Forestil dig, at en medarbejder falder for en overbevisende phishing-mail. Ét klik – og pludselig er der potentielt åbnet en vej ind i jeres virksomhed for hackere.
Hvad gør I nu?
Vælger I at pege fingre og måske give en officiel advarsel, eller bruger I hændelsen som en læringsmulighed?
Flere organisationer gennemfører i dag phishing-simulationer for at træne medarbejderne i at spotte falske mails. Tilgangen varierer dog: Nogle steder ender det som en “jeg fik dig”-øvelse, hvor fejltrin udløser skam og straf, mens det andre steder bliver et trygt rum, hvor man sammen bliver klogere.
Phishing: mennesket er det største sikkerhedshul
Verizons årlige Data Breach Investigations Report (DBIR) dokumenterer, at 82 % af alle sikkerhedsbrud involverer den menneskelige faktor – ofte i form af social engineering-angreb som phishing. Faktisk er phishing den mest udbredte teknik, når hackere går målrettet efter mennesker. Med andre ord: For angriberne er det ofte nemmere at narre en medarbejder til at åbne døren, end at bryde døren op med tekniske midler.
Konsekvensen er, at medarbejdere på tværs af hele organisationen – fra receptionen til ledelsen – skal rustes til at genkende og modstå disse angreb. Myndigheder og standarder har også fået øjnene op for problemet. EU’s NIS2-direktiv stiller f.eks. krav om, at alle ansatte i essentielle virksomheder løbende trænes i cybersikkerhed og kender gode praksisser. Phishing-træning er altså ikke blot “nice to have”, men et nødvendigt værktøj i værktøjskassen for moderne sikkerhedsledelse.
Udskamning virker mod sin hensigt
Når medarbejdere klikker på en falsk mail i en test, kan det være fristende at lade frustrationen få frit løb. Desværre ser vi eksempler på, at nogle organisationer håndterer det ved at udskamme eller straffe dem, der falder i. En undersøgelse fandt, at 42 % af organisationer har givet medarbejdere disciplinære advarsler efter sikkerhedshændelser – og anekdoterne florerer om “kreative” straffe. I et tilfælde sendte en leder ligefrem en mail ud til hele firmaet med navnet på den medarbejder, der var faldet for en phishing-mail, som advarende eksempel.
Problemet med udskamning og straf er, at ingen lærer af at blive ydmyget. Forskning peger på, at en blame-kultur kan ramme organisationen som en boomerang: Medarbejdere der føler sig gjort til syndebukke, bliver defensive og mister tillid. Frygten for repressalier kan i værste fald få folk til at skjule eller undlade at rapportere sikkerhedshændelser – præcis det modsatte af, hvad vi ønsker.
Sikkerhedskultur omkring phishing-angreb frem for frygt
Heldigvis viser det sig, at medarbejdere reagerer langt mere positivt, når ledelsen vælger læring frem for ”skæld ud” eller pege fingre. I Karen Renauds studie beskrev ansatte, hvordan forståelse fra chefen efter en sikkerhedsfejl gjorde dem ivrige efter at rette op og undgå gentagelser. Ingen blev hængt ud; i stedet fik de hjælp til at afbøde konsekvenserne og lære af fejlen.
Resultatet var en stærkere relation mellem arbejdsgiver og medarbejder – og en person som var motiveret for at gøre det bedre fremover. Denne tilgang – nogle kalder det en “no blame culture” – er guld værd for sikkerheden. Når folk tør indrømme fejl og dele, der hvor det næsten gik galt, får I som ledelse de nødvendige informationer for at reagere hurtigt på trusler. Kulturen bliver kendetegnet ved åbenhed og konstant forbedring.
Men det spreder sig også som ringe i vandet. Det skaber ikke kun bedre it-sikkerhed – det styrker også den generelle kultur i organisationen. En tryg og tillidsbaseret tilgang til læring betyder, at folk tør række hånden op, stille spørgsmål og sige fra, når noget føles forkert – på alle områder. Og det betyder, at man bakker hinanden op frem for at pege fingre. Når en medarbejder tør indrømme en fejl – og mødes med nysgerrighed i stedet for skam – bliver det nemmere for andre at gøre det samme. Den slags kultur betaler sig i længden. Ikke bare på sikkerhedsfronten, men i trivsel, samarbejde og ansvarsfølelse.
Sådan bruger I phishing-tests som læringsværktøj
Phishing-simulationer kan være et effektivt våben mod cybertrusler – hvis de bruges rigtigt. Her er fire konkrete anbefalinger til, hvordan de bliver til en læringsmulighed i stedet for en straf:
1. Gør det realistisk – og uden varsel. Phishing-angreb kommer uanmeldt, så det bør træningen også. Test forskellige typer angreb og undlad at forsimple dem.
2. Giv hurtig, konstruktiv feedback. Når en medarbejder klikker, skal vedkommende have hjælp, ikke skældud. Det kan være en venlig forklaring eller en kort læringsvideo.
3. Anerkend det rigtige. Beløn dem der spotter og rapporterer forsøg. Lav små konkurrencer, brug badges eller blot anerkendelse – det virker.
4. Ledelsen går forrest. Gør det klart, at formålet er læring, og lad også ledere deltage og dele egne fejl. Det skaber tryghed og tillid.
Phishing-simulationer skal betragtes som et læringsrum, ikke en eksamenssituation. Derfor virker det bedst, når I kører det som en fast del af jeres virksomhed og noget, som kontinuerligt forlanges af alle deltager i.
Referencer:
- ENISA – Europæiske agentur for cybersikkerhed (2023)
- Verizon (2022). Data Breach Investigations Report
- Karen Renaud, Wall Street Journal
- CREST (2021)
- NIST Special Publication 800-53 (Rev. 5, 2022)
- Nordic Cyber Group (2023)