Kan man lære av å bli lurt?

Er det mulig å få en positiv læringsopplevelse av å bli lurt, eller av at noen prøver å lure en? Dette er et relevant spørsmål i samband med bruk av såkalt simulert phishing.

I takt med at mengden trusler via e-post øker, har også simulert phising er blitt en del av sikkerhetsopplæringen til mange bedrifter. Dette innebærer at IT-ansvarlige sender falske e-poster til sine egne kolleger, som om de var svindlere eller hackere selv. Men finnes det en bevisst pedagogisk tankegang bak slike øvelser, og hvordan lærer i så fall ansatte av at de forsøkes lurt av sin egen arbeidsgiver?

Les også: Tips til gjennomføring av simulert phishing

Folk som mottar slik e-post, og særlig for de som "går fem på", kan selvsagt kjenne den på den lite positive følelsen av å ha blitt lurt. Dette er videre en opplevelse som ulike folk takler på ulike måter. Derfor kan vi også anta at læringsutbyttet variere mellom ulike typer mennesker:

  • Noen vil kunne se humoren i å bli lurt, og sette pris på at det heldigvis gikk bra denne gangen. De forteller kanskje om det til sine kollegaer og det blir en liten "snakkis" som gjør at hendelsen kommer nærmere enkeltpersoner, og gjør at risikoen oppleves mer mer reell – såkalte "teachable moments".
  • Andre tar det å bli lurt som et nederlag, og blir kanskje flaue og skamfulle. Læringsutbyttet knyttes til en tydelig negativ opplevelse, og egentlig noe man helst vil glemme.
  • Enkelte vil kanskje ikke tenke så mye mer over saken. Ja, de ble lurt, men det ble med det. De gjennomførte ikke noen handling knyttet til det å motta den falske e-posten. Det var altså ikke noen konkret reaksjon som gjorde til at opplevelsen ble videre memorert for tilsvarende opplevelser i framtiden.
  • For alle som ikke gikk på phising-e-posten, ble øvelsen kanskje bare enda en e-post som forsvant i innboksen. De hadde ikke noe mer med den å gjøre enn å oppdage og unngå, med mindre de er blant de som rapporterer svindelforsøket til IT-ansvarlige. E-posten slettes, og drukner ellers fort i den store mengden av informasjon i hverdagen.

Urealistiske forventninger?

Det er ønskelig at folk skal kjenne seg i stand til å håndtere mistenkelig e-post på en sikker måte, enten det gjelder simulert phishing eller ekte svindel. Innenfor pedagogikken kalles dette på godt norsk for empowerment, og bunner ut i trygghet og mestring for den enkelte.Derfor må vi også være fokusert på å fremme mestringsopplevelser som gjør at folk kjenner seg i stand til å ta trygge valg, og til å være dynamiske for å tilegne seg erfaringsbasert kunnskap.

Dessverre har mange bedrifter hatt begrensede muligheter til å følge opp mistenkelig e-post på en strukturert måte, og til å støtte de ansatte sin opplevelse av mestring og læring, fremfor usikkerhet og frykt.

Les også: Er e-posten farlig? Slik finner vi svaret

Mange kjenner seg dessverre digitalt inkompetente i møte med IT-folk. Resultatet er at veien til å ta kontakt, og muligheten om å få snarlig hjelp, oppleves som lite tiltrekkende. IT-folk har dessuten mye å gjøre, på samme måte som alle andre i virksomheten. Og e-post som ble rapportert inn av ansatte blir fort glemt av begge parter, dersom hjelpen ikke er der akkurat når den trengs.

Med andre ord går de fleste virksomheter glipp av jevnlige muligheter til å gi ansatte nyttig erfaring med å håndtere mistenkelig e-post!

Mestring gjennom konkret handling

Fra vår side er MailRisk-knappen er en løsning som gir direkte empowement til brukerne. MailRisk hjelper folk i møte med både simulert phising og mistenkelig e-post ellers. Mottakeren får selv mulighet til å etterforske der og da, men gir alltid noen å spørre hvorvidt e-posten er trygg eller farlig, akkurat når en trenger det.

Slik kan lære av e-posten man er usikker på, og situasjonen vil i større grad bli memorert når man selv har vært aktiv i å trykke, lese analysen og undersøke om mistanken stemte.

Les også: Infotekst til nye MailRisk-brukere

Ved hjelp av MailRisk blir man ikke alene i møte med sin mistanke, eller usikkerhet. Ønsket om å klikke på noeligger latent hos mange, og man ønsker ikke at klikket skal være på lenken eller vedlegget i den mistenkelige eposten. Med MailRisk-knappen får folk derimot en mulighet til å klikke på noe trygt, samtidig som man både lærer og hjelper sine egne kolleger på kjøpet.

Slik forsterker læringsprosessen for også simulert phishing, ettersom man knytter en konkret handling til den mistenkelige e-posten. Fordi handlinger i situasjoner gjør at man husker bedre, vil de erfaringsbasert handlingene øke i takt med bruk av knappen. Slik blir den simulerte phishingen ikke bare enda en e-post som bare forsvinner i inboksen og glemmeboken til folk.

I stedet blir øvelsen en maksimalt utnyttet anledning til å lære folk hvordan de kan bidra i kampen mot svindel og hacking!

Last updated:

15 October 2018

Share this:

Language:

Norwegian

Show translation:

Contact the author:

Contact the author:

Ragnhild Olianna

Chief Operating Officer

(+47) 90 16 82 44

ragnhild@securepractice.co

Nå gir vi gratis phishing-simulering til alle nye kunder!

Kom i gang med MailRisk på bare noen minutter.

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →