#004 Simulert phishing

Fordelen er at alt skjer i trygge omgivelser, og ingen blir faktisk hacket på ekte.

Denne typen opplæring kan gjerne oppfattes som mye mer engasjerende enn andre typer opplæring. Samtidig kan dette bli en snakkis på arbeidsplassen, og folk som ellers ikke ville brydd seg så mye kan la seg engasjere av hvem som ble lurt og ikke.

Måling av effekt

Det er flere måter vi kan måle resultater her:

Ett av de er å se på om vi klarte å lure flest mulig. Men det er kanskje ikke her vi har lyst til å begynne, for hvis vi bruker alle triksene i boka i første omgang, så kan folk oppleve at det blir litt "feige lag". Det blir liksom de på sikkerhetsavdelingen som er så proffe, og vi "normale" fikk ikke så mye forvarsel. Så det er lurt å gjøre gode forberedelser.

En annet ting vi kan måle, er jo hvor mange som klikker, generelt og over tid på e-posten. Dette har en liten utfordring, og det er nemlig at det varierer mye med hvor godt utformet e-posten er, for hvor mange som klikker på lenken eller vedlegget. Dermed så blir tallet egentlig en måling på at NOEN vil la seg lure, og i tillegg et slags måltall på hvor godt utformet e-posten var.

• Les også: Tips til gjennomføring av simulert phishing

En tredje ting vi kan måle, er hvor mange som rapporterer e-posten som mistenkelig. Og det er gjerne her vi finner grunnlag for å måle sikkerhetskulturen i virksomheten. Uavhengig av hvor godt utformet e-posten var, så har vi bruk for folk som rapporterer den. Folk vil i stadig større grad bli bevisstgjort på mulighet og fremgangsmåte for å rapporte e-posten. Og dermed gjerne også viljen til å gjøre dette i løpet av deres ellers travle arbeidshverdag.

Og dette siste tallet kan vi godt bruke også som et positivt forankringsgrunnlag for å bygge sikkerhetskulturen videre. Dette handler ikke om noe negativt, om hvor mange som lot seg lure. Men det handler om at vi bygger opp den rapporteringsgraden og gode målinger på det.

Verd å prøve ut

Etter øvelser med simulert phishing kommer det jevnlig tilbakemeldinger fra folk som opplever å bli lurt – eller nesten. Eller ikke i det hele tatt. Ikke minst får vi høre fra brukere som setter pris på hvordan MailRisk gjør det enkelt å sjekke og avsløre den mistenkelige e-posten.

• Se også: Erfaringer med simulert phishing

Økt rapporteringsgrad for mistenkelig e-post er et veldig nyttig utfall . Ved å kommunisere og legge til rette for at slik rapportering kan skje, kan øvelsen bli noe mer enn bare bevisstgjøring – rett og slett en start på nye vaner som bidrar til noe positivt for alle i virksomheten.