Tietoturvakoulutus

Kalastelusimulaatiot tekevät työntekijät alttiimmiksi tietojenkalastelulle

Phishing-simulaatioharjoitusten jälkeinen pakotettu koulutus ei välttämättä tee työntekijöistä vastustuskykyisempiä sähköpostikalastelua vastaan, vaan sillä voi olla haitallisia sivuvaikutuksia.

Subscribe

Subscribe

Yksilöihin ja organisaatioihin kohdistuvien kalasteluhyökkäysten torjumiseksi on syntynyt liuta koulutuksellisia phishing-simulaatioita tarjoavia yrityksiä. Insinöörilogiikalla lähestymistapa tuntuu järkevältä. Lähetetään työntekijöille tekaistuja kalastelusähköposteja ja katsotaan, klikkaavatko työntekijät niitä. Jos työntekijä klikkaa, annetaan klikkaajalle lisäkoulutusta, jotta työntekijä ei klikkaisi enää.

Phishing-simulaatiopalvelujen tarjoajat myyvät simulaatioita tehokkaina koulutusvälineinä, mutta tiedeyhteisö ei ole asiasta samaa mieltä. Monissa simuloidun tietojenkalastelusimulaation tehokkuutta osoittavissa tutkimuksissa on pieni otoskoko ja/tai ilmeinen osallistujien monimuotoisuuden puute.

Tuoreen tutkimuksen* mukaan työntekijät, jotka saavat phishing-simulaatiokoulutusta, saattavat itse asiassa olla alttiimpia kalasteluhyökkäyksille. Hetkinen, mitä?

Kalastelusimulaatiokoulutuksen kielteinen vaikutus

Large scale study on phishing susceptibility over time indicates phishing simulations combined with contextual training actually lead to employees taking more dangerous actions in response to phishing emails.

Tässä laajamittaisessa tutkimuksessa, jonka toteutti tietojenkäsittelytieteiden laitos ETH Zürichissä Sveitsissä*, pyrittiin mittaamaan phishing-simulaatioharjoitusten tehokkuutta sekä phishing-simulaatioiden ja kontekstuaalisen koulutuksen yhdistämisen tehokkuutta. Kontekstikoulutuksella tarkoitetaan yleistä käytäntöä, jonka mukaan osallistujat, jotka klikkasivat linkkejä, ohjataan koulutussivuille välittömästi virheensä jälkeen. 

Tutkimuksessa havaittiin, että sekä klikkausten (+16 %) että vaarallisten toimien määrä oli suurempi (+27 %) osallistujilla, jotka saivat kontekstuaalista koulutusta simuloidun kalasteluviestiklikkauksen jälkeen. Miten se on mahdollista? Tutkijat yrittivät selvittää tätä kyselytutkimuksen avulla. Tutkimustulosten perusteella tutkijat epäilivät, että koulutussivuille ohjatut työntekijät saattoivat kokea vääränlaista turvallisuuden tunnetta. He saattoivat luottaa enemmän siihen, että heidän työnantajansa pystyy suojelemaan heitä, joten heidän ei tarvitse itse varoa. Työntekijät saattoivat myös kokea, että saapuvat kalasteluyritykset olivat todennäköisesti vain testejä, joten klikkaaminen ei ole vaarallista.
On myös syytä huomioida, että tutkimus tehtiin organisaatiossa, joka työllistää ”ihmisiä, joilla on erilaisia tehtäviä: kenttätyöntekijöitä, konttorityöntekijöitä, jotka työskentelevät myymälöissä, joissa on kontakti yleisöön, ja toimistotyöntekijöitä, joilla on erilaisia pätevyyksiä tietotekniikasta markkinointiin ja kirjanpitoon”.

Tulokset olisivat voineet olla erilaiset esimerkiksi IT- tai teknologiayrityksessä, jossa työskentelee pääasiassa teknisesti korkeasti koulutettuja työntekijöitä. On myös mahdollista, että simulaatiossa mokaamisen jälkeen annettu koulutus ei itsessään ollut hyvin laadittua. Tarvitsemme lisää tutkimustietoa ymmärtääksemme, miksi kontekstisidonnaisesta koulutuksesta oli enemmän haittaa kuin hyötyä ja mitä voimme tehdä koulutuksen tehostamiseksi.

Phishing-simulaatiokoulutuksen epäsuorat kielteiset vaikutukset

Koska phishing-simulaatiot voivat ainakin vaikuttaa tehokkailta, niiden epäsuorista kielteisistä vaikutuksista ei juuri puhuta. Useat tutkimukset viittaavat kuitenkin siihen, että simuloidut phishing-kampanjat syövät sekä työntekijöiden luottamusta omiin kykyihinsä oppijoina (self-efficacy) että heidän luottamustaan organisaatioon. Kumpikin helposti ymmärrettäviä seuraamuksia siitä, että oma organisaatiosi huijaa sinua ja lankeat siihen. Heikentynyt luotto omaan osaamiseen ja organisaatioon oletettavasti vaikuttavat kielteisesti organisaation kykyyn toimia ja innovoida.

Mitä vaihtoehtoja on?

Kalasteluhyökkäykset ovat edelleen suuri ongelma, jota tekniset kontrollit eivät vieläkään pysty täysin hallitsemaan.

Työntekijöiden valppautta tarvitaan. Mainitussa tutkimuksessa ehdotetaan, että työntekijät ilmoittaisivat enemmän kalasteluyrityksistä, mikäli avoimuutta lisättäisiin ja ilmoittaminen olisi palkitsevampaa työntekijöille. Tämä on edullinen tapa parantaa organisaation vastustuskykyä phishing-hyökkäyksiä vastaan. Tietojenkalasteluhavainnoista raportoimisen palkitsemisella on myönteisiä vaikutuksia:

  • Työntekijöiden luottamukseen organisaatiota kohtaan. Kun työntekijä lisäksi saa palautetta tietoturvaorganisaatiolta, mihin toimiin raportti johti työntekijän ilmoitettua siitä, se kannustaa edelleen raportointiin ja vahvistaa luottamusta organisaation toimintatapoihin.

  • Työntekijän luottoon omiin kykyihinsä oppijana (self-efficacy). Palkitseminen opettaa, että työnantajasi myös arvostaa havaintojasi.

On myös mahdollista tarjota käytännönläheistä phishing-koulutusta, joka ei vahingoita työntekijöiden itseluottamusta tai luottamusta organisaatioon. Avainasemassa on tässäkin avoimuus. Tietokalastussimulaatioita ei pitäisi koskaan toteuttaa ilman ennakkovaroitusta ja ainakin valinnaista ennakkokoulutusta. Kannattaa myös huolehtia siitä, että koulutusmateriaalit ja -viestit ovat osallistavia.

Phishing-simulaatiokoulutuksesta on tullut tietoturvakoulutuksen status quo. Jos tietojenkalastelukoulutus on tehotonta tai siitä on enemmän haittaa kuin hyötyä, mitä tarvitaan, jotta me alana heräämme ja löydämme vaihtoehtoisia koulutusvaihtoehtoja? Me tietysti CyberCoachilla edustamme yhtä tällaista vaihtoehtoa: psykologisesti turvallista kalasteluvalmennusta.

*D. Lain, K. Kostiainen and S. Čapkun, "Phishing in Organizations: Findings from a Large-Scale and Long-Term Study," 2022 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, 2022, pp. 842-859, doi: 10.1109/SP46214.2022.9833766.

Similar posts

Pysy kartalla uusimmista tietoturvatietoisuutta koskevista oivalluksista


Pysy ajan tasalla: Saat uusimmat näkemykset ja päivitykset tietoturvatrendeistä, uhkista ja parhaista käytännöistä suoraan sähköpostiisi.

Erikoistarjoukset: Pääsy CyberCoach-alennuksiin ja ennakkotarjouksiin.