Antallet phishing-angrep fortsetter å øke, og mer enn 8 av 10 datainnbrudd skyldes menneskelige feil. Derfor er phishing-simuleringer en viktig del av opplæringen i cybersikkerhet for virksomheter. Det er ikke overraskende at virksomheter vil lage så troverdige phishing-simuleringer som mulig. Når angrepene fra trusselaktører blir stadig mer sofistikerte, og det blir vanskeligere å oppdage dem, må vi som jobber med cybersikkerhet, gjøre det vi kan for ikke å komme i bakleksa.
Dessverre er det virksomheter som går over grensen og bruker andres varemerker uten samtykke. Det virker som mange tror det er i orden fordi det bare skjer i henhold til såkalt «fair use». Men dette er en regel som gjelder i USA, og ikke i Europa. I henhold til eksperter på varemerkerett er det i de fleste tilfeller et brudd på varemerkeretten både i EU og Norge.
Det finnes en rekke muligheter til å bygge gode phishing-simuleringer som øker og opprettholder bevisstheten og årvåkenheten. Derfor er vi i Junglemap overrasket over at denne trenden ser ut til å fortsette. Å ta snarveier for å skape troverdige simuleringer ved å bryte norsk lov, er en dobbeltfeil!
Egentlig er det hele ganske enkelt. I kontakt med nye og potensielle kunder får vi nesten alltid høre at det finnes andre leverandører av phishing-simuleringer som tilbyr og oppmuntrer til bruk av kjente varemerker og logoer. Vi påpeker da at dette kan stride mot gjeldende lovgivning. Dessuten spør vi gjerne hvordan kunden selv ville reagere hvis deres logo ble brukt i phishing-simuleringer. Da får vi som regel til svar at: «Nei, det ville ikke foretaksadvokatene våre likt!»
Så hva kan man gjøre for å skape troverdige phishing-simuleringer uten samtidig å bryte varemerkeloven? Hos Junglemap gir vi kundene disse anbefalingene:
1. Begynn med phishing-simuleringer
Det er fortsatt mange virksomheter som ikke engang gjennomfører simuleringer. Men når vi skal forebygge cyberangrep, er det avgjørende at vi trener på å oppdage phishing-e-post.
2. Gjør det regelmessig – året rundt
Ingen vet når det kommer et phishing-angrep. Phishing-treningen må ses som en pågående prosess, ikke som en enkeltstående hendelse. Vi anbefaler kundene våre å gjennomføre phishing-simuleringer omtrent én gang i måneden, året rundt.
3. Bytt mellom ulike typer og målgrupper
Det er sjelden en god idé å sende «alt til alle». Med modellen vår kan phishing-simuleringer tilpasses tematisk og organisatorisk, og den har over 200 maler som er tilpasset ulike nøkkelroller i virksomheten.
4. Mål og følg opp effekten
Når resultatene måles og følges opp, er det et viktig skritt på veien mot økt årvåkenhet og bevissthet om phishing.
5. Se på mer enn klikkfrekvensen
Å la være å klikke på en farlig lenke er bedre enn å klikke på den. Men at de ansatte rapporterer e-posten, er enda bedre. Det er denne typen sikkerhetsoppførsel som skaper og styrker en bærekraftig sikkerhetskultur.
6. Unngå forenklet suksesshistorier
Det finnes mange aktører som selger phishing-simuleringer med overbevisende og skråsikre løfter om at virksomheten kommer til å ha en rolig og stabil fremdrift mot null klikk. Vår erfaring viser at cyberpsykologi er komplekst, og at gjennomtenkte simuleringsopplegg kan gi veldig varierende resultater – noe som i seg selv gir et godt utgangspunkt for fortsatt organisatorisk læring.
7. Beskyttelse mot phishing krever STAR-oppførsel
I Junglemap bygger vi menneskelige brannmurer ved å styrke såkalt STAR-oppførsel der de ansatte stopper opp, tenker, spør og rapporterer det som virker mistenkelig. Det er en god beskyttelse mot phishing-angrep.
8. Phishing-simuleringer som del av en helhet
Phishing-simuleringer får best effekt når de inngår i en overordnet opplæring for økt bevissthet om cybersikkerhet. Da er det også mulig å gi eksempler på hvordan kjente varemerker brukes i phishing – helt uten å bryte varemerkeloven.
Å bruke kjente varemerker uten samtykke i phishing-simuleringer er en ulovlig snarvei. Det er noe vi hos Junglemap ikke gjør, noe vi råder kundene våre fra å gjøre, og noe som ikke er nødvendig.
Oppdaterte phishing-simuleringer som skal ha effekt mot stadig mer sofistikerte angrep, må baseres på noe helt annet enn ulovlig bruk av kjente logoer.
Nils Ivar Skaalerud, grunnlegger og COO hos Junglemap
