Effekten av phishing-simuleringstester for ansatte: Virker det?

Phishing-simuleringer har blitt en av de mest brukte metodene for å styrke ansattes sikkerhetsbevissthet. Men fungerer de faktisk? Forskningen viser at svaret er mer nyansert enn mange tror.

Når simuleringer kombineres med riktig opplæring, relevant innhold og kontinuerlig læring, kan de redusere risikoen betydelig. Samtidig viser nyere studier at tradisjonelle «klikk-og-feil»-kampanjer alene ikke nødvendigvis gir de resultatene virksomheter forventer.

For moderne virksomheter er phishing fortsatt en av de største cybersikkerhetstruslene. Angripere trenger ikke lenger å bryte seg gjennom avanserte tekniske forsvar dersom de kan manipulere en ansatt til å åpne et vedlegg, klikke på en lenke eller oppgi innloggingsinformasjon.

Derfor er menneskelig sikkerhet blitt en like viktig del av virksomhetens forsvar som brannmurer, EDR-løsninger og multifaktorautentisering.

Se alle kilder og forskningsrapporter nederst i artikkelen.

Hva er en phishing-simulering?

En phishing-simulering er en kontrollert test der ansatte mottar realistiske, men ufarlige phishing-e-poster. Formålet er å måle hvordan organisasjonen reagerer på potensielle angrep og samtidig gi opplæring i et realistisk scenario.

Typiske simuleringer kan etterligne:

• Falske fakturaer

• Passordutløp og sikkerhetsvarsler

• Dokumentdeling via Microsoft 365 eller Google Workspace

• HR-relaterte meldinger

• Leverandørsvindel

• CEO-svindel (Business Email Compromise)

Dersom en ansatt klikker på en lenke eller utfører en handling som ville vært risikabel i en reell situasjon, mottar vedkommende umiddelbar tilbakemelding og opplæring.

Målet er ikke å «ta» ansatte i feil, men å hjelpe dem med å identifisere trusler før de blir reelle sikkerhetshendelser.

Hvorfor phishing fortsatt er en av de største truslene

Til tross for store investeringer i sikkerhetsteknologi fortsetter phishing å være en av de mest effektive angrepsmetodene. Moderne phishing-kampanjer er ofte målrettede, personaliserte og stadig vanskeligere å oppdage.

Forskning viser at ansatte ofte overvurderer egen evne til å identifisere phishing-forsøk. Samtidig gjør tidspress, arbeidsbelastning og menneskelige beslutningsprosesser at selv erfarne medarbeidere kan falle for et godt utformet angrep.

Dette er en viktig årsak til at organisasjoner i økende grad investerer i sikkerhetsbevissthet og phishing-simuleringer som en del av sitt sikkerhetsprogram.

Forskningen viser at timing er viktigere enn innhold

En av de mest interessante konklusjonene fra nyere forskning er at tidspunktet for opplæring ofte er viktigere enn selve innholdet.

En metaanalyse omtalt av SoSafe, som gjennomgikk 42 studier om phishing-opplæring, fant at opplæring som gis umiddelbart etter at en bruker har falt for en simulert phishing-e-post reduserte fremtidig sårbarhet med rundt 40 prosent. Forskerne omtaler dette som «point-of-error training», der læringen skjer akkurat når brukeren har gjort en feil og er mest mottakelig for å forstå hva som skjedde.

Dette står i kontrast til tradisjonelle årlige kurs, hvor ansatte ofte mottar generell informasjon lenge før de faktisk står overfor en risikofylt situasjon.

Kontinuerlig trening gir bedre resultater

Mange virksomheter gjennomfører fortsatt sikkerhetsopplæring én gang i året. Problemet er at mennesker glemmer.

Forskning innen læring og sikkerhetsatferd viser at gjentatt eksponering og kontinuerlige påminnelser har langt større effekt enn enkeltstående opplæringstiltak. En studie publisert i Computers & Security viste at hyppigere eksponering for phishing-scenarier bidro til bedre evne til å skille mellom legitime og falske e-poster. Studien fant også at detaljert tilbakemelding var mer effektivt enn kun å fortelle brukeren om vedkommende hadde svart riktig eller feil.

For virksomheter betyr dette at phishing-simuleringer bør inngå som en kontinuerlig prosess, ikke som en årlig aktivitet.

Fra klikkrate til sikkerhetskultur

Mange organisasjoner måler suksessen til phishing-programmer basert på hvor mange som klikker på en lenke.

Selv om klikkrate er en nyttig indikator, er det langt fra den viktigste.

Den virkelige gevinsten oppstår når ansatte begynner å rapportere mistenkelige e-poster aktivt. Når medarbeidere utvikler en vane for å varsle IT- eller sikkerhetsavdelingen om potensielle trusler, fungerer de som en ekstra forsvarslinje for organisasjonen.

Ifølge Osterman Research er målet med sikkerhetsopplæring ikke bare å lære ansatte regler, men å skape en grunnleggende endring i hvordan de tenker om sikkerhet. Dette er kjernen i en sterk sikkerhetskultur.

Engasjement er avgjørende for læring

En utfordring med mange sikkerhetsprogrammer er at ansatte opplever dem som kjedelige og irrelevante.

Dette er ikke bare et pedagogisk problem. Det påvirker også sikkerheten.

Forskning fra Osterman Research viser at ansatte som opplevde opplæringen som interessant og engasjerende var mer enn 13 ganger så tilbøyelige til å endre sin grunnleggende tilnærming til sikkerhet sammenlignet med ansatte som oppfattet opplæringen som kjedelig.

Tilsvarende fant forskning publisert i Computers & Security at historiefortellende og narrative opplæringsformer skapte høyere grad av nysgjerrighet, bedre mestringsfølelse og sterkere evne til å identifisere phishing-forsøk enn tradisjonell opplæring.

Dette understreker viktigheten av moderne og engasjerende sikkerhetsopplæring fremfor generiske e-læringskurs.

Personalisering gir bedre effekt

Nyere forskning peker også på at ansatte reagerer forskjellig på ulike typer phishing-forsøk.

En stor studie gjennomført i en finansinstitusjon med rundt 5000 ansatte viste at phishing-simuleringer med personalisert innhold førte til høyere engasjement enn generiske meldinger. Resultatene illustrerer hvor viktig det er å utforme simuleringer som reflekterer reelle trusler ansatte faktisk kan møte i arbeidshverdagen.

Dette innebærer blant annet at:

• Økonomiavdelingen bør trenes på fakturasvindel.

• HR-avdelingen bør eksponeres for falske personalsaker.

• Ledelsen bør trenes på CEO-svindel.

• IT-personell bør møte teknisk orienterte phishing-scenarier.

Jo mer relevant opplæringen oppleves, desto større er sannsynligheten for at læringen overføres til virkelige situasjoner.

Forskningen er ikke entydig

Selv om mange studier viser positive effekter av phishing-simuleringer, er det viktig å være faglig presis.

Flere nyere studier har stilt spørsmål ved hvor stor effekt tradisjonelle phishing-treningstiltak har isolert sett. En større studie publisert i 2024 konkluderte blant annet med at mye av effekten fra såkalt «embedded training» kan skyldes påminnelseseffekten av simuleringene snarere enn selve opplæringsinnholdet. Forskerne argumenterer for at phishing i stor grad handler om oppmerksomhet og situasjonsforståelse, ikke bare kunnskap.

Det finnes også nyere studier som har funnet begrenset eller ingen målbar effekt på klikkrater etter enkelte typer phishing-trening. Dette understreker at kvaliteten på programmet er avgjørende, og at phishing-simuleringer ikke bør betraktes som en universalløsning.

Cyberon Security trener dine ansatte på phishingoppdagelse

Phishing-simuleringstester er ikke en magisk løsning på cybersikkerhetsutfordringer. Likevel viser forskningen at de kan være svært effektive når de inngår som en del av et helhetlig sikkerhetsprogram.

Det som skaper resultater er ikke nødvendigvis selve simuleringen, men kombinasjonen av realistiske scenarioer, kontinuerlig trening, relevant innhold, umiddelbar tilbakemelding og en organisasjonskultur som prioriterer sikkerhet.

For virksomheter som ønsker å redusere risikoen for menneskelige feil, bygge sikkerhetsbevissthet og styrke sin motstandskraft mot moderne cybertrusler, er phishing-simuleringer fortsatt et av de mest verdifulle verktøyene som finnes når de brukes riktig i kombinasjon med opplæring.

Her hjelper vårt dyktige team i Cyberon deg med sikkerhetsopplæring som oppleves relevant, lærerikt og nyttig sammen med testing.