Kan Utbildning Förhindra Phishing? Ja! Här Är Beviset

Gry Myrtveit Gundersen
By: Gry Myrtveit Gundersen Cybersäkerhet | 10 mars

I den här forskningsbaserade artikeln undersöker vi hur utbildning kan förhindra nätfiske. Visste du att 80 % av organisationer rapporterar att utbildning minskar risken för att anställda faller för nätfiske eller att simulerade nätfiskekampanjer resulterar i en 37-faldig avkastning på investeringen i genomsnitt? Vår undersökning visar att då utbildning kombineras med simulerat nätfiske uppnås ett ännu effektivare resultat, hela 60% färre misstag efter några få sessioner. Om du är intresserad av att veta mer om effekterna av nätfiskeutbildning och hur de uppnås, fortsätt läsa! 

Innehåll

Phishing är ett allvarligt hot   

Innan vi går in på effekterna av nätfisketräning, låt oss först titta på varför utbildning i nätfiske behövs. Nätfiske är ett av de största hoten som organisationer står inför idag och drabbar såväl stora som små organisationer världen över. Detta inkluderar med största sannolikhet även din organisation! Det finns flera anledningar till varför nätfiske är ett så farligt hot. Vi kommer att gå igenom några av dem i följande avsnitt.  

Phishing är vanligare än man tror   

År 2021 var nätfiske det överlägset vanligaste cyberbrottet baserat på antalet offer. Proofpoints rapport "State of the Phish" från 2022 visar att 83 % av organisationer drabbades av minst en lyckad nätfiskeattack under 2021. Tyvärr kommer nätfiske troligtvis att bli ännu vanligare och svårare att upptäcka under de kommande åren. Faktum är att forskning från McAfee visar att 81 % av organisationer runt om i världen har upplevt en ökning av nätfiskemejl sedan 2020. Detta beror delvis på pandemin och dess bieffekter, såsom mer distansarbete och ökad digitalisering, samt på enklare tillgång till “nätfiske-kit” som gör det lättare än någonsin för cyberkriminella att utföra nätfiskeattacker. 

Phishingattacker är dyra för företag   

Nätfiskeattacker är inte bara vanliga, de är också mycket dyra. I genomsnitt kostader dataintrång orsakat av nätfiske en organisation 4,91 miljoner dollar år 2022. Den största delen av den kostnaden gåt åt till upptäckt och upptrappning av intrånget (29 %) och förlorade affärskostnader (38 %). Med tanke på ökningen av antalet attacker och de höga kostnaderna för ett angrepp beräknas nätfiske stå för förluster på 17 700 dollar per minut.  

Phishing kostar små företag 1,6 miljoner dollar i genomsnitt 

Många tror att nätfiske endast utgör ett stort hot för större företag, men faktum är att mindre företag mottar fler falska e-postmeddelanden. Enligt forksning från Symantec är 1 av 326 mejl skadlig. Nätfiske kan få förödande ekonomiska konsekvenser för mindre företag. I genomsnitt kostar det små och medelstora företag (SMF) 1,6 miljoner dollar att återhämta sig från en nätfiskeattack, och hela 60 % av SMF går i konkurs inom sex månader efter ett dataintrång eller en cyberattack.   

Phishing är svårt att upptäcka  

Du kanske tror att det är lätt att upptäcka nätfiskemejl och att nätfiske därför inte utgör något egentligt hot för dig eller din organisation. Vem har trots allt vid det här laget inte förstått att mejl som erbjuder dig en stor summa pengar inte går att lita på? Verkligheten är dock att cyberkriminella ständigt utvecklar sina metoder. Ett exempel på en ny metod som blivit populär är spear phishing som kan vara mer än dubbelt så effektivt som “vanligt” nätfiske. Cyberkriminella använder sig även allt mer av teknologi för att skapa trovärdiga attacker, såsom program för stavningskontroll. Detta gör nätfiskeattacker mer sofistikerade och svårare att upptäcka än någonsin tidigare.  

1 av 5 anställda klickar på länkar i Phishingmejl   

Med tanke på den sofistikerade utvecklingen är det inte förvånande att många människor fortfarande faller för nätfiske. Under Terranovas turnering "Gone Phishing" 2020 skickades över en miljon falska phishing mail ut till organisationer i 98 länder för att testa deras motståndskraft mot nätfiske. Resultaten visade att hela 1 av 5 anställda klickade på länken i nätfiskemejlet och att 13,4 % av de anställda lämnade in sina inloggningsuppgifter. Detta är oroväckande höga siffror, med tanke på att det bara krävs att en enda anställd delar med sig av sina inloggningsuppgifter för att hela din organisation ska vara i fara. 

Som tur kan utbildning förhindra phishing

Hittills har vi kommit fram till att nätfiskeattacker är vanliga, dyra att återhämta sig i från och svåra att upptäcka. Med andra ord är nätfiske farligt, och du kanske känner att det är nästan omöjligt att skydda din organisation. Men lyckligtvis finns det hopp. Vi har nämligen undersökt effekterna av utbildning i nätfiske, och siffrorna är kristallklara: utbildning förhindrar nätfiske! Det visar både intern och extern forskning samt feedback från våra kunder.   

Utbildning i phishing minskar antalet misstag med 60 %  

Vi genomförde nyligen en undersökning där vi jämförde våra användares förmåga att motstå phishingattacker före och efter att ha deltagit i vår utbildning. Undersökningen visade att efter att kontinuerligt mottagit simulerade nätfiskemejl och deltagit i utbildning i medvetenhet gjorde våra användare 80% färre misstag under simulerade tester. Vid det första testet lämnade i genomsnitt 15 % av mottagarna ut sina personuppgifter via nätfiskemejl till oss. Vid det tredje testet sjönk den siffran till endast 6 % av de anställda.   

Utbildning minskar nätfiske Vår undersökning visar hur effektivt det är att kombinera nätfisketräning och simulerade nätfiskemejl, då färre misstag görs efter varje ny utbildningsomgång. För att förstå hur denna effekt uppnås kommer vi att titta närmare på dessa utbildningsformer separat. Vi kommer även gå igenom hur de skiljer sig från varandra, deras bevisade effekter och varför vi tror de är så framgångsrika när de kombineras! 

Utbildning i phishing för anställda   

Kurser inom nätfiske går att genomföra som en del av utbildning i it-medvetenhet för anställda. Genom att utbilda anställda inom GDPR och andra IT-säkerhetsrelaterade ämnen såsom nätfiske kan företag öka de anställdas kännedom om cybersäkerhet och på så sätt minska risken för säkerhetsöverträdelser och dataintrång. Målet med utbildning är således att göra de anställda mer motståndskraftiga mot nätfiskeattacker genom att öka deras kunskap om nätfiske och deras ansvar i att hålla organisationen skyddad. Utbildning i nätfiske kan omfatta ämnen som hur man upptäcker nätfiske, olika typer av nätfiskeattacker och vad man bör göra när man får ett nätfiskemejl.  

Metoder för att öka medvetenheten om phishing  

Målet med utbildning i it-medvetenhet är att göra anställda medvetna på långsikt, och därför räcker det inte med en engångs-kurs. Istället bör utbildningen delas upp i kortare avsnitt som sprids ut över en längre period. Detta koncept leder till att de anställda inte glömmer informationen efter en kort tid utan håller sig medvetna längre. Medvetenhetsutbildning kan ske genom onlinekurser, undervisning på plats eller en kombination av båda två. För att öka inlärningen kan olika metoder användas, till exempel kan korta videor eller frågesporter göra utbildningen mer interaktiv.  

Ett sätt att öka de anställdas uppmärksamhet och påminna dem om att nätfiske är ett verkligt hot är att hänga upp roliga affischer på kontoret. Du kan använda våra affisher designade för att informera och påminna om it-säkerhet.  

Kunskap förhindrar phishingattacker

En välfungerande medvetenhetsutbildning i nätfiske kan vara mycket effektiv. Enligt Proofpoints rapport uppgav 80 % av alla organisationer att utbildning i medvetenhet minskade de anställdas känslighet för nätfiskeattacker. Om du vill ha hjälp med att skapa ett effektivt utbildningsprogram för att förhindra nätfiske kan du läsa vår guide om hur du lyckas med medvetenhetsutbildning.  

Även Osterman Research rapporterar att utbildning i medvetenhet dramatiskt ökar användarnas förmåga att känna igen it-hot. Deras forskning visar att innan anställda får utbildning i medvetenhet är det bara 23 % av it-säkerhetsexperterna som rapporterar att deras medarbetare är "kapabla" eller "mycket kapabla" till att känna igen cyberattacker. Efter utbildning ökar den siffran till 68 %. Vår undersökning visar att de anställdas förmåga att känna igen cyberattacker ökar ännu mer när utbildningen kombineras med praktisk träning i form av simulerat nätfiske.  

Simulerat phishing 

Simulerat nätfiske är en övning som testar organisationens beredskap mot nätfiske genom att skicka ut simulerade nätfiskeattacker till de anställda. Medan medvetenhetsutbildningen täcker teorin är det genom simuleringar som de anställda kan använda sina kunskaper i praktiken.   

Simulerat nätfiske går ut på att skicka ut falska nätfiskemejl till de anställda. Du kan göra detta själv eller i samarbete med en extern partner. De simulerade mejlen innehåller samma typ av element som du skulle hitta i ett äkta nätfiskemeddelande, som till exempel begäran om känslig information, dålig grammatik eller känslomässiga vädjanden. Simulerade nätfiskemeddelanden tränar inte bara dina anställda i att upptäcka och rapportera nätfiske men ger dig också en överblick över hur de skulle agera vid en riktig attack. Detta kan vara en användbar utgångspunkt när du planerar andra säkerhetsåtgärder.  

Smart CTA_phishingcase DE

Simulerade phishingmeddelanden är effektiva och lönsamma   

Simulerat nätfiske har visat sig vara en effektiv inlärningsmetod. När anställda får testa sina kunskaper i ett verkligt scenario ökar inlärningsgraden dramatiskt. Forskning från InfoSec visar att efter att simulerat nätfiske har införts fördubblas inlärningen inom 12 månader. Ponemon Institute uppskattar att nätfiske-tester i genomsnitt slutar med att anställda behåller 75% av lärdomarna från utbildningen.  

Simulerade nätfiskemeddelanden ger även en hög avkastning på investeringen (ROI). Enligt Ponemon hade det minst effektiva utbildningsprogrammet fortfarande en sjufaldig avkastning på investeringen, och den genomsnittliga simulerade nätfiskekampanjen ger en 37 faldig avkastning på investeringen. Med andra ord är simulerat nätfiske värt kostnaden. 

Kombinera utbildning med simulerat phishing

Enligt vår erfarenhet är det mest effektiva försvaret mot nätfiske en kombination av nätfiskeutbildning och simulerat nätfiske. Som vi såg tidigare minskade denna kombination användarnas misstag med 60 % efter kontinuerlig utbildning. När du kombinerar dessa utbildningsmetoder får du det bästa av två världar genom att inkludera både teori och praktik. Detta förbättrar inlärningen och gör dina anställda mer förberedda på nätfiskeattacker, vilket i sin tur avsevärt stärker säkerheten i din organisation.   

Kombinerad phishingutbildning kan öka motivationen   

Det finns flera andra fördelar med att komplettera utbildning med simuleringar. Om anställda inte ser nyttan av träningen till en början, kommer de förmodligen att bli mer motiverade då de inser hur svårt det kan vara att upptäcka nätfiskemejl i praktiken.   

Simuleringar visar hur väl din utbildning fungerar

Simulerat nätfiske kan även hjälpa dig utvärdera hur väl utbildningen fungerar för de anställda. Med vår säkerhetsplattform kan du följa de simulerade attackerna i realtid och snabbt få en överblick över hur många som öppnar mejlen, klickar på länkarna och lämnar över uppgifter. Dessutom visar simulerade nätfiskeattacker om de anställda känner till organisationens tillvägagångssätt för att rapportera angrepp. Utifrån dessa insikter kan du sedan identifiera svaga punkter i din it-säkerhet och utforma strategier för att vidareutbilda dina anställda.   

Våra kunder är överens om att phishingutbildning fungerar  

En av våra kunder som använder båda våra tjänster för medvetenhetsträning och simulerat nätfiske är DTU Biostustain. När vi frågade hur utbildningen har hjälpt dem berättade deras IT-chef Mads att utbildningen har gjort deras anställda mer medvetna:  

"Jag brukade få ett mejl från kanske en person som sa 'Jag har fått det här mejlet, och mina kollegor har också fått det'. Är det äkta eller är det ett nätfiske? Nu får jag flera mejl varje gång något händer eller ett mejl finns ute. Även om det är ett mejl som ser äkta ut som om det kommer från en person från DTU skriver folk till mig: "Det som den här personen skriver är lite konstigt. Är det ett av de där mejlen som CyberPilot varnar oss för?"”  

"Jag brukade skriva 'Det här mejlet cirkulerar'. Det behöver jag inte göra nu. Folk är medvetna." Säger Mads 

Anställda är mer medvetna och varnar varandra  

 En annan av våra kunder är företaget Firtal. Deras ekonomichef Rune Udby har också sett positiva effekter av vår utbildning.   

"Det var fantastiskt att se hur vårt team reagerade på initiativet. Vi har gjort en lek av att upptäcka phishingmejl före de andra. De anställda säger att de känner sig mycket bättre rustade för att genomskåda de dagliga bedrägeriförsök som de utsätts för, nu när de vet vad de ska leta efter." 

Detta visar att nätfiskeutbildning är effektivt och kan både öka säkerheten och vara rolig.   

Phishingutbildning och simulerat phishing fungerar 

I den här artikeln har vi sett varför utbildning om nätfiske är viktigt, och vi är glada att se att forskning och våra kunder är överens om att nätfiskeutbildning fungerar.  

Om du är intresserad av att prova vår utbildning erbjuder vi en gratis provperiod av våra kurser. Du kan även boka in en gratis demo med en av våra experter inom nätfiske.  

Om du vill veta mer eller behöver hjälp med att utföra nätfisketräning i din organisation, tveka inte med att kontakta oss. Vi hjälper dig mer än gärna.