#004 Simulert phishing

23. april 2019 | Erlend Andreas Gjære

Er det innafor å lure sine egne kolleger? Med simulert phishing er det nettopp dette vi gjør, når vi sender ut falsk e-post til folk for å se om de lar seg lure, gjerne for å øke bevisstheten.

Fordelen er at alt skjer i trygge omgivelser, og ingen blir faktisk hacket på ekte.

Denne typen opplæring kan gjerne oppfattes som mye mer engasjerende enn andre typer opplæring. Samtidig kan dette bli en snakkis på arbeidsplassen, og folk som ellers ikke ville brydd seg så mye kan la seg engasjere av hvem som ble lurt og ikke.

Måling av effekt

Det er flere måter vi kan måle resultater her:

Ett av de er å se på om vi klarte å lure flest mulig. Men det er kanskje ikke her vi har lyst til å begynne, for hvis vi bruker alle triksene i boka i første omgang, så kan folk oppleve at det blir litt "feige lag". Det blir liksom de på sikkerhetsavdelingen som er så proffe, og vi "normale" fikk ikke så mye forvarsel. Så det er lurt å gjøre gode forberedelser.

En annet ting vi kan måle, er jo hvor mange som klikker, generelt og over tid på e-posten. Dette har en liten utfordring, og det er nemlig at det varierer mye med hvor godt utformet e-posten er, for hvor mange som klikker på lenken eller vedlegget. Dermed så blir tallet egentlig en måling på at NOEN vil la seg lure, og i tillegg et slags måltall på hvor godt utformet e-posten var.

En tredje ting vi kan måle, er hvor mange som rapporterer e-posten som mistenkelig. Og det er gjerne her vi finner grunnlag for å måle sikkerhetskulturen i virksomheten. Uavhengig av hvor godt utformet e-posten var, så har vi bruk for folk som rapporterer den. Folk vil i stadig større grad bli bevisstgjort på mulighet og fremgangsmåte for å rapporte e-posten. Og dermed gjerne også viljen til å gjøre dette i løpet av deres ellers travle arbeidshverdag.

Og dette siste tallet kan vi godt bruke også som et positivt forankringsgrunnlag for å bygge sikkerhetskulturen videre. Dette handler ikke om noe negativt, om hvor mange som lot seg lure. Men det handler om at vi bygger opp den rapporteringsgraden og gode målinger på det.

Verd å prøve ut

Etter øvelser med simulert phishing kommer det jevnlig tilbakemeldinger fra folk som opplever å bli lurt – eller nesten. Eller ikke i det hele tatt. Ikke minst får vi høre fra brukere som setter pris på hvordan MailRisk gjør det enkelt å sjekke og avsløre den mistenkelige e-posten.

Økt rapporteringsgrad for mistenkelig e-post er et veldig nyttig utfall . Ved å kommunisere og legge til rette for at slik rapportering kan skje, kan øvelsen bli noe mer enn bare bevisstgjøring – rett og slett en start på nye vaner som bidrar til noe positivt for alle i virksomheten.

 


‒ Sparer tid på sikkerhetshjelp

Se hvordan MailRisk sørger for effektiv bevisstgjøring og oppfølging av mistenkelig e-post blant ansatte i hele virksomheten.

Les om MailRisk hos Tussa →

MailRisk på 90 sekunder

Klikk her for å se en kort video om MailRisk

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

MailRisk integrerer simulert phishing med effektiv rapportering.

Prøv selv med en helt uforpliktende prøveperiode.

Gå til bloggen →