Framgångsrika kampanjer kring medvetenhet om nätfiske, phishing

Framgångsrika kampanjer kring nätfiske, phishing, och medarbetarnas medvetenhet.
-Här kommer våra råd:

Nätfiske, phishing, är en av de mest använda attackvektorerna i dataläckage (32%). Detta bidrar till att fler och fler företag simulerar nätfiske-kampanjer för att utbilda sina anställda. Dessa simuleringar är dock svåra att kontrollera och kan ibland orsaka mer skada än nytta.

När vi har utfört uppdrag hos våra kunder, när nätfiske diskuteras, har vi observerat två olika fenomen:

• Motvilja: Att genomföra en intern nätfiske-kampanj är skrämmande

Denna motvilja kan komma från HR eller kommunikation (som oroar sig för de anställdas reaktion) men även från säkerhetsteam där deras avdelning kanske redan har ett misstroende då IT-säkerhet ofta uppfattas som ett hinder för verksamheten.

• Missbruk av denna vektor: Målgruppen måste vara stor

Att genomföra en nätfiske-kampanj är relativt enkelt, med många verktyg eller managerade tjänster som är tillgängliga på marknaden. Om kampanjen genomförs som en “one-off”, finns det en chans att den blir värdelös. I själva verket bör man inte glömma att nätfiske-kampanjen måste vara en integrerad del av en medvetenhetsplan, vars mål är att öka de anställdas kompetens och inte bara att påpeka deras brister vid ett givet tillfälle.

Denna observation fick oss att tänka på följande problem: Hur lyckas man i en nätfiskekampanj?

Skapa en medvetenhetsplan innan ni planerar en nätfiskekampanj:

Användarmedvetenhet bör inte förlita sig på en vektor av flera skäl:

• Alla tar till sig lärdom på olika sätt.
• Att leverera samma meddelande via olika kanaler hjälper till att skapa intresse
• Nätfiske-kampanjen är mer en kontrollvektor än en inlärningsvektor

Därför är det viktigt att se till att kampanjen föregås och följs av andra åtgärder som gör det möjligt för anställda att förstå risken för nätfiske, veta hur de upptäcker den och hur de bör reagerar.

Instinktivt, tenderar företag att inte kommunicera om förverkligandet av en nätfiske-kampanj, av rädsla för att snedvrida resultaten: detta är ett misstag!

Att inte kommunicera i förväg innebär att företaget riskerar att få frustrerade medarbetare och skapa ett motstånd mot cybersäkerhet. Det är viktigt att vara transparent om testens existens och om orsakerna till dessa test: att hjälpa medarbetare att utvecklas och delta i försvaret av företagets tillgångar.

Målet är att uppnå en förståelse hos fackföreningen gällande risken för nätfiske, och inte fokusera på motstånd från medarbetare riktat mot säkerhetsteamet. Detta är en av anledningarna till att det är kontraproduktivt att säga att problemet finns “mellan stolen och tangentbordet”. Dessutom kan en varning även öka deras dagliga vaksamhet.

Det är även nödvändigt att säkerställa stödet från ledningen. Ledningen bör inte uteslutas från kampanjen: medarbetare känner sig mer bekymrade om de ser att det är en strategisk fråga för ledningen. Den verkställande kommittén kan delta i kommunikationen av resultaten.

• Sikta inte för högt: Som IT- eller säkerhetsexperter har vi vanligtvis högre kompetens för att upptäcka nätfiske, vilket ofta leder till att vi skapar e-postmeddelanden för nätfiske som är för sofistikerade. Det är bäst att börja med enkla e-postmeddelanden och arbeta er upp i komplexitet. Ett e-postmeddelande som är för komplicerat kan även avskräcka anställda

• Välj inte ett läskigt scenario: Valet av scenario är avgörande, ni måste se till att det är attraktivt och att användaren vill klicka på länken, utan att vara för alarmerande. Till exempel kan ett e-postmeddelande om en löneomorganisation stressa medarbetare och generera för många känslor

• Dela inte upp kampanjen: Det är inte nödvändigt att skicka olika e-postmeddelanden till olika målgrupper eftersom detta urvattnar statistiken

– Straffa inte medarbetare som har blivit lurade

Det skulle vara kontraproduktivt att straffa medarbetare som har blivit lurade, detta gäller även kommunikation av deras namn internt. Utöver den dåliga atmosfären, som denna typ av praxis skapar, riskerar företaget att medarbetare kommer i framtiden vara rädda för att varna företaget i händelse av misstanke om ett e-postmeddelande eller en säkerhetsincident av rädsla för att bli sanktionerade. Detta är motsatsen till säkerhetskulturen vi försöker utveckla: vaksamhet och uppmärksamhet.

Även en relativt “hälsosam” sanktion som att kräver utbildning för att undvika misstag i en simulering rekommenderas inte: medarbetare ser utbildningen som ett straff och det skulle inte nödvändigtvis vara effektivt.

Omvänt kan det vara möjligt att belöna den avdelning som klarar testet bäst: detta skapar en vänlig konkurrens bland de anställda. Vissa kan hävda att det kan snedvrida testet, eftersom anställda varnar varandra för närvaron av ett e-postmeddelande med nätfiske. I verkligheten är denna risk ganska liten. Även om de anställda varnar varandra får det dem att prata om nätfiske och hur de upptäckte det: vilket är en av de önskade effekterna!

• Kommunicera resultatet

Genom att göra dem anonyma är det viktigt att kommunicera resultaten. En alarmerande kommunikation skulle tjäna sitt syftet: Skrämselmarknadsföring fungerar inte. Kommunikationen ska innehålla en förklaring gällande hur nätfiske upptäcks eller en länk till dedikerad information.

• Fokusera inte på statistik

En av fördelarna med nätfiske-kampanjen (och det är detta som gör den så populär) är att den låter er uppnå mätbara resultat. Ni bör dock inte titta slaviskt på siffrorna utan och fokusera på antalet användare som klickat på nätfiske-länken.

• Villkoren för simuleringen kan knappast vara identiska för varje kampanj (föremålet för e-postmeddelandet ändras, det kan vara mindre attraktivt för medarbetarna, årstiden kan vara mer eller mindre gynnsam, etc.). Det är därför inte nödvändigtvis lämpligt att jämföra en kampanj med en annan
• Målet är att öka användarnas färdigheter, det är rekommenderas att göra e-postmeddelandena mer komplexa med tiden. Att ha ett konstant antal av medarbetare som blivit nätfiskade av e-postmeddelandenas komplexitet förändras. Det skulle vara lätt att få positiv statistik genom att minska e-postens komplexitet, och ändå skulle risken vara desto mer närvarande.

En av indikatorerna som är särskilt viktiga att titta på är varningsfrekvensen. Detta är vad vi förväntar oss av användare: att de varnar vid misstänkta e-postmeddelanden. Det är även intressant att inkludera IT-stöd i beredningen av simuleringen, tillsammans med cheferna.

• Utbilda anställda och… börja om igen

När kampanjen är över och resultaten har kommunicerats är det nödvändigt att fortsätta öka medvetenheten om nätfiske bland medarbetarna. För att säkerställa att de medvetenhetsåtgärder som genomförs uppskattas och förvärvas av medarbetarna, är det nödvändigt att konsolidera adhesionindikatorer. Om dessa inte är tillfredsställande kan vi sedan anpassa de valda medvetenhetsvektorerna.

Dessutom rekommenderar vi alltid att man drar paralleller mellan privat- och yrkesliv för att de överförda meddelandena ska få större effekt. Detta gäller särskilt för nätfiske, som riktar sig till både yrkesverksamma och privatpersoner. Slutligen, för att vara mer effektiv, är det nödvändigt att utföra regelbundna simuleringar. När simuleringsresultaten förbättras kan komplexitetsnivån ökas.

Avslutningsvis är det viktigt att komma tillbaka till det faktum att en nätfiske-kampanj är ett verktyg som inte bör användas som en medvetenhetsåtgärd: det är framför allt en kontrollvektor. Eftersom hoten ständigt utvecklas måste medarbetarnas medvetenhet vara en process förkontinuerlig förbättring. Med hjälp av regelbundna och varierande medvetenhetsåtgärder kommer medarbetarna att kunna öka sina färdigheter i dessa ämnen.

Dessutom, måste övervakningsvektorer som nätfiske-kampanjen användas för att säkerställa effektiviteten i medvetenhetsstrategin. Alltid arbeta mot en ständig förbättring, måste de också ta itu med nya hot: smishing (SMS nätfiske), vishing (via telefon), smittade USB-nycklar etc.