Kan man lære av å bli lurt?

13. oktober 2018 | Ragnhild Olianna

Er det mulig å få en positiv læringsopplevelse av å bli lurt, eller av at noen prøver å lure en? Dette er et relevant spørsmål i samband med bruk av såkalt simulert phishing.

I takt med at mengden trusler via e-post øker, har også simulert phising er blitt en del av sikkerhetsopplæringen til mange bedrifter. Dette innebærer at IT-ansvarlige sender falske e-poster til sine egne kolleger, som om de var svindlere eller hackere selv. Men finnes det en bevisst pedagogisk tankegang bak slike øvelser, og hvordan lærer i så fall ansatte av at de forsøkes lurt av sin egen arbeidsgiver?

Les også: Tips til gjennomføring av simulert phishing

Folk som mottar slik e-post, og særlig for de som "går fem på", kan selvsagt kjenne den på den lite positive følelsen av å ha blitt lurt. Dette er videre en opplevelse som ulike folk takler på ulike måter. Derfor kan vi også anta at læringsutbyttet variere mellom ulike typer mennesker:

  • Noen vil kunne se humoren i å bli lurt, og sette pris på at det heldigvis gikk bra denne gangen. De forteller kanskje om det til sine kollegaer og det blir en liten "snakkis" som gjør at hendelsen kommer nærmere enkeltpersoner, og gjør at risikoen oppleves mer mer reell – såkalte "teachable moments".
  • Andre tar det å bli lurt som et nederlag, og blir kanskje flaue og skamfulle. Læringsutbyttet knyttes til en tydelig negativ opplevelse, og egentlig noe man helst vil glemme.
  • Enkelte vil kanskje ikke tenke så mye mer over saken. Ja, de ble lurt, men det ble med det. De gjennomførte ikke noen handling knyttet til det å motta den falske e-posten. Det var altså ikke noen konkret reaksjon som gjorde til at opplevelsen ble videre memorert for tilsvarende opplevelser i framtiden.
  • For alle som ikke gikk på phising-e-posten, ble øvelsen kanskje bare enda en e-post som forsvant i innboksen. De hadde ikke noe mer med den å gjøre enn å oppdage og unngå, med mindre de er blant de som rapporterer svindelforsøket til IT-ansvarlige. E-posten slettes, og drukner ellers fort i den store mengden av informasjon i hverdagen.

Urealistiske forventninger?

Det er ønskelig at folk skal kjenne seg i stand til å håndtere mistenkelig e-post på en sikker måte, enten det gjelder simulert phishing eller ekte svindel. Innenfor pedagogikken kalles dette på godt norsk for empowerment, og bunner ut i trygghet og mestring for den enkelte.Derfor må vi også være fokusert på å fremme mestringsopplevelser som gjør at folk kjenner seg i stand til å ta trygge valg, og til å være dynamiske for å tilegne seg erfaringsbasert kunnskap.

Dessverre har mange bedrifter hatt begrensede muligheter til å følge opp mistenkelig e-post på en strukturert måte, og til å støtte de ansatte sin opplevelse av mestring og læring, fremfor usikkerhet og frykt.

Les også: Er e-posten farlig? Slik finner vi svaret

Mange kjenner seg dessverre digitalt inkompetente i møte med IT-folk. Resultatet er at veien til å ta kontakt, og muligheten om å få snarlig hjelp, oppleves som lite tiltrekkende. IT-folk har dessuten mye å gjøre, på samme måte som alle andre i virksomheten. Og e-post som ble rapportert inn av ansatte blir fort glemt av begge parter, dersom hjelpen ikke er der akkurat når den trengs.

Med andre ord går de fleste virksomheter glipp av jevnlige muligheter til å gi ansatte nyttig erfaring med å håndtere mistenkelig e-post!

Mestring gjennom konkret handling

Fra vår side er MailRisk-knappen er en løsning som gir direkte empowement til brukerne. MailRisk hjelper folk i møte med både simulert phising og mistenkelig e-post ellers. Mottakeren får selv mulighet til å etterforske der og da, men gir alltid noen å spørre hvorvidt e-posten er trygg eller farlig, akkurat når en trenger det.

Slik kan lære av e-posten man er usikker på, og situasjonen vil i større grad bli memorert når man selv har vært aktiv i å trykke, lese analysen og undersøke om mistanken stemte.

Les også: Infotekst til nye MailRisk-brukere

Ved hjelp av MailRisk blir man ikke alene i møte med sin mistanke, eller usikkerhet. Ønsket om å klikke på noeligger latent hos mange, og man ønsker ikke at klikket skal være på lenken eller vedlegget i den mistenkelige eposten. Med MailRisk-knappen får folk derimot en mulighet til å klikke på noe trygt, samtidig som man både lærer og hjelper sine egne kolleger på kjøpet.

Slik forsterker læringsprosessen for også simulert phishing, ettersom man knytter en konkret handling til den mistenkelige e-posten. Fordi handlinger i situasjoner gjør at man husker bedre, vil de erfaringsbasert handlingene øke i takt med bruk av knappen. Slik blir den simulerte phishingen ikke bare enda en e-post som bare forsvinner i inboksen og glemmeboken til folk.

I stedet blir øvelsen en maksimalt utnyttet anledning til å lære folk hvordan de kan bidra i kampen mot svindel og hacking!

 


MailRisk på 90 sekunder

Klikk her for å se en kort video om MailRisk

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

Nå gir vi gratis phishing-simulering til alle nye kunder!

Kom i gang med MailRisk på bare noen minutter.

Gå til bloggen →