Yksilöihin ja organisaatioihin kohdistuvien kalasteluhyökkäysten torjumiseksi on syntynyt liuta koulutuksellisia phishing-simulaatioita tarjoavia yrityksiä. Insinöörilogiikalla lähestymistapa tuntuu järkevältä. Lähetetään työntekijöille tekaistuja kalastelusähköposteja ja katsotaan, klikkaavatko työntekijät niitä. Jos työntekijä klikkaa, annetaan klikkaajalle lisäkoulutusta, jotta työntekijä ei klikkaisi enää.
Phishing-simulaatiopalvelujen tarjoajat myyvät simulaatioita tehokkaina koulutusvälineinä, mutta tiedeyhteisö ei ole asiasta samaa mieltä. Monissa simuloidun tietojenkalastelusimulaation tehokkuutta osoittavissa tutkimuksissa on pieni otoskoko ja/tai ilmeinen osallistujien monimuotoisuuden puute.
Tuoreen tutkimuksen* mukaan työntekijät, jotka saavat phishing-simulaatiokoulutusta, saattavat itse asiassa olla alttiimpia kalasteluhyökkäyksille. Hetkinen, mitä?
Kalastelusimulaatiokoulutuksen kielteinen vaikutus
Tässä laajamittaisessa tutkimuksessa, jonka toteutti tietojenkäsittelytieteiden laitos ETH Zürichissä Sveitsissä*, pyrittiin mittaamaan phishing-simulaatioharjoitusten tehokkuutta sekä phishing-simulaatioiden ja kontekstuaalisen koulutuksen yhdistämisen tehokkuutta. Kontekstikoulutuksella tarkoitetaan yleistä käytäntöä, jonka mukaan osallistujat, jotka klikkasivat linkkejä, ohjataan koulutussivuille välittömästi virheensä jälkeen.
Tutkimuksessa havaittiin, että sekä klikkausten (+16 %) että vaarallisten toimien määrä oli suurempi (+27 %) osallistujilla, jotka saivat kontekstuaalista koulutusta simuloidun kalasteluviestiklikkauksen jälkeen. Miten se on mahdollista? Tutkijat yrittivät selvittää tätä kyselytutkimuksen avulla. Tutkimustulosten perusteella tutkijat epäilivät, että koulutussivuille ohjatut työntekijät saattoivat kokea vääränlaista turvallisuuden tunnetta. He saattoivat luottaa enemmän siihen, että heidän työnantajansa pystyy suojelemaan heitä, joten heidän ei tarvitse itse varoa. Työntekijät saattoivat myös kokea, että saapuvat kalasteluyritykset olivat todennäköisesti vain testejä, joten klikkaaminen ei ole vaarallista.
On myös syytä huomioida, että tutkimus tehtiin organisaatiossa, joka työllistää ”ihmisiä, joilla on erilaisia tehtäviä: kenttätyöntekijöitä, konttorityöntekijöitä, jotka työskentelevät myymälöissä, joissa on kontakti yleisöön, ja toimistotyöntekijöitä, joilla on erilaisia pätevyyksiä tietotekniikasta markkinointiin ja kirjanpitoon”.
Tulokset olisivat voineet olla erilaiset esimerkiksi IT- tai teknologiayrityksessä, jossa työskentelee pääasiassa teknisesti korkeasti koulutettuja työntekijöitä. On myös mahdollista, että simulaatiossa mokaamisen jälkeen annettu koulutus ei itsessään ollut hyvin laadittua. Tarvitsemme lisää tutkimustietoa ymmärtääksemme, miksi kontekstisidonnaisesta koulutuksesta oli enemmän haittaa kuin hyötyä ja mitä voimme tehdä koulutuksen tehostamiseksi.
Phishing-simulaatiokoulutuksen epäsuorat kielteiset vaikutukset
Koska phishing-simulaatiot voivat ainakin vaikuttaa tehokkailta, niiden epäsuorista kielteisistä vaikutuksista ei juuri puhuta. Useat tutkimukset viittaavat kuitenkin siihen, että simuloidut phishing-kampanjat syövät sekä työntekijöiden luottamusta omiin kykyihinsä oppijoina (self-efficacy) että heidän luottamustaan organisaatioon. Kumpikin helposti ymmärrettäviä seuraamuksia siitä, että oma organisaatiosi huijaa sinua ja lankeat siihen. Heikentynyt luotto omaan osaamiseen ja organisaatioon oletettavasti vaikuttavat kielteisesti organisaation kykyyn toimia ja innovoida.
Mitä vaihtoehtoja on?
Kalasteluhyökkäykset ovat edelleen suuri ongelma, jota tekniset kontrollit eivät vieläkään pysty täysin hallitsemaan.
Työntekijöiden valppautta tarvitaan. Mainitussa tutkimuksessa ehdotetaan, että työntekijät ilmoittaisivat enemmän kalasteluyrityksistä, mikäli avoimuutta lisättäisiin ja ilmoittaminen olisi palkitsevampaa työntekijöille. Tämä on edullinen tapa parantaa organisaation vastustuskykyä phishing-hyökkäyksiä vastaan. Tietojenkalasteluhavainnoista raportoimisen palkitsemisella on myönteisiä vaikutuksia:
On myös mahdollista tarjota käytännönläheistä phishing-koulutusta, joka ei vahingoita työntekijöiden itseluottamusta tai luottamusta organisaatioon. Avainasemassa on tässäkin avoimuus. Tietokalastussimulaatioita ei pitäisi koskaan toteuttaa ilman ennakkovaroitusta ja ainakin valinnaista ennakkokoulutusta. Kannattaa myös huolehtia siitä, että koulutusmateriaalit ja -viestit ovat osallistavia.
Phishing-simulaatiokoulutuksesta on tullut tietoturvakoulutuksen status quo. Jos tietojenkalastelukoulutus on tehotonta tai siitä on enemmän haittaa kuin hyötyä, mitä tarvitaan, jotta me alana heräämme ja löydämme vaihtoehtoisia koulutusvaihtoehtoja? Me tietysti CyberCoachilla edustamme yhtä tällaista vaihtoehtoa: psykologisesti turvallista kalasteluvalmennusta.
*D. Lain, K. Kostiainen and S. Čapkun, "Phishing in Organizations: Findings from a Large-Scale and Long-Term Study," 2022 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, 2022, pp. 842-859, doi: 10.1109/SP46214.2022.9833766.