Nå gjaldt heldigvis ikke saken med Bergen kommune et reelt angrep, men derimot en simulert phishing-kampanje. Simulert phishing innebærer at en virksomhet sender falsk e-post til sine egne ansatte, med lenker eller vedlegg som ikke er legitim. Akkurat slik som de cyberkriminelle, altså – bare i kontrollerte former.
Rapporten som ble offentliggjort i samband med forsøket, viser at 24% av mottakerne klikket på den aktuelle linken. Av disse sendte om lag fire av fem inn sitt brukernavn og passord i det falske påloggingsskjemaet som de fikk opp i nettleseren.
Statistikk kan alltid lyve
Samtidig inneholder rapporten et vedlegg med høringsuttalelse fra oppdragsgiver, som delvis problematiserer fremstillingen av resultatene fra phishing-øvelsen. De kan med god grunn innvende at et «hull» måtte lages i spamfilteret for å sikre at den falske e-posten nådde fram til alle, og at IT-avdelingen måtte avstå fra å gjøre blokkerende tiltak underveis.
Man kan dermed spørre seg om statistikk som dette gir et beskrivende bilde av sikkerhetsbevissthet blant i virksomhetens ansatte.
Noen blir alltid lurt
Felles for alle phishing-øvelser er at noen av mottakerne kommer alltid til å bli lurt. Med simulert phishing kan man dermed konkludere internt i virksomheten at det beviselig finnes risiko tilknyttet bruk av e-post, slik at ingen skal kunne si at «dette rammer ikke oss».
Antallet klikk fra den aktuelle kommunen var heller ikke oppsiktsvekkende høyt, selv om det også kan tenkes at færre er interessert i en angivelig etikkundersøkelse enn resultatene fra årets lønnsjustering.
Hvor mange som klikker avhenger imidlertid også av hvor avansert den utsendte e-posten er. Godt norsk språk og et internt preget budskap vil naturligvis resultere i flere klikk enn klassisk spam fra fremmede kongedømmer. Samtidig ser vi stadig flere tilfeller fra den første kategorien blant reelle svindelforsøk som vi i Secure Practice fanger opp blant norske virksomheter.
Handling gir bedre læring enn ord
«Show, don’t tell», er et prinsipp fra endringsledelse som også sikkerhetsfolk kan lære noe av. Dersom det gjennom en øvelse sårbar for spesifikke scenarier, kan simulert phishing bidra til å skaffe intern støtte til målrettede tiltak som reduserer relatert risiko.
De som blir lurt kan for sin egen del oppnå ny innsikt gjennom simulert phishing, noe man på engelsk kaller «teachable moments». Mange har stor tiltro til egne ferdigheter, mens andre har altfor stor tiltro til at IT-avdelingen skal beskytte dem fullstendig til enhver tid. Den personlige erfaringen av å selv ha blitt lurt, kan derfor ha en positiv læringseffekt for mange.
Innovasjon Norge hacket fra Afrika
Simulert phishing er også snarveien som gjør sikkerhet til et stort samtaletema blant ansatte, og oppmerksomheten kan brukes positivt til å underbygge andre sikkerhetstiltak.
For økt innsikt i hvilke trusler som passerer spamfilteret, er det ikke minst nyttig å lære opp folk til å rapportere inn mistenkelig e-post til IT-ansvarlige eller sikkerhetsovervåkingssenter.
Nye tiltak mot phishing er nødvendig
Bergen kommune poengterer at man må satse tungt på effektive tekniske virkemidler for å sikre kommunen mot inntrengingsforsøk via ondsinnet e-post.
Samtidig er vi etter to tiår med phishing vant til å høre at dette utgjør den desidert største trusselen. Med få tegn til bedring, er det også liten grunn til å tro at teknologi alene vil løse problemet den nærmeste tiden.
Rapporten anbefaler på sin side løpende testing av medarbeidernes bevissthet rundt phishingangrep. Dette er en type tiltak som har vokst frem etter at man opplever at tradisjonell opplæring ikke er tilstrekkelig for å beskytte mot phishing-trusler i stadig endring.
Folk er en del av løsningen
Det er flere vurderinger som er nyttige å gjøre før man setter i gang med simulert phishing. Når våre egne kunder tar i bruk denne tjenesten, er et viktig formål å gjøre brukerne oppmerksom på hvordan de bidrar til å beskytte både virksomheten og seg selv.
Fremfor å måle hvor mange som klikker, bør vi derfor heller vektlegge hvor mange som er sier fra om de er usikre, eller at de har blitt utsatt for svindelforsøk. Dette er i tillegg et måleverktøy hvor resultatet ikke avhenger av hvor avansert e-posten måtte være.
Kolleger som hjelper hverandre i kampen mot cyberkriminalitet, er sikkerhetskultur i praksis.
