Virker phishing-træning? Ja! Her er hvorfor

Gry Myrtveit Gundersen
By: Gry Myrtveit Gundersen IT-sikkerhed | 24 april

Vi har undersøgt om phishing-træning virker. Vidste du at 80% af organisationer rapporterer, at phishing og awareness-træning reducerer risikoen for at medarbejdere falder for phishingangreb? Og at phishingtræningsprogrammer i gennemsnit betaler sig selv hjem gange 37. Det er et stort ROI (return of investment)Vores research viser at disse to træningsformer er mere effektive, når man kombinerer dem – med en 60% reducering i fejl efter få kurser. Hvis du er interesseret i at læse mere research omkring virkningen af phishingtræning, samt lære om hvordan disse resultater kan opnås, så skal du læse videre! 

Table of contents

Phishing er en reel trussel 

Før vi dykker ned i virkningerne af phishingtræning, vil vi kigge på hvorfor phishingtræning er vigtigt. Phishing er en nutidens største trusler, som virksomheder står overfor – og det rammer både store og små organisationer, over hele verden. Det omfatter derfor med høj sandsynlighed også din virksomhed! Der er flere årsager til hvorfor phishing er så stor en trussel. Vi kigger på nogle af disse i de næste afsnit. 

Phishingangreb er almindelige 

I 2021 var phishing den mest fremtrædende cyberforbrydelse baseret på antal ofre. Proofpoints 2022 “State of the Phish” rapport viser at 83% af alle virksomheder oplevede mindst et phishingangreb sidste år. Desværre ser det ud, som om phishingangreb fortsat bliver mere almindelige, og sværere at opfange i de kommende år. Faktisk viser research fra McAfee at 81% af virksomheder rundt om i verden har oplevet en stigning i phishingangreb via e-mail siden 2020. Det kan til dels skyldes pandemien og bivirkningerne herfra, såsom hjemmekontorer og en stigning i digitalisering, samt tilgængeligheden til phishingkits, som har gjort det nemmere for cyberkriminelle at udføre angreb. 

Phishingangreb er dyre at falde for 

Phishingangreb er ikke kun almindelige, de er også en rigtig dyr fælde at falde i. I gennemsnit kostede et databrud, i forbindelse med et phishingangreb lidt over 34 millioner kroner, for en virksomhed i 2022. Størstedelen af den udgift fordeles imellem at opdage og optrappe bruddet (29%) og mistet forretning (38%). Givet den stigende hyppighed og øgede omkostninger i forbindelse med phishingangreb, estimeres det at disse redegøre for tab til en værdi af næsten 123.000 kroner i minuttet.  

Phishingangreb koster små virksomheder lidt over 11 millioner kroner 

Mange mennesker tror phishing kun er en reel trussel for store virksomheder, men research fra Symantec viser at små virksomheder faktisk har en højere rate af ondsindede e-mails der lander i indbakken, hvor 1 ud af 323 e-mails er ondsindede. Dertil er der de store økonomiske konsekvenser, som phishingangreb medfører for mindre virksomheder. SME-virksomheder mister i gennemsnit 11 millioner kroner, i forbindelse med et phishingangreb, mens 60% må dreje nøglen om 6 måneder efter, at være blevet udsat for et databrud eller cyberangreb. 

Phishingangreb er svære at opfange 

Du tænker måske at der er nemt at opfange forsøg på phishing, og at phishing derfor ikke er reel trussel mod dig og din virksomhed? For hvem har trods alt endnu til gode at regne at e-mails med tilbud om store pengesummer ikke er troværdige? Dog er virkeligheden den, at cyberkriminelle konstant udvikler deres svindelmetoder. En af de metoder, som man kan se bliver mere og mere almindelig er spear phishing, som kan være dobbelt så succesfuld for svindleren, sammenlignet med almindelig phishing. Cyberkriminelle gør også brug af teknologier, såsom grammatik software der hjælper dem med at mindske grammatiske fejl, og derved øge troværdigheden af deres e-mails. Dette er med til at gøre phishingangreb mere sofistikerede, og derved også sværere end nogensinde at opdage, når de lander i indbakken. 

1 ud af 5 medarbejdere klikker på linkene i phishing e-mails 

Med ovenstående i mente, så er det ikke overraskende at folk stadig falder for phishingforsøg. Under Terranovas 2020 ”Gone Phishing” turnering, blev der udsendt over 1 million falske phishing e-mails til virksomheder og organisationer i 98 lande, med det formål at teste deres evner til at modstå phishing. Resultatet af turneringen viste at svimlende 1 ud af 5 medarbejdere havde åbnet phishinge-mailen og klikket på linket deri, samt at 13,4% af medarbejderne også indtastede deres oplysninger. Disse tal er bekymrende høje, når man tager i betragtning at det kun kræver én enkelt medarbejder der indtaster deres oplysninger, før en virksomhed er i fare. 

Heldigvis virker phishingtræning! 

Indtil videre har vi set at phishingangreb er almindelige, dyre at falde for og svære at opfange. Med andre ord er phishingangreb farlige, og du føler måske, at det er noget nær umuligt, at beskytte din virksomhed mod dem. Men der er heldigvis håb forude. Vi har faktisk kigget på effekten af phishingtræning, og tallene taler for sig selv: Phishingtræning virker! Dette ses i både internt og eksternt research, samt i den feedback vi har fået fra vores kunder. 

Phishingtræning reducerer fejl med 60% 

Vi undersøgte effekterne af phishing, hvor vi sammenlignede vores brugeres evne til at modstå phishingangreb før og efter, at have deltaget i vores træning. Undersøgelsen viste at efter kontinuerlige phishingtests og awareness-træning, faldt antallet af fejl hos vores brugere med hele 60% i forbindelse med simulerede phishingangreb. Under den første test, så vi et gennemsnit på 15% af brugere der indtastede deres efterspurgte personlige informationer. Ved den tredje phishingsimulering faldt dette tal til kun 6% af medarbejderne. 

Graph that shows reduction in people clicking on phishing mails after receving continuous training

Det illustrerer hvor stor en indvirkning kombinationen af phishingsimulationer og awarenesstræning har, når antallet af fejl begået støt falder efter hver omgang træning. For at forstå hvordan denne effekt opnås, vil vi undersøge disse to former for phishing separat. Hvordan er phishingsimulationer og awarenesstræning forskellige fra hinanden, hvad er deres påviste virkninger, og hvorfor er de så succesfulde, når de kombineres? 

Phishing-awareness

Phishing-awareness er en underkategori til awareness-træning, der kan defineres som forskellige læringsmetoder, der arbejder mod at højne medarbejderes opmærksomhed i relation til cybersikkerhed. I phishing-awarenesstræning er målet at klæde medarbejdere på til at kunne modstå phishing, ved at gøre dem opmærksomme på truslen og deres egn onlineadfærd. Træningen kan dække over emner, såsom hvordan man spotter en phishingmail, de forskellige typer af phishingangreb, og hvad man bør gøre, hvis man modtager en phishingmail. 

Metoder der kan øge opmærksomheden 

Da målet er at få medarbejderne til kontinuerligt at være opmærksomme på mistænkelige forhold, så er et enkelt lynkursus ikke fyldestgørende nok. I stedet er træning ofte splittet op i mindre bidder, og spredt ud over en længere periode, således at medarbejderne ikke glemmer informationerne med det samme, men i stedet vedligeholder den tillærte opmærksomhed. Awarenesstræning kan foregå gennem digital e-learning, fysisk træning eller igennem en kombination af begge. Træningen kan bestå af små videoer og interaktive elementer, såsom quizzer, for at øge indlæringen. Man kan også hænge plakater op på arbejdspladsen, for at give medarbejderne en kontinuerlig visuel reminder gennem hverdagene. 

Phishing-awareness reducerer risikoen for at falde for phishingangreb 

Når det gøres rigtigt, så kan phishing-awarenesstræning være særdeles effektiv. Ifølge Proofpoints gennemgående 2022 ”State of the Phish” rapport, har 80% af alle virksomheder sagt at awarenesstræningen reduceret deres medarbejderes modtagelighed overfor phishingangreb. Hvis du gerne vil have råd om hvordan man skaber et effektivt phishing-awarenesstræningsprogram, så kan vi anbefale at læse vores guide til, hvordan man opnår succes med awareness-træning

Osteman Research rapporterer også at phishing og awareness-træning drastisk øger brugernes evne til at genkende trusler. Deres research viser at kun 23% medarbejdere, før de modtog awareness-træning, kunne klassificeres som ”i stand til” eller ”meget i stand til” at genkende cyberangreb, ifølge IT-sikkerhedsprofessionelle. Efter at de har modtaget træning øges dette tal til hele 68%. vores research viser at medarbejderes evne til at genkende cyberangreb øges endnu mere, når phishingtræning kombineres med en anden aktiv træningsform: phishingsimulationer. 

Phishingsimulationer 

Phishingsimulationer eller phishingtests er en sikkerhedstræningsøvelse, der tester din virksomheds beredskab overfor phishing, ved at sende simulerede phishingangreb til dine medarbejdere. Mens awarenesstræning dækker teorien, så er simulerede phishingangreb der, hvor dine medarbejder skal omsætte alt de har lært til praktik. 

Under en phishingkampagne sendes der simulerede phishingmails til medarbejdere. Dette kan man gøre selv, eller man kan samarbejde med en ekstern partner. Disse e-mails inkluderer typiske elementer, som du vil kunne finde i en ægte phishingmail, såsom anmodninger om personfølsomme data, dårlig grammatik eller fødselsmæssige appeller. Phishingtest træner ikke kun dine medarbejdere til at kunne spotte og rapportere phishingangreb, men giver dig også et fuldt overblik over, hvor godt dit team ville have klaret situationen, hvis den havde været ægte. Dette kan være en bund at starte på, når der skal planlægges flere anti-phishing initiativer. 

Smart CTA_phishingcase DK

Phishingsimulationer er effektive og profitable

Phishingtests har vist sig at være effektive læringsmetoder. Når medarbejdere får muligheden for at teste deres viden i virkelighedsnære scenarier, øges læringsfastholdelsesraten dramatisk. Research fra InfoSec viser at efter gennemførelsen af en phishingsimulation, fordobles læringsfastholdelsesraten indenfor 12 måneder. Og Ponemon Instituttet skønner at traditionelle phishingtests i gennemsnit opnår en fastholdelsesrate for træning på 75%. 

Simulerede phishingangreb giver også et højt investeringsafkast (ROI). Ifølge Ponemon Instituttet havde selv det mindst effektive træningsprogram stadig en syvdobbelt ROI, og det gennemsnitlige phishingtestprogram resulterer i et 37-fold ROI. Med andre ord er phishingsimulationer pengene værd. 

Phishing-træning og awarenss-træning sammen virker bedst

Vores erfaring viser, at det er mest effektivt at lave både phishing-træning og awareness-træning. Som nævnt tidligere, så reducerer kombinationen fejl med 60%. De to træningsformer kombinerer det bedste fra to verdener i form af teoretisk baggrundsviden og emails, der skal spottes i praksis. Ved at få begge former øger man læringen og opmærksomhedens varighed, og dine medarbejdere vil være bedre forberedte på phishing-angreb.

Kombineret phishing og awareness-træning kan øge motivationen

Der er flere fordele ved at kombinere awarenes-træning og phishing-træning. For eksempel, mens nogle medarbejdere måske har svært ved at se behovet for phishingtræning til at starte med, så vil de sandsynligvis være mere motiveret, når de indser hvor svært det kan være at spotte en realistisk phishingmail.

Studerende sidder på bøger og prøver kurser gratis

Simulationer viser hvor godt træningen virker  

Phishingsimulationer fungerer også, som en evaluering på hvor succesfuld awarenesstræningen har været. Med vores Security Platform kan du følge kampagnens resulter i reel tid og hurtigt skabe et overblik over, hvor mange der har e-mailenene, klikket på linkene og indtastet data. Dertil viser phishingsimulationer dig, hvorvidt medarbejdere kender virksomhedens procedurer for rapportering af phishingangreb. Baseret på disse indsigter kan du identificere svagheder i jeres IT-sikkerhed, og derfra udtænke strategier til at videreuddanne dine medarbejdere. 

Vores kunder er enige i at phishing-træning virker 

En af vores kunder, som både benytter sig af vores awareness- og phishing-træning er DTU Biosustain. Da vi spurgte dem om, hvordan vores phishingtræning havde hjulpet deres organisation, fortalte deres Head of IT, Mads, os at træningen har gjort deres medarbejdere mere opmærksomme på phishing: 

”Før i tiden fik jeg mails fra måske en enkelt person, der sagde ’Jeg har fået den her mail, og min ven og kollega har også fået den. Er der noget om det?’ Nu er det hver eneste gang, der er noget i omløb med en mail. Endda også, hvis det er en mail, der ser reel ud, som om den kommer fra en fra DTU, så skriver folk til mig: ’Det der vedkommende skriver, det virker mærkeligt. Er det endnu en af dem der, som vi bliver advaret imod af CyberPilot’’”. 

Mads sagde også:

’Jeg plejede at skrive ’Denne e-mail cirkulerer’. Det er jeg ikke længere nødt til. Folk er opmærksomme’. 

Medarbejdere er opmærksomme og advarer hinanden 

En anden af vores kunder er virksomheden Firtal. Deres CFO Rune Udby har også set positive effekter af vores phishingtræning.  

”Det var fedt at se, hvordan vores team reagerede på initiativet. Vi har gjort det til en leg at være den første til at opdage phishingmails. Medarbejderne fortæller at de føler sig mere klædt på til at se igennem de daglige forsøg på svindel, som de udsættes for, nu hvor de ved hvad de skal se efter.” 

Dette viser at phishingtræning er effektivt, og at det både kan være givende og sjovt. 

Afsluttende ord 

I denne artikel har kigget på hvorfor phishingtræning er vigtigt, og vi er glade for at se at research og vores kunder er enige om at phishingtræning virker. 

Hvis du er interesseret i at prøve vores awarenesstræning, så tilbyder vi en gratis prøveperiode – der skal ingen kreditkort til. 

Du kan også teste vores phishingsimulationer ved at booke en gratis demo, hos en af vores eksperter. 

Hvis du vil lære mere, eller har behov for hjælp til at implementere phishingtræning i jeres virksomhed, så tøv endelig ikke med at kontakte os. Vi er mere end klar til at hjælpe.