.”
De ansatte blir mer bevisste og advarer hverandre
En annen kunde av oss er selskapet Firtal. Deres økonomisjef Rune Udby har også sett positive effekter av vår phishing-trening:
“Det var flott å oppleve hvordan teamet vårt tok imot tiltaket. Det har faktisk gått sport i å oppdage phishing-e-poster før de andre. De ansatte forteller at de føler seg mye bedre rustet til å gjennomskue de daglige forsøkene på svindel som de er utsatt for, nå som de vet hva de skal være på utkikk etter.”
Dette viser at phishing-trening er effektivt og at det kan være både styrkende og morsomt.
Noen siste ord
I denne artikkelen har vi sett hvorfor phishing-trening er viktig, og vi er glade for å se at forskning og kundene våre er enige i at phishing-trening virker.
Hvis du er interessert i å prøve ut vår bevissthetstrening tilbyr vi en gratis prøveperiode - ingen betalingsinformasjon trengs.
Du kan også teste våre phishing-simuleringer ved å bestille en gratis demonstrasjon med en av våre phishing-eksperter.
Hvis du ønsker å lære mer eller trenger hjelp med å ta i bruk phishing-trening i din organisasjon, så ikke nøl med å kontakte oss. Vi er mer enn glade for å hjelpe.