Simulert phishing i tråd med GDPR

Nye personvernregler stiller også nye krav til personopplysninger internt i virksomheten. Heller ikke sikkerhetsrelaterte tjenester, inkludert simulert phishing, er fritatt for kravene under GDPR.

Vi har tidligere skrevet om tips til gjennomføring av simulert phishing. Her nevner vi også hensynet til de ansattes personvern i samband med dette, som ikke nødvendigvis er et helt opplagt tilfelle. Virksomheten selv er behandlingsansvarlig for sine egne ansattes personopplysninger.

Avhengig av motivasjonen for å gjøre simulert phishing, trenger man et teknisk verktøy eller en partner som kan ta oppgaven med å sende ut e-postene. Her finnes det en mengde varianter å velge mellom – noen er gratis, mens andre koster penger. Avhengig av tilgang på kompetanse internt er det mulig å gjøre jobben selv, for det kreves ikke veldig mye programmeringskunnskaper for å sende ut en falsk e-post med lenke til en falsk nettside.

Selv om det er innenfor arbeidsgivers legitime interesse å beskytte egen IKT-infrastruktur, utgjør ikke dette en blankofullmakt til å gjøre hva som helst overfor egne ansatte. Fortalen til GDPR nevner særskilt overvåking av nettverket som legitimt formål, men aktivt lureri av egne kolleger går neppe inn under dette. 

Flertallet av verktøyene vi har sett for simulert phishing, har nemlig funksjonlitet for å følge med på hvilke ansatte som lar seg lure av den falske e-posten. Her tenker vi at man må vurdere nøye hvorvidt det faktisk finnes juridisk grunnlag for å kartlegge såkalte "risikable ansatte" i et sikkerhetsverktøy. Det er ingen løsning å skulle "luke vekk" ansatte som står i fare for å klikke på farlig e-post, da angriper man problemet i feil ende. Derfor tror vi også at slik funksjonalitet utgjør en unødvendig belastning for virksomheten, som helst burde vært unngått.

For scenariene vi har nevnt øverst, er det ingen av disse som krever at man kan identifisere enkeltpersoner ved navn. Ved hjelp av innebygd personvern har vi derfor utviklet en phishing-simulator som tar høyde for personvernkravene i GDPR. Denne løsningen er tilgjengelig for alle våre kunder og partnere, og vi bruker den aktivt i samband med lansering av MailRisk i nye virksomheter. 

Gjør simulert phishing trygt og enkelt.

Se hvordan MailRisk-plattformen kan hjelpe!

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →