Bör du utsätta dina kollegor för nätfiske? Vi säger ja!
Simulerade nätfiskeattacker, även känt som ett phishing-test eller nätfisketräning, är ett sätt att testa hur bra dina kollegor är på att upptäcka nätfiskemejl. Att börja med nätfisketräning kan vara ett svårt beslut att ta eftersom det innebär att avsiktligt vilseleda andra. Men när det genomförs på rätt sätt har det en riktigt positiv inverkan på din IT-säkerhet. Om det däremot genomförs vårdslöst kan det ha negativa konsekvenser. I det här blogginlägget kommer vi gå igenom några av fördelarna med simulerat nätfiske, samt vad som kan gå fel. Vi kommer även dela med oss om hur nätfisketräning har förbättrat säkerheten för en av våra kunder.
Här kan du läsa om:
Varför skulle du utsätta din egen personal för nätfiske?
Att simulera nätfiskeattacker mot ditt eget kontor är ett beprövat sätt att träna dina medarbetare att upptäcka skadliga e-postmeddelanden och lära sig vidta rätt åtgärder när de väl får nätfiskemejl i deras inkorg. Om du redan har ett program för att stärka IT-säkerheten på plats i ditt kontor, som till exempel genom medvetenhetsträning, är simulerat nätfiske ett utmärkt sätt för dina kollegor att omsätta allt de har lärt sig i praktiken genom ett verkligt scenario. På så sätt fungerar nätfisketräningen som ett naturligt komplement till all den träning du redan utför.
Du har förmodligen även en del kollegor som inte tar IT-säkerhet fullständigt på allvar, eller så tror att de själva aldrig kommer falla offer för ett nätfiskeförsök. Simulerade nätfiskeattacker är effektiva eftersom de visar dina kollegor hur svårt det kan vara att upptäcka ett nätfiskemejl. Kanske kommer ett phishing-test göra att dessa kollegor blir lite mer motiverade att lära sig om IT-säkerhet.
Träna dina medarbetare att känna igen nätfiskemejl
Det bästa sättet att lära sig är genom att själv göra. Visst, det är en sak att läsa en affisch om vad som kännetecknar ett nätfiskemejl, men inget kan riktigt jämföra sig med den verkliga upplevelsen. Och även om dina medarbetare förmodligen är väl bekanta med nätfiskemejl som hamnar i deras inkorg från cyberkriminella som utger sig för att vara en bank eller modehandlare, kan de ha svårare att upptäcka en väl skriven och efterforskad riktad nätfiske- eller VD-bedrägeriattack. Att skicka din personal den här typen av testmejl hjälper dem att bredda sin medvetenhet om nätfiske, vilket i sin tur gör din organisation säkrare.
Testa om dina kollegor vet vem de ska rapportera nätfiskeförsök till
Din organisation bör ha tydliga riktlinjer som anställda kan följa ifall de tar emot ett misstänkt e-postmeddelande. Till exempel, en bra rapporteringsprocess kan vara att först berätta för den IT-ansvariga, och sedan varna resten av dina kollegor om mejlet.
Rapporteringsprocessen fungerar bara om den faktiskt efterföljs. Att skicka ut ett falskt nätfiskemejl är ett sätt att prova hur väl dina anställda förstår sig på rapporteringsprocessen och huruvida de använder den eller inte. Utifrån resultatet kan du få reda på om du behöver förenkla processen eller om dina kollegor behöver påminnas om vem de ska vända sig till.
Förberedelse inför en riktig nätfiskeattack
Vi har funnit att användare upplever en minskning på minst 50% av misstag vid simulerade nätfiskeattacker efter kontinuerlig medvetenhetsträning och phishing-testing. När vi skickar ut den första simulerade nätfiskeattacken som en del av vår nätefisketräning, är det i genomsnitt 15% av mottagarna som ger ut de personliga uppgifter som de “cyberkriminella” frågar efter. Den siffran sjunker till 6% vid det tredje träningstillfället en simulerad nätfiskeattack skickas ut.
Det här innebär att våra användare är mycket bättre förberedda på att hantera en verklig nätfiskeattack och att de är mindre troliga att klicka på länkar eller ge ut känsliga uppgifter. Eftersom nätfiske är det största IT-säkerhetshotet mot organisationer, kan du verkligen inte vara för säker eller förberedd.
Utvärdera hur väl du har utbildat dina medarbetare om IT-säkerhetshot
Ett phishing-test är inte endast ett sätt att testa dina kollegor. Det är även en chans att utvärdera hur väl du har utbildat dem om nätfiske och IT-säkerhet. Om många anställda blir lurande av den simulerade nätfiskeattacken är det inte nödvändigtvis ett tecken på att de aldrig kommer göra bättre ifrån sig. De behöver bara känna till materialet bättre. Vi är nog alla medvetna om att provresultat både mäter kvaliteten av en lärare såväl som en students kunskap. Bra utbildning handlar inte om att stolt avslöja fel, utan att se fel som en möjlighet för både lärare och studenter.
Det verkar alltså finnas många fördelar med nätfisketräning. Men finns det några nackdelar? En del oroar sig för att implementera nätfisketräning på grund av hur deras kollegor kommer reagera på att bli testade. Vi kommer att diskutera dessa farhågor i nästa del.
Argument mot att skicka simulerade nätfiskeattacker
Den främsta anledningen varför en del är tveksamma till att börja med simulerade nätfiskeattacker, är att de fruktar hur deras kollegor kommer ställa sig till det. Här under kommer vi diskutera var den här rädslan kommer från och hur du kan undvika att någon tar illa upp.
Oetiskt
Att skicka ut en simulerad nätfiskeattack kan ses som oetiskt eftersom du lurar dina kollegor genom att testa deras upptäckningsförmågor. De lögner du inkluderar i nätfiskemejlet bör vara övertygande och träffande, då innehållet i mejlet måste få dina anställda att vilja agera. Nätfiskemejl brukar normalt sett utnyttja mottagarnas känslor, så de innehåller ofta ett hot eller försöker skapa en känsla av falsk brådska. Alla de här känslorna kan få dina kollegor att känna sig obekväma, vilket är varför nätfisketräning kan anses som oetiskt.
Men de här känslorna kan bli framkallade av alla nätfiskemejl, vare sig det skickas av ett vänligt IT-team eller av en riktig cyberbrottsling. Därför tror vi att det bästa är att träna dina anställda att bli bekanta med dessa känslor (i en säker omgivning), så att de är förberedda när ett verkligt hot faktiskt dyker upp.
Förlust av förtroende
På liknande vis befarar många att simulerade nätfiskeattacker kan minska förtroendet mellan IT-teamet och deras medarbetare. Det här kan hända om kollegor känner att de blivit förråda eller vilseledda på ett orättvist sätt. Det är däremot inte särskilt sannolikt att det här skulle ske så länge målet med träningen kommuniceras tydligt och ingens resultat pekas ut inför andra. Om John blev utpekat inför hela kontoret eftersom han gav ut sin kreditkortsinformation som svar på nätfiskemejlet, är det såklart att det kan skapa missförtroende. Det är bara logiskt att han skulle känna sig förråd och upprörd om han blev förödmjukad inför alla på det viset.
Men om nätfisketräningen genomförs på ett bra sätt kan det tvärtom stärka förtroendet mellan kollegor och IT-teamet. När kollegor ser att deras enskilda resultat endast diskuteras som en del av företagets prestation i helhet och att IT-teamet är investerade i deras lärande, kan det bygga förtroende.
Lösningen: Tydlig kommunikation
Båda dessa potentiella problem kan lösas genom att tydligt kommunicera målet med nätfisketräningen. Anställda kanske fruktar att de kommer bli dömda eller utpekade ifall de presterar dåligt. Att kommunicera om syftet med träningen och hur resultaten kommer användas/bli delade kan lätta på deras ängsla. Se till att dina kollegor känner till att det är en inlärningsövning för alla, inklusive IT-teamet.
Det är även en bra idé att trycka på det faktum att individuella resultat inte kommer bli allmänt tillgängliga i företaget, och att ingen riskerar att förlora sitt jobb oavsett deras prestation. Betona att du är intresserad av hur väl företaget som helhet presterar, istället för att kolla på individuella resultat. När dina kollegor förstår det här kommer de känna sig mycket mer bekväma med de simulerade nätfiskeattackerna. Vi diskuterar det här ämnet, och ger några andra tips för hur du skapar ett effektivt program för din nätfisketräning i det här blogginlägget.
Härnäst kommer vi ta en titt på ett exempel där ett phishing-test hade negativa konsekvenser. FGU Vestegnen hamnade i nyheterna på grund av en simulerad nätfiskeattack som deras anställda ansåg var oetisk. Fortsätt läsa för att få reda på vad som hände.
Exempel på en misslyckad nätfiskesimulation: FGU Vestegnen
FGU Vestegnen är en utbildningsinstitution i Danmark. År 2021 skickade de ut ett nätfiskemejl till deras anställda som hamnade i nyheterna på grund av den negativa reaktionen bland anställda. Nätfiskemejlet som användes i den simulerade attacken påstod att de anställda skulle få ta emot en donation på 25 miljoner DKK som belöning för organisationens framgång. Pengarna skulle delas mellan alla anställda, vilket innebär att alla skulle få omkring 8 500 DKK. Allt de behövde göra för att få den summan pengar var att fylla i sina personliga uppgifter.
När anställda fick reda på att det hela var ett phishing-test, och att de inte skulle bli 8 500 DKK rikare, blev de arga och besvikna. Till kritiken hörde att mejlet utlovade en bonusbetalning för ett arbete väl utfört, under en tid då arbetsvillkor och löner var ett känsligt ämne. Därutöver hänvisade mejlet till en donation från en extern stiftelse, vilket går emot vissa IT-säkerhetsföretags etiska kod.
FGU Denmarks IT-chef försvarade ursprungligen mejlet, och påstod att mejl som används i nätfisketräning bör vara attraktiva och realistiska för att vara effektiva. I efterhand har företaget däremot bett om ursäkt och föreslagit att de kommer utforska andra metoder för att testa hur förberedda de är inför nätfiskeattacker.
Vad gick snett?
Vi kan lära oss av de misstag som FGU gjorde. Det som gick snett med phishing-testet var att det nämnde pengar från en riktig extern stiftelse, och det berörde ett känsligt ämne: arbetsvillkor. Ett arbetes lön och villkor kan för vissa anställda vara ett känsligt ämne, och därför måste du vara försiktig när du planerar innehållet i ditt nätfiskemejl. Om du behöver hjälp med vad du kan skriva i ditt nätfiskemejl, har vi fyra exempel på nätfiskekampanjer som du kan ta en titt på.
Det här fallet visar att det inte var själva nätfisketräningen som var problemet, utan snarare mejlets innehåll och hur det kommunicerades. De här två sakerna, innehåll och kommunikation, ligger helt och hållet inom din kontroll, vilket innebär att du kan genomföra simulerade nätfiskeattacker och undvika negativa konsekvenser.
Hur lyder domen?
Om du känner dig orolig efter att ha läst om hur snett det gick för FGU, är det här vi kan lugna dig och säga att allt är okej.
Vi tycker du bör utsätta dina vänner för nätfiske, och det är inte bara något vi säger som ett säljknep. Vi använder nätfisketräning vi med.
Tveka inte, skicka nätfiskemejl till dina vänner
Fördelarna väger tyngre är den potentiella konsekvenserna. Och du kan vidta åtgärder för att undvika negativa resultat eller dåliga reaktioner. Genom att berätta för ditt kontor att du kommer börja skicka ut nätfiskeattacker innan du sätter igång, kan du till exempel se till att inget förtroendeproblem skapas.
Att berätta för alla om nätfisketräningen på förhand kan ibland ge dig skeva resultat i ditt första utskickade nätfiskemejl, eftersom de anställda kan vara mer medvetna eller redo att hitta ett nätfiskemejl i deras inkorg. Därmed är det upp till dig att överväga dina alternativ och hur du tror dina medarbetare kommer reagera när det får reda på att de har blivit utsatta för nätfiske.
Men använd sunt förnuft
I många fall är de anställda ivriga att lära sig och testa deras förmågor att upptäcka nätfiske. Så längre du inte offentligt namnger eller skämmer ut medarbetare som luras av nätfiskefällan, leder simulerade nätfiskeattacker vanligtvis inte till oro. Istället kan du dela resultatet av nätfisketräningen på en generell nivå, till exempel dela procentuellt hur många i företaget som klickade på den “skadliga” länken och hur stor andel som gav ut alla de personliga uppgifter som efterfrågades. Att dela resultaten på en generell nivå kan föra anställa i din organisation närmare genom att ge dem ett gemensamt mål att arbeta mot.
Vi lever som vi lär
Vi säger inte till andra att utsätta deras egna anställda för nätfiske medan vi själva avstår från det. Vi använder simulerade nätfiskeattacker, i kombination med medvetenhetsträning, för att hålla vår personal alert och förberedd inför att hantera vanliga IT-säkerhetshot.
Så här säger vår VD, Rasmus Vinge, om den nätfisketräning vi gör internt:
“Jag ser mycket värde i nätfisketräning. Jag ser att varje gång vi skickar nätfiskemejl blir det diskuterat inom teamet. Det här innebär att nätfiske blir en del av den dagliga agendan och att anställda varnar varandra när de upptäcker ett nätfiskemejl, vilket är precis det vi vill. Samtidigt ser vi även hur många blir lurande av mejlen, vilket kan hjälpa oss utvärdera hur bra vi har varit på att skapa medvetenhet löpande och om vi måste öka insatsnivån på initiativen.”
Vi hör även vanliga historier från våra kunder, vilket du kan läsa om härnäst.
Vad våra kunder tycker om simulerat nätfiske
Vår kund DTU Biosustain delar med sig om hur simulerat nätfiske har förbättrat deras säkerhet. De använder både vår medvetenhetsträning och nätfisketräning, och deras IT-chef, Mads, tycker att det på flera sätt har stärkt deras säkerhet. Mads säger till exempel att:
-
Nätfisketräning är ett bra komplement till andra IT-träningsaktiviteter
-
Nätfisketräning kan hjälpa dig upfatta baslinjen för hur effektiva dina andra träningsaktiviteter är
-
Nätfisketräning ger dig en verklig bild av hur ditt företag utvecklas och hur väl dina kollegor kan upptäcka nätfiskemejl
Du behöver alltså inte bara förlita dig på vad vi har att säga om det. Nätfisketräning fungerar och kan bli en viktig del av ditt IT-säkerhetsarbete.
Träna dina anställda att upptäcka nätfiskemejl redan idag
Nätfiske är det största säkerhetshotet som företag står inför idag, och det krävs bara en anställd som faller för ett nätfiskemejl för att ditt företag ska hamna i en allvarlig situation. Dessutom är det extremt kostsamt för organisationer att bli utsatta ett intrång som grundar sig i ett nätfiskemeddelande.
Om du vill lära dig mer om nätfisketräning kan du använda det här formuläret för att boka en gratis demo med en av våra nätfiskeexperter. Du kan också kolla in det här exemplet på en nätfiskekampanj med information om hur många som klickade på mejlet och gav ut sina personliga uppgifter. Vi ser fram emot att höra från dig!
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.