Phishing-tests kan være en effektiv måde at forbedre bevidstheden om cybersikkerhed, styrke medarbejderne og forsvare sig mod cyberangreb på.
Phishing er nu blevet den største cybertrussel på verdensplan, og inden for det seneste år er antallet af svindelnumre steget med 350 %, fordi cyberkriminelle udnytter den frygt og det kaos, som coronavirus-pandemien har skabt. Social engineering-angreb som phishing er afhængige af angriberens evne til at udnytte menneskelige sårbarheder og følelser for at nå deres mål.
Da store dele af arbejdsstyrken fortsat arbejder hjemmefra, er det vigtigt, at medarbejderne kan genkende sofistikerede phishing-trusler i deres indbakker og ved, hvordan de skal håndtere dem på passende vis.
Hvad er en phishing-test?
En phishing-test eller phishing-simulering, som den også kaldes, bruges af organisationer til at finde ud af, hvor modtagelige deres medarbejdere er over for phishing-angreb. Ved at bruge et sikkert, kontrolleret miljø kan organisationer sende medarbejdere realistiske phishing-mails for at måle deres bevidsthed om angrebsmetoder og finde ud af, hvordan de ville reagere, hvis truslen havde været reel.
Disse simulerede angreb hjælper medarbejderne med at identificere aktuelle trusler og giver rettidig uddannelse om, hvordan de kan forbedre deres sikkerhedsadfærd. Hvis en medarbejder klikker på en phish, bliver han/hun straks præsenteret for en læringsoplevelse, der hjælper ham/hende med at genkende tegnene på en phishing-angreb og opmuntre dem til at rapportere phishingforsøg.
Organisationerne kan til gengæld bruge disse data til at identificere svage områder, skræddersy uddannelse for at afhjælpe mangler i bevidstheden og kortlægge fremskridt over tid.
Sådan udfører du en effektiv phishing-test
Fastsæt en baseline
Før du lancerer dit phishing-opmærksomhedsprogram, skal du etablere en baseline. Dette vil hjælpe med at fastslå, hvor modtagelig din virksomhed er over for svigagtige phishing-e-mails, og hvor stor en procentdel af dine medarbejdere der ville være faldet for angrebet, hvis det havde været ægte.
Du kan enten informere medarbejderne om, at du vil udsende en phishing-test og forklare, hvad dine mål er, og hvad du håber at opnå, eller du kan udsende en overraskende phishing-test uden nogen forudgående undervisning.
Denne beslutning er helt op til din organisation, selv om sidstnævnte giver det klareste billede af, hvor sårbare dine medarbejdere er over for phishing-angreb i den virkelige verden. Når du har registreret din baseline, kan du bruge disse resultater som et benchmark til at spore effektiviteten af fremtidige phishing-simuleringstests.
Planlæg dinphishing-test
Når du har etableret en baseline, kan du begynde at planlægge din phishingkampagne for det kommende år. På dette tidspunkt bør medarbejderne informeres og uddannes i, hvordan de kan identificere en mistænkelig e-mail, og hvad de skal gøre, hvis de modtager en sådan.
Med enhver phishing-kampagne er det bedst at starte i det små og derefter bygge op. Dine første phishing-tests bør være relativt nemme at opdage og indeholde klassiske tegn på en phishing-e-mail som f.eks. en generisk hilsen, stavefejl og dårlig grammatik.
Efterhånden som kampagnen skrider frem, bør sværhedsgraden dog øges for at afspejle de reelle angreb, der kan bruges mod dine medarbejdere.
Spred udgivelsen afphishing-testen
Timing er afgørende for, om din phishing-test bliver en succes. En almindelig fejl er at sende en generel phishing-test ud til hele organisationen på samme tid. Dette vækker blot mistanke, og de medarbejdere, der har identificeret e-mailen som en phish-mail, vil begynde at advare kollegerne.
Hvis du ikke vil ende med skæve resultater, bør du sprede din phishing-test over forskellige tidsrum for at sikre en mere præcis rapportering.
Inddrag ledende medarbejdere iphishing-test
Alle brugere er modtagelige for phishing-angreb, men der er visse medarbejdere, som har en højere risikoprofil end andre. CEO'er, CFO'er og ledende medarbejdere er nogle af de mest populære phishing-mål på grund af deres adgang på højt niveau til værdifulde virksomhedsoplysninger.
Det er vigtigt, at disse medarbejdere er med i alle phishing-tests, ikke kun af hensyn til risikoen, men også for at vise de andre medarbejdere, at de tager cybersikkerhed alvorligt.
Brug en række forskellige metoder
Phishing-simuleringstests skal afspejle de forskellige trusler, som dine medarbejdere udsættes for i dagligdagen. Cyberkriminelle bliver mere og mere snedige i deres angrebsmetoder, så dine phishing-tests skal afspejle dette. Mens mange medarbejdere vil være på vagt over for eksterne angreb, kan de være mere selvtilfredse med e-mails, der ser ud til at komme fra organisationen selv.
Der kan blive sendt e-mails, der udgiver sig for at være HR-afdelingen, og som informerer personalet om feriegodtgørelse eller løn. Ved at blande stilarter og teknikker i din test vil du få en bedre forståelse af medarbejdernes bevidsthed.
Analyser data
Dataene fra dine phishing-tests er afgørende for at finde ud af, om din kampagne har været en succes. De vil hjælpe dig med at identificere tendenser, sårbare medarbejdere, uddannelsesbehov og informere dig om planlægningen af fremtidige phishing-tests.
Dine rapporter skal analysere:
- Antal personer, der har klikket.
- Antal personer, der har indsendt følsomme oplysninger.
- Antal personer, der har rapporteret om phishing-e-mailen.
Med tiden bør du se et fald i de to første kategorier og en stigning i rapporteringen. Medarbejdere, der har klikket på phishing-e-mailen og/eller indsendt følsomme oplysninger, bør modtage yderligere uddannelse for at forbedre sikkerhedsadfærden.
Medarbejderne skal forstå de reelle konsekvenser af et phishing-angreb, og hvorfor det er så vigtigt, at de effektivt kan identificere et mistænkt phishing-angreb. Det handler ikke om at fange folk, men om at måle bevidstheden og identificere områder, der kan forbedres.
På samme måde bør medarbejdere, der har udvist god sikkerhedsadfærd og identificeret phishing-e-mails og rapporteret dem til it-medarbejdere, roses.
Indførphishing-træning som en del af et bredere program tilbevidstgørelse om cybersikkerhed
For at være virkelig effektive bør phishing-tests indføres som en del af et bredere program for bevidsthed om cybersikkerhed. Dette er den bedste måde at uddanne personalet på, forbedre sikkerhedsadfærd og skabe en mere cyberresistent arbejdsstyrke. Du kan vælge emner, der tager højde for dine organisatoriske risici, og bruge en blandet tilgang til at engagere personalet og øge bevidstheden.
Ud over dine phishing-tests kan målrettet eLearning, blogs, plakater og infografikker alle bruges til at styrke de vigtigste budskaber.
Afsluttende overvejelser
Når du har etableret dit phishing-opmærksomhedsprogram, er det vigtigt at holde farten oppe. Det tager tid at skabe en bevidsthedskultur, og det kan ikke opnås ved en enkelt årlig øvelse.
Regelmæssige phishing-tests vil hjælpe med at øge medarbejdernes årvågenhed, forbedre bevidstheden og identificere eventuelle svage områder, der kan udgøre en risiko for din organisations sikkerhed.