Vellykkede phishing-bevisstgjøringskampanjer

Phishing-kampanjesimulering: vanlige feil

Phishing er en av de mest brukte angrepsvektorene i datalekkasjer (32%). Som et resultat simulerer flere og flere selskaper phishing-kampanjer for å bevisstgjøre sine ansatte. Imidlertid er disse simuleringene vanskelige å kontrollere og kan noen ganger forårsake mer skade enn godt.

• Under oppdrag utført hos kundene våre, når phishing diskuteres, har vi ofte sett at det er noen faktorer som utmerker seg:

Å gjennomføre en intern phishing-kampanje er skummelt. Denne motviljen kan komme fra menneskelige ressurser (som frykter reaksjonen til ansatte), men også fra sikkerhetsteam, som allerede kjenner på at IT-sikkerhet ofte oppfattes som en hindring for virksomheten.

• Feil bruk av denne vektoren: målpopulasjonen må være stor.

Det er relativt enkelt å gjennomføre en phising-kampanje, med mange verktøy eller administrerte tjenester tilgjengelig på markedet. Hvis den gjennomføres som en enkelt kampanje, er det stor sjanse for at denne ikke kan brukes til noe i etterkant. Faktisk bør man ikke glemme at phishing-kampanjen må være en integrert del av en bevissthetsplan, hvis mål er å øke de ansattes ferdigheter, og ikke bare å påpeke deres mangler i et gitt øyeblikk.

Denne observasjonen fikk oss til å tenke på følgende problem: hvordan lykkes med en phishing-kampanje?

Før kampanjen

Lag en bevissthetsplan før du planlegger en phising-kampanje

Brukerbevissthet bør ikke stole på en enkelt vektor av flere årsaker:

• Vi lærer ikke alle på samme måte.
• Å levere det samme budskapet gjennom forskjellige kanaler bidrar til å skape interesse.
• Phishing kampanjen er mer en kontrollvektor enn en læringsvektor.

Med bakgrunn i dette er det viktig å sikre at kampanjen gjennomføres på en god måte og etterfølges av andre handlinger som gjør at ansatte kan forstå risikoen for phishing, vite hvordan de oppdager det og hvordan de skal reagere.

Kommuniser kampanjen til dine ansatte

Instinktivt har selskaper en tendens til ikke å kommunisere en phishing-kampanje i forkant av frykt for å skjeve resultater: dette er en feil!

Ved å ikke kommunisere i forkant risikerer man frustrerte ansatte og vil også få intern motstand mot cybersikkerhet. Det er viktig å være åpen om testingen, så vel som om grunnen til at man gjennomfører dette. Dett vil hjelpe ansatte til å utvikle seg og delta i å forsvaret av selskapets eiendeler. Målet er å oppnå en kollektiv sinnstilstand der man forstår risikoen for phishing, og ikke oppnår en opposisjon mellom ansatte mot sikkerhetsteamet. Dette er også en av grunnene til at det er kontraproduktivt å si at problemet er “mellom stolen og tastaturet”. Videre kan man ved å advare i forkant også øke de ansattes daglige årvåkenhet.

Støtte fra ledelsen

Det er også nødvendig å sikre støtte fra ledelsen. Ledelse bør heller ikke utelukkes fra kampanjen: ansatte vil føle seg mer bekymret hvis de ser at dette er en strategisk handling der ledelsen “slipper unna”.

Velg et passende scenario

• Ikke sikt for høyt: Som IT- eller sikkerhetspersonell er vi vanligvis bedre opplært til å oppdage phishing, noe som ofte får oss til å lage for sofistikerte phishing epostmeldinger. Det er best å starte med enkle eposter og jobbe deg opp i kompleksitet. En for kompleks epost kan også bli for opplagt for de ansatte.
• Ikke velg et skummelt scenario: Valget av scenario er avgjørende, du må sørge for at det er attraktivt og får brukeren til å klikke, uten å være for alarmerende. For eksempel kan en epost om en lønn stresse ansatte og generere mange følelser.
• Ikke del opp kampanjen: Det er ikke nødvendigvis nødvendig å sende forskjellige eposter til forskjellige målgrupper, da dette gir svakere statistikk.

Hva skal man gjøre etter kampanjen

• Ikke straff eller avslør de ansatte som har blitt “phished”.

Det er lite produktivt å straffe ansatte som har blitt “phished”, og enda verre er det hvis man kommuniserer navnene deres internt. Utover den dårlige atmosfæren som denne typen praksis skaper, vil risikoen være at ansatte i fremtiden vil være redd for å varsle hvis de er i tvil om en epost, eller tilfeller av en sikkerhetshendelse, av frykt for sanksjoner. Dette er det motsatte av sikkerhetskulturen vi prøver å utvikle: årvåkenhet og varsling.

Selv en relativt “sunn” sanksjon, for eksempel krav om opplæring, anbefales ikke: ansatte vil se på opplæringen som en straff, og den vil ikke nødvendigvis være effektiv.

Motsatt kan det være mulig å belønne avdelingen som gjør det best: det skaper en bedre innstilling med en hyggelig konkurranse blant ansatte. Noen vil kanskje hevde at dette kan forvride resultatene, ettersom ansatte vil varsle hverandre om de mottar noe de tenker er en phishing epost. I virkeligheten er denne risikoen ganske liten. Selv om ansatte advarer hverandre, vil resultatet også være at de snakker om phishing og hvordan de oppdaget det: og dette er en av de effektene man faktisk ønsker!

• Kommuniser resultatene

Gjør resultatene anonyme, og det er viktig å kommunisere disse på en god måte. Kommunikasjon med skremselspropaganda vil ikke tjene formålet: fryktmarkedsføring virker ikke. Kommunikasjonen bør inneholde en forklaring på hvordan man oppdager phishing, eller en lenke til et dedikert rom for mer informasjon.

• Ikke fokuser på statistikk

En av fordelene med phishing-kampanjer (og det som gjør den så populær) er at den lar deg oppnå målbare resultater. Imidlertid bør man ikke gå i fellen med tall og fokusere på antall “brukere som gikk på limpinnen”:

• Betingelsene for simuleringen kan ikke være identiske for hver kampanje (emnet for eposten må endres, phising eposten kan være mindre attraktiv for de ansatte, perioden i året kan være mer eller mindre gunstig for en utsendelse, etc.). Det er derfor ikke nødvendigvis hensiktsmessig å sammenligne en kampanje med en annen.
• Målet er å øke brukernes ferdigheter, det er lurt å gjøre epostene mer komplekse litt etter litt. Å ha et konstant forhold mellom “phished”-brukere er ikke nødvendigvis riktig, når kompleksiteten til e-postene endrer seg. Det ville være lett å skaffe positiv statistikk ved å redusere kompleksiteten til eposten. …og allikevel vil risikoen være like mye tilstede.

En av indikatorene som er spesielt viktige å se på er varslingsfrekvensen. Dette er hva vi forventer av brukerne: at de varsler ved mistenkelig epost. For dette er det viktig å inkludere IT -støtte i forberedelsen av simuleringen, sammen med ledelsen.

• Tren de ansatte og… start på nytt!

Når kampanjen er over, og resultatene er delt, må man fortsette å øke bevisstheten om phishing og risiko blant brukerne. For å sikre at bevissthetstiltakene som implementeres blir verdsatt og brukt av de ansatte, er det nødvendig å konsolidere vedheftsindikatorer. Hvis disse ikke er tilfredsstillende, kan vi deretter tilpasse de valgte bevissthetsvektorene.

For at meldingene som skal overføres skal bli mest mulig effektive, anbefaler vi alltid å trekke paralleller mellom et personlig og profesjonelt liv. Dette gjelder spesielt for phishing, som er rettet mot både profesjonelle og enkeltpersoner. Til slutt, det er det nødvendig å utføre vanlige simuleringer. Når resultatene av simuleringen blir bedre, kan kompleksiteten økes.

Konklusjon: fokus på bevissthet

For å konkludere, det er viktig å komme tilbake til det faktum at en phishing-kampanje er et verktøy for bevissthet hos ansatte, og det er fremfor alt en kontrollvektor. Ettersom trusler stadig utvikler seg, må medarbeiders bevissthet være i en kontinuerlig forbedringsprosess. Ved å bruke vanlige og varierte bevissthetstiltak, vil ansatte kunne øke sine ferdigheter.

I tillegg må overvåkingsvektorer som phishing-kampanjer brukes for å sikre bevissthetsstrategiens effektivitet. For kontinuerlig forbedring må disse kampanjene også ta opp nye trusler: smishing (SMS-phishing), vishing (via telefon), etc.