Antallet phishingangrep fortsetter å øke, og phishing er fortsatt en av de vanligste metodene for nettkriminelles datainnbrudd. Derfor blir phishingsimuleringer en stadig viktigere del av opplæringen i informasjonssikkerhet. Marius Friedrich, CISO i Lillestrøm kommune, beskrev hvordan han brukte to ulike typer phishingsimuleringer for å få en slags nullmåling og en bedre forståelse av hvor de ansatte i kommunen befinner seg kunnskapsmessig.
– Vi brukte én phishingsimulering som var relativt komplisert og én som var enklere, men vi så at mange klikket på lenkene i begge variantene, sier Marius Friedrich.
Med utgangspunkt i dette resultatet håper han å kunne fokusere mer på dem som klikker, og tilpasse fremtidige simuleringer slik at de når ut til dem som trenger det mest. Han vil også knytte phishingsimuleringer til annen opplæring i informasjonssikkerhet. Ikke minst for grupper i kommunen med kjerneoppgaver som ligger langt unna IT-sikkerhet.
Flere bruker phishingsimuleringer
Nils Ivar Skaalerud, Chief Operating Officer i Junglemap, forteller at stadig flere av Junglemaps kunder bruker phishingsimuleringer, og at mange av kundene bruker samme frekvens og oppsett som Lillestrøm kommune. I tidligere artikler har han understreket at phishingsimuleringer må føre til økt tillit, og ikke til frykt.
– Det er viktig å finne balansen mellom høy frekvens og phishing-simuleringstretthet, som mange advarer mot, sier han.
Christoffer Holmgren, IT-sikkerhetssjef i Gunnebo, skiller seg ut ved at han gjennomfører betydelig flere og mer skreddersydde simuleringer. Strategien hans tar utgangspunkt i at det ikke er noen forskjell mellom phishingsimuleringer og annen opplæring i informasjonssikkerhet.
– Vi bruker Junglemap og NanoLearning fordi vi vet at denne metoden øker bevisstheten over tid, sier Christoffer Holmgren. Vi ser på phishingsimuleringer som en fullt integrert del av opplæringen vår i informasjonssikkerhet. Det handler om å ha et sammenhengende opplegg og kommunikasjon ut i hele virksomheten.
Når det gjelder simuleringstretthet eller sløvhet, erkjenner Holmgren problemet, men mener at fordelene med en høy frekvens veier opp for det.
– Det vi ser i statistikken vår, er at rapporteringsfrekvensen synker, men klikkfrekvensen påvirkes ikke negativt – og det er fortsatt vår viktigste KPI.
En del av sikkerhetskulturen
I Junglemaps ferske rapport om phishing-simulering går det frem at man må være klar over hvor viktig bevissthet er, og at man må tenke på mer enn bare klikkfrekvens. Hva som skjer etter en phishingsimulering, er avgjørende for den langsiktige effekten.
Både Marius Friedrich og Christoffer Holmgren er enige om at kommunikasjon og oppfølging fra ledelsen er avgjørende. I en kommune er utfordringen at de ulike delene av virksomheten er så forskjellige fra hverandre. I et globalt selskap som Gunnebo handler det i stedet om at man må finne den rette avsenderen i kommunikasjonen ut i virksomheten.
– Det jeg sier, kan ha en viss effekt på hovedkontoret i Göteborg, men for at budskapet skal nå frem til en av fabrikkene våre et annet sted i verden, trengs det en annen avsender, sier Christoffer Holmgren.
Bruk av andres varemerker
Junglemap tilbyr ikke bruk av andres varemerker i phishingsimuleringer, og i tidligere artikler har Nils Ivar Skaalerud pekt på at dette faktisk er et brudd på varemerkeloven i både Norge og Sverige.
– Det bidrar til å svekke troverdigheten til andre merker, og det ønsker vi ikke å bidra til, sier Nils Ivar Skaalerud.
Christoffer Holmgren har forståelse for de juridiske innvendingene, men påpeker at for eksempel Microsoft-logoen brukes i opptil fire av ti reelle phishingangrep, og at skaden så å si allerede er skjedd.
– Vi ønsker at phishingsimuleringer skal være så realistiske som mulig, og jeg tror bruken av kjente varemerker er en måte å oppnå det på.
Nå finnes det mange andre måter å skape troverdighet på. For eksempel kan man bruke sitt eget varemerke på kreative måter og lage egne falske domener til bruk i simuleringer. Junglemaps nye phishingbibliotek inneholder over 170 forskjellige maler som kan tilpasses og skreddersys til en rekke ulike roller og bransjer.
– I veikartet vårt ser vi også på hvordan både vi selv og kundene våre kan bruke AI-genererte phishing-e-poster, sier Nils Ivar Skaalerud.
Panelet er enige om at angrepene sannsynligvis vil fortsette å øke, og at dette betyr at phishingsimuleringer må bli enda mer sofistikerte i fremtiden.
– Jeg vil oppfordre alle til å slutte å bruke den enkleste varianten av simuleringer, sier Holmgren. Den gir rett og slett ikke god beskyttelse når de virkelige angrepene er så sofistikerte som de er.
