Antalet phishingattacker fortsätter att öka och phishing är fortfarande en av de vanligaste metoderna för cyberkriminellas dataintrång. Det gör att phishingsimuleringar blir en allt viktigare del i utbildningen i informationssäkerhet. Marius Friedrich, CISO i Lillestrøm kommune, beskrev hur han använt två olika typer av phishingsimuleringar för att få en typ av noll-mätning och bättre förståelse för var kommunens medarbetare befinner sig rent kunskapsmässigt.
- Vi använde en mer komplicerad och en enklare variant av phishing-simulering, men märkte att bägge två ledde till att väldigt många klickade på länkar, säger Marius Friedrich.
Utifrån det resultatet önskar han att kunna fokusera mer på dem som klickar och anpassa framtida simuleringar så att de når dem som bäst behöver det. En annan viktig komponent är att koppla ihop phishingsimuleringen med den övriga utbildningen i informationssäkerhet. Inte minst för grupper inom kommunen vars kärnuppgifter är långt ifrån IT-säkerhet.
Fler använder phishingsimuleringar
Nils Ivar Skaalerud, CTO på Junglemap, vittnar om att allt fler av Junglemaps kunder använder phishingsimuleringar och att många har den typ av frekvens och upplägg som Lillestrøm kommune och har i tidigare artiklar pekat på vikten att phishing-simuleringar leder till ökad tillit och inte till rädsla.
- Det gäller att hitta den där balansen mellan hög frekvens och phishing-simulation fatigue, som många varnar för, konstaterar han.
Christoffer Holmgren, IT-säkerhetschef Gunnebo, sticker ut från mängden och genomför väsentligt fler och mer målgruppsanpassade simuleringar. En strategi som i grunden bygger på att det inte är någon skillnad på phishing-simuleringar och annan utbildning i informationssäkerhet.
- Vi använder oss av Junglemap och NanoLearning för att vi grunden vet att det är en metod som fungerar för att öka medvetenheten över tid, konstaterar Christoffer Holmgren. Vi ser på phishing-simuleringar som en helt integrerad del av vår utbildning i informationssäkerhet. Det handlar om att ha en sammanhållen paketering och kommunikation ut i hela organisationen.
När det gäller simulation-fatigue eller avtrubbning, så ser Christoffer Holmgren det problemet, men tycker att fördelarna med en hög frekvens överväger.
- Det vi ser i vår statistik är att rapporteringsfrekvensen sjunker, men att klickfrekvensen inte påverkas negativt – och det är ändå vår viktigaste KPI.
En del av säkerhetskulturen
I Junglemaps färska rapport om Phishing-simulering refereras det till att öka medvetenheten om betydelsen av medvetenhet och att tänka bortom den rena klickfrekvensen. Vad som händer efter en phishing-simulering blir avgörande för den långsiktiga effekten.
Här är både Marius Friedrich och Christoffer Holmgren överens om att kommunikationen och uppföljningen i chefsleden är avgörande. I en kommun handlar utmaningen om att organisationens olika delar skiljer sig så markant från varandra. I ett globalt företag som Gunnebo handlar det istället om att hitta rätt avsändare i kommunikationen ut i organisationen.
- Vad jag säger kanske har viss effekt på huvudkontoret i Göteborg, men för att budskapet skall gå fram i någon av våra fabriker någon annanstans i världen, krävs andra avsändare konstaterar Christoffer Holmgren.
Använda andras varumärken
Junglemap är väldigt tydliga med att inte erbjuda möjligheten att använda andras varumärken i phishing-simuleringar. I tidigare artiklar har Nils Ivar Skaalerud pekat på att det i själva verket är ett brott mot varumärkeslagen både i Norge och Sverige.
- Det bidrar till att sänka trovärdigheten för andra varumärken, och det vill vi inte medverka till, säger Nils Ivar Skaalerud.
Christoffer Holmgren förstår den juridiska invändningen, men konstaterar att exempelvis Microsofts logotyp används i upp emot 4 av 10 verkliga phishing attacker och att skadan så att säga redan är skedd.
- Vi vill ju att phishing-simuleringar skall vara så verklighetstrogna som möjligt och jag tycker att användningen av kända varumärken är ett sätt att uppnå det.
Nu finns det många andra sätt att skapa trovärdighet, både genom att använda sitt eget varumärke på ett kreativt sätt, som att skapa egna falska domäner och använda dessa i simuleringar. I Junglemaps nya phishing-bibliotek finns över 170 olika mallar som går att anpassa och rikta gentemot en rad olika roller och branscher.
- I vår roadmap tittar vi också på hur både vi själva och våra kunder kan använda sig av AI-genererade phishing-mail, berättar Nils Ivar Skaalerud.
När panelen blickar framåt är alla överens om att attackerna sannolikt kommer att fortsätta öka och att det gör att phsishing-simuleringarna framöver också kommer att behöva vara än mer sofistikerade.
- Jag skulle vilja uppmana alla att helt sluta med den enklaste varianten av simuleringar, säger Christoffer Holmgren. De ger helt enkelt inget bra skydd när de verkliga attackerna är så sofistikerade som de är.