Nätfiske är ett av IT-brottslingarnas vanligaste angreppssätt. Därför är det viktigt för IT-säkerheten att träna anställda i att känna igen och reagera på nätfiske. I detta blogginlägg går vi igenom hur man genomför övningar för att förbättra skyddet mot nätfiske i sin organisation och ger några kostnadsfria exempel på nätfiskeövningar att ha som inspiration i det egna arbetet.
Varför det är viktigt med nätfiskeövningar
Nätfiske är ett av de största IT-hoten för företag och även ett av de vanligaste angreppen företag utsätts för. Utöver det är dataläckor till följd av nätfiske extremt kostsamma för företag att hantera. I år kostade läckor till följd av nätfiske företagen 4,65 miljoner USD i genomsnitt. Det är stora summor för vad som förefaller vara ett litet misstag med e-posten!
Eftersom nätfiske är ett så stort hot mot organisationer är det viktigt att anställda kan känna igen nätfiskemejlen, så att de inte går i fällan och lämnar ut känslig information. Att genom övning lära anställda att känna igen nätfiskemejl är ett utmärkt sätt att ge dem kunskaperna under säkra former. Resultaten ger dig också en bild av eventuella luckor i IT-säkerheten som behöver täppas till.
Guide: Hur man genomför övningar i nätfiske
Ska du börja genomföra övningar i nätfiske i din organisation är det bra att först strukturera arbetet. Då sparar du tid när programmet är igång och får allt att gå smidigt. Läs vidare för att se våra förslag inför övningarna!
Förbered nätfiskeövningarna
Bestäm om ditt kontor ska förvarnas
Innan du skickar ut simulerade nätfiskemejl till din personal ska du ha tänkt igenom hur mycket du vill att personalen ska känna till om övningen. Beroende på din personal kan du välja att inte gå ut med någon information, och därmed få ett helt verklighetstroget resultat av övningen. Vet du däremot med dig att dina anställda kan motsätta sig att bli testade i hemlighet kan det vara bäst att informera dem i förväg.
Väljer du att hålla övningen hemlig till en början kan du få ett mer verklighetstroget resultat. Om personalen inte förväntar sig att få nätfiskemejl får du en bättre bild av deras beredskap och sårbarhet vid riktiga angrepp. Med en hemlig övning riskerar man å andra sidan att de anställda känner sig dömda eller vilseledda – särskilt om man pekar ut enskilda individer i resultaten.
Går du ut med övningen innan du skickar det första simulerade nätfiskemejlet kan du bidra till ett öppet samtalsklimat på kontoret. Det kan också vara ett bra tillfälle att påminna alla på kontoret om IT-säkerhet och vad nätfiske är, hur man känner igen det i inkorgen och vad som kan hända om man lämnar ut känsliga data till obehöriga.
Att bestämma om man ska berätta om övningen kan vara svårt, men om du väger in kulturen på kontoret och dina anställdas bästa så kan du fatta ett beslut som är rätt för ditt arbetslag.
Vi har fått veta att våra kunder oftast föredrar att inte informera sina användare inför det första testet, utan först senare. Denna medelväg kan vara rätt även för din personal.
Påminn personalen om att anmäla
Berättar du för personalen om nätfiskeövningen i förväg är det också ett utmärkt tillfälle att berätta för alla om rapportering och respons. Se till att alla vet vad de ska göra om man får ett misstänkt skadligt mejl i inkorgen: Vem ska de rapportera till och hur? Vad ska de göra och INTE göra med mejlet?
Väljer du att hålla övningen hemlig till en början kan det första nätfiskemejlet ge dig viktiga insikter om arbetslagets förståelse för rapporteringsproceduren. Ibland tror de anställda att de ska anmäla misstänkta mejl på tre eller fyra olika ställen. Vår erfarenhet är att insikterna om personalens förståelse för rapportering av IT-hot är något av det viktigaste man får ut av nätfiskeövningar. Efter det första testet kan du ordna ett möte för att diskutera programmet med din personal och påminna om hur man bäst går tillväga.
Tips för att skriva ett falskt nätfiskemejl
Om du inte samarbetar med någon som håller i nätfiskeövningen så kommer du förmodligen att själv skriva nätfiskemejlen som skickas till dina anställda. För att lära mottagarna att känna igen riktiga nätfiskemejl är det viktigt att du gör mejlen trovärdiga och använder IT-brottslingarnas metoder. Här nedan följer några tips på saker att tänka på innan du börjar skriva nätfiskemejlen.
Använd vanliga nätfiskesignaler
Även om nätfiskemejl ofta ser olika ut finns det gemensamma drag hos vissa av dem. Några exempel:
-
Dålig grammatik eller felstavade ord
-
Allmänna eller ovanliga hälsningsfraser
-
En avsändardomän eller e-postadress som ser udda ut
-
Bilagor med ett obekant tillägg
-
Länkar som ser underliga ut eller inte anknyter till texten
-
Brådskande förfrågningar om känsliga data (t.ex. inloggnings- eller kreditkortsuppgifter)
Detta är några grundläggande nätfiskesignaler som du kan ha med i dina mejl och är bra att utgå ifrån när du skriver dina övningsmejl. Om ditt team har god förståelse för nätfiske kommer de här signalerna att göra det för lätt för dem. Dålig grammatik och stavfel blir till exempel allt mindre förekommande i nätfiskemejl i takt med att IT-brottslingarna blir bättre och de uppenbara nätfiskeförsöken fastnar i spamfilter. För att övningen ska bli mer effektiv kan du blanda in andra signaler som gör mejlen svårare att genomskåda.
Gör mejlen lockande
För att ett nätfiske ska lyckas måste mottagaren känna ett behov av att agera. Kombinera några av nedanstående knep med de grundläggande nätfiskesignalerna för att göra dina övningsmejl ännu effektivare:
-
Skriv att mottagaren måste agera skyndsamt
-
Blanda in känslor (rädsla och spänning fungerar bra)
-
Erbjud en åtråvärd belöning
-
Utnyttja någon auktoritet för att få deras förtroende (se vårt inlägg om vd-bluffen)
Med de här teknikerna kommer det att bli svårare för dina anställda att motstå att klicka på ett mejl. Kom ihåg: ju verkligare dina mejl ser ut, desto bättre kommer ditt team bli på att upptäcka skadliga mejl.
Du bör också hålla dig uppdaterad om trenderna inom nätfiske så att du kan ha med dem i övningen.
Här är fyra exempel på nätfiskeövningar som vi har skapat och testat på våra kunder.
Upprätta ett schema
Du behöver ha klart för dig hur ofta du ska skicka falska nätfiskemejl till din organisation så att du kan schemalägga övningen. Givetvis kan schemat justeras medan övningen pågår. Beroende på vad du har för mål kan du även skicka övningsmejl oftare till anställda som har gått i fällan.
Men hur ofta är tillräckligt?
Vi rekommenderar att du skickar övningsmejl minst två gånger per år, men fyra till sex gånger om året kan vara bra om du har resurser till det. Det viktigaste att ta i beaktande är att testerna ska vara återkommande tillräckligt ofta för att medvetenheten ska bibehållas, men utan att dina anställda blir överbelastade. Att öka medvetenheten är av största vikt, men för många övningsmejl kan leda till att dina anställda väntar på nästa test istället för att använda sina färdigheter.
Utskick av övningsmejl
När du har tillkännagivit övningen, skrivit några mejl och gjort ett schema är du redo att börja skicka ut mejlen!
Det första övningsmejlet bör vara på mellannivå. Då får du en realistisk förståelse för hur din personal reagerar på riktigt nätfiske. Beroende på vad du har för mål med övningen kan du också börja med ett svårt mejl. Det kan vara motiverat om du vill visa din personal hur farliga nätfiskemejl kan vara. Resultaten från det första testet blir ett riktmärke som du kan använda för att se vilka framsteg din personal gör.
Gör inte testet för enkelt
Med tiden blir din personal bättre på att genomskåda nätfiskemejlen, och då kan du göra övningen svårare. Ett sätt är att göra så att mejlet ser ut att ha en intern avsändare istället för en extern. Det är vanligt att vi sänker garden när vi tror att ett mejl kommer från en kollega, vilket är varför ”interna” mejl har lättare att lyckas. Testet är viktigt, för det är vanligen en lätt sak för IT-brottslingarna att hitta namn och befattning på personer i din organisation, särskilt om det finns ”Om oss” på företagets hemsida eller om de anställda använder LinkedIn. Vi ser annorlunda på en förfrågan om bankuppgifter när den kommer från vår ekonomiavdelning och inte en ”prins i Nigeria”! Avsändaren gör mejlet mer riktat, vilket lär dina anställda att känna igen så kallat spjutnätfiske, en farligare variant av nätfiske.
En annan strategi du kan prova är att skicka mejl till bara enstaka anställda åt gången. Då blir det inte så mycket prat om det, och de anställda får prova sina färdigheter på egen hand. Vi rekommenderar också att du har olika teman på ditt simulerade nätfiske, för ett tema kan vara lätt för vissa men inte för andra.
Nätfiskeövningar är som att gå till gymmet
När nätfiskeövningarna har pågått ett tag kan det vara frestande att dra ned på dem, men det är viktigt att hålla programmet igång även om dina anställda gör bra ifrån sig.
Nätfiskeövningar har en hel del gemensamt med fysisk träning! Lyfter man skrot varje dag i ett halvår känner man sig förmodligen stark och tänker kanske att man inte behöver träna mer, men slutar man plötsligt att gå till gymmet blir man snabbt svagare, och det krävs mycket ansträngning för att få styrkan tillbaka. Hjärnan fungerar likadant, och utan övning kan dina anställda få svårt att genomskåda nätfiske.
Att hålla igång programmet handlar inte bara om att hålla personalen i trim. Det är också en möjlighet att lära personalen om nya metoder för nätfiske, samt att ge nyanställda samma träning som resten av personalstyrkan har fått.
Sammanfattningsvis är kontinuerlig övning det bästa sättet att göra personalen beredd på riktigt nätfiske.
Använd insamlade data till att göra träningen bättre
Data du samlar in i samband med övningarna blir värdefulla för IT-säkerhetsarbetet. Data som alltid bör insamlas är:
-
Antal mottagare som klickade på länken
-
Antal mottagare som gick vidare i fällan (och till exempel lämnade ut personuppgifter)
-
Antal mottagare som anmälde mejlet på rätt sät
Med den informationen kan du börja hitta mönster. Du kan till exempel:
-
Arbeta vidare för ökad medvetenhet
-
Få facit på hur de anställda klarar av rapporteringsproceduren
-
Ge extra träning till individer som har störst behov av det
Överväg samarbete med en extern partner
Eftersom nätfisketräningen behöver vara kontinuerlig kan det krävas mycket tid för att hålla programmet igång. Det är ett skäl till att det kan vara klokt att arbeta med en extern leverantör. Då behöver du inte lägga så mycket tid på att skriva övningsmejlen, administrera övningen och analysera resultaten.
Vår nätfisketräning gör precis det. Vi skapar och skickar ut simulerade nätfiskemejl till dina anställda, men du är med i processen och kan följa utvecklingen i realtid på en plattform där du även får insikter om hur väl olika arbetslag lyckas. Vill du veta mer ska du inte tveka att höra av dig till oss.
Samordna nätfiskeövningarna med andra aktiviteter för ökad medvetenhet
Nätfiskeövningarna är en tillgång för ditt team, men du behöver inte begränsa dig till det! Se nätfiskeövningarna som en del av ett mer omfattande program för att göra de anställda mer säkerhetsmedvetna. Liksom med bilkörning behöver man både teori och praktik för att lyckas. Precis som man behöver både teorilektioner och övningskörning för att lära sig köra bil, så behöver man träna generell medvetenhet och ha simulerad praktik för att få en stark IT-säkerhet!
Vårt arbete med IT-säkerhet visar att ett team som är på sin vakt är bäst på att stå emot IT-angrepp, och därför är det viktigt att arbeta för en stark IT-säkerhetskultur i organisationen. Förutom nätfiskeövningar bör du ta andra initiativ för att öka medvetenheten om IT-säkerhet på företaget och träna dina anställda så att de blir företagets bästa försvar.
