Phishing-træning: Ikke spild af tid, men kræver ny tilgang

Phishing udgør i dag én af de absolut største trusler mod virksomheders sikkerhed. Spamfiltrene bliver bedre og bedre, men mange phishing-mails går stadig igennem, og de cyberkriminelles metoder bliver hele tiden fornyet.

Derfor investerer mange virksomheder store beløb i awareness-træning af medarbejderne for at øge deres modstandsdygtighed, men det sker ofte via standardiserede løsninger fra e-learning-leverandører. På trods af omfattende investeringer i cybersikkerhedstræning viser en ny undersøgelse, at effekten af sådanne programmer kan være langt mere begrænset, end mange virksomheder tror.

Resultater fra forskningen: Hvor effektive er phishing-træningsprogrammer?

Undersøgelsen, der blev udført over otte måneder og inkluderede mere end 19.000 medarbejdere i sundhedssektoren i USA, afslørede følgende hovedresultater:

1. Begrænset sammenhæng mellem træning og modstandsdygtighed

Undersøgelsen fandt ingen betydelig forskel i sandsynligheden for, at medarbejdere klikker på falske phishing-links, uanset om de for nyligt havde gennemført obligatoriske cybersikkerhedstræningsmoduler eller ej. Dette rejser spørgsmålet, om hvorvidt standardiseret træning faktisk gør medarbejdere bedre til at genkende og undgå phishing-angreb.

2. Minimal interaktion med træningsmaterialer

En stor del af medarbejderne brugte meget lidt tid på at gennemføre de moduler, der fulgte med phishing-simulationer. Dette kan indikere, at indholdet ikke formår at engagere brugerne tilstrækkeligt. Uden engagerede medarbejdere risikerer træningen at blive en formalitet snarere end et effektivt forsvarsværktøj.

3. Overtræning kan have negative konsekvenser

Overraskende nok viste data, at medarbejdere, som havde gennemført flere phishing-træninger, i nogle tilfælde blev mere tilbøjelige til at fejle efterfølgende simulationer. Dette kan skyldes en form for træthed eller overeksponering, der gør det sværere for dem at skelne mellem legitime og ondsindede e-mails.

Hvad betyder det for danske virksomheder?

For danske virksomheder betyder dette, at de skal gentænke deres tilgang til cybersikkerhedstræning. Standardiserede årlige kurser ser ikke ud til at være tilstrækkelige, når det gælder om at beskytte mod de mere sofistikerede phishing-angreb, vi ser i dag.

Med NIS2-direktivet som bagtæppe bliver virksomheder nu forpligtet til at løfte niveauet for deres cybersikkerhed, herunder i awareness-programmer. Mange vil være nødt til at revidere deres nuværende træningsstrategier og måske endda gennemføre en audit for at sikre, at de lever op til de nye krav. For virksomheder, der ønsker at være på forkant med trusselslandskabet, starter rejsen her.

Undersøgelsens konklusion er klar: Nu er det tid til at stille spørgsmål ved, om de ressourcer, der bruges på traditionel træning, virkelig giver det forventede afkast i form af stærkere cyberforsvar. Det kræver en ny tilgang, der ikke blot uddanner medarbejdere, men også formår at engagere og motivere dem til at være aktive forsvarslinjer mod trusler.

Et godt sted at starte er at overveje mere målrettede og realistiske træningsmetoder, der tager udgangspunkt i virksomhedens konkrete trusselsbillede og i forskellige medarbejdergruppers funktion i virksomheden. Ejer/leder har den fulde adgang og kan overføre penge uden at spørge om lov, men hvordan skal træning til den rolle planlægges, justeres og udføres i relation til trusselsbilledet?

I mindre skala, men stadig med mange beføjelser, er ledelseslagene også forskellige, og bare i den gruppe skal træning hænge sammen med ansvar. Alle medarbejdere har et generisk behov for viden og træning, men hvordan skal den sammensættes og udvikles? Det vigtigste er uden tvivl at etablere et klart og tydeligt formål som kan kommunikeres.