Följ oss här

Säkerhet

Obligatoriska cybersäkerhetskurser stoppar inte nätfiske – ny studie väcker frågor

En ny omfattande studie från UC San Diego Health ifrågasätter en av de mest använda försvarsstrategierna mot cyberbrott: obligatoriska utbildningar i nätfiske.

Publicerad

2 timmar sedan

d.

crop hacker typing on laptop with data on screen

Photo by Sora Shimazaki on <a href="https://www.pexels.com/photo/crop-hacker-typing-on-laptop-with-data-on-screen-5935788/" rel="nofollow">Pexels.com</a>

Trots att företag och myndigheter lägger stora resurser på att träna anställda i att känna igen bluffmejl, visar resultaten att dessa kurser har mycket liten effekt på att förhindra attacker.

Träningen gav nästan ingen effekt

Studien, som följde nära 20 000 anställda under åtta månader 2023, testade effekten av tio simulerade nätfiskeattacker. Resultatet var tydligt: oavsett när personalen senast gått utbildningen fanns ingen märkbar skillnad i hur ofta de klickade på falska länkar eller öppnade skadliga bilagor, det skriver TechSpot

Forskarna konstaterar att anställda som genomgått utbildning bara presterade marginellt bättre än de som inte gjort det – skillnaden låg på 1,7 procent. I praktiken innebär det att utbildningen knappt påverkade beteendet.

Medarbetare klickade bort utbildningen

En möjlig förklaring är att utbildningarna ofta är för generiska, dåligt utformade eller presenteras på ett sätt som inte fångar uppmärksamheten. Data visade att i över 75 procent av fallen tillbringade anställda mindre än en minut med materialet. I upp till hälften av fallen stängdes utbildningssidan direkt.

Läs också: Nvidia passerade 4 000 miljarder dollar

– Många klickar igång utbildningen men lämnar den direkt, kanske för att de samtidigt kollar mejl eller surfar på nätet, säger Grant Ho, biträdande professor vid University of Chicago och en av forskarna bakom studien, till Wall Street Journal.

Interaktiva övningar gav viss förbättring

För att undersöka om olika metoder kunde göra skillnad delades personalen in i grupper. Vissa fick generella tips, andra fick interaktiva frågeövningar eller detaljerade genomgångar av den attack de utsatts för. Resultaten visade att interaktiva övningar kunde minska risken att gå på en bluff med 19 procent – men bara för dem som faktiskt genomförde hela momentet. Eftersom få gjorde det blev effekten på helheten försumbar.

Forskarna påpekar också att det är möjligt att de som fullföljer utbildningen redan är mer noggranna och därför skulle ha klarat sig bättre oavsett.

Automatiskt skydd lyfts fram som viktigare

Nätfiske är fortfarande en av de vanligaste och mest skadliga attackformerna. Ett enda klick kan öppna vägen för intrång i hela nätverk. Därför menar forskarna att företag inte kan förlita sig enbart på mänsklig medvetenhet.

Läs också: Apple vill köpa F1-rättigheterna

I stället föreslår de att obligatoriska kurser bara ska vara en del av en bredare strategi, där automatiserade skyddssystem spelar huvudrollen. Genom att blockera misstänkta mejl redan innan de når inkorgen kan organisationer minska risken betydligt mer effektivt.

– Träningen i sin nuvarande form ger inte tillräckligt skydd mot nätfiske, säger Ho.

Läs också: Samsung fortsätter med galna priser

Liknande artiklar:

Jag är skribent på Media Group Denmark och skriver för de svenska plattformarna Dagens.se och Teksajten.se. Under det senaste året på MGDK har jag fokuserat på nyheter, teknik och samhälle, med ett tydligt mål att göra komplexa ämnen begripliga för alla. Jag har varit aktiv online sedan 1995 och är fortfarande fascinerad av den ständigt föränderliga digitala världen – från ny teknik och politik till samhällsförändringar och nya sätt att berätta historier – Muck Rack

Annons