Nem hatékony az adathalászat elleni képzés
Egy nagy amerikai egészségügyi szolgáltatónál végzett nyolc hónapos, valós környezetben zajló vizsgálat rendkívül kiábrándító képet fest az alkalmazottak széles körű phishing-képzésével kapcsolatban. Több mint 19 500 dolgozó vett részt a felmérésben, amely során tíz különböző phishing-szimulációt kaptak — a résztvevők több csoportba lettek sorolva: az éves biztonsági oktatásra, a hibás kattintás után automatikusan hozzáférhető embedded phishing-oktatásra, valamint ezek kombinációjára fókuszáltak a kutatók.
A képzési módszerek összességében csak átlagosan 1,7 százalékponttal csökkentették a phishingre való ráharapás esélyét — gyakorlatilag elhanyagolható mértékben. Még a leggyakoribb embedded training sem hozott érdemi előrelépést. A képzés hatékonyságának gyengeségét tovább árnyalja a résztvevők viselkedése: a válaszadók több mint fele kevesebb mint tíz másodpercet töltött az oktatóanyag elolvasásával, és kevesebb mint 25 % fejezte azt be teljes terjedelemben.
Egy másik nagyobb léptékű felmérés — a NIST Phish Scale alkalmazásával 12 511 fő bevonásával készült fintech-cégnél — azt erősítette meg, hogy a phishing levelek nehézségi fokozata jóval jelentősebb hatással van az alkalmazottak valós viselkedésére, mint maga a tréning. Az oktatások erre a lure difficulty-ra alig vannak hatással — nem csökkentek szignifikánsan a sikeres kattintási arányok vagy a jelentési hajlandóság. A több helyen elvégzett valós környezetű vizsgálat egyértelműen azt mutatja, hogy az éves vagy beágyazott phishing-oktatás önmagában nem elég. A tréningek – különösen ha statikusak vagy nem interaktívak – gyakran alacsony résztvétellel párosulnak, és valóban működőképes viselkedés-változást nem eredményeznek.
A szervezeteknek el kell mozdulniuk egy olyan megközelítés felé, amely nem csupán az oktatásra támaszkodik. A technikai védekezési eszközök, geográfiai és viselkedési elemzések, valamint a biztonságkultúra hosszú távon megszilárduló támogatása szükséges ahhoz, hogy valóban csökkenthető legyen a phishing-fenntetés.
