Hopp til hovedinnhold
NHN
Gå tilbake til Svindelbekjempelse

Phishingtrening - Dos and don'ts

Dette er våre anbefalinger for hvordan phishingtrening burde organiseres

Først en presisering: Vi anbefaler jevnlig trening, men man vil aldri trene seg helt bort fra at noen går på phishing. Tekniske tiltak er derfor minst like viktig. Særlig phishingresistent autentisering.

Phishing

Når det gjelder phishingopplæring, kan dette gjøres på en rekke måter og nivåer. For eksempel å:

  1. Skrive i interne kanaler om eksempler en selv eller andre i nærheten blir utsatt for. Dette kan være intranett, e-post, notistavler og mer
  2. Kjøre e-læringskurs. (Gjerne via e-post, fokus på korte moduler og forankring ovenifra)
  3. Bruke phishingtrening som https://phishingquiz.withgoogle.com/
  4. Ha annonserte runder med bevisst utsendt phishing. Dette koordineres med info om hva ansatte skal se etter og hvordan de skal reagere
  5. Ha uannonserte runder med phishing og telle hvor mange som går på limpinnen.

Vi fraråder punkt 5 om trening er formålet.

Om poenget derimot er å teste hvor mange som lar seg lure, kan dette ha en hensikt, men vi fraråder det fortsatt. Den viktigste grunnen er at det gir veldig lite trening og vil ødelegge tillitsforholdet mellom "sikkerhet" og "resten". Slik tillit er avgjørende for hvor mye som faktisk rapporteres.

For nyansatte

Kort sagt: Kombiner punkt 3 i listen over med opplæring i hvordan man skal rapportere.

Vi anbefaler å ha et program for alle nyansatte hvor man går gjennom eksempler på phishing. Her er punkt 3 en fin ressurs. Disse eksemplene bør også ha forventet oppførsel når man skjønner at noe er phishing.Programmet bør dekke:

- Teknisk rapportering. Helst med enkelt tastetrykk fra e-postklient, noe som krever at dere har satt opp en slik løsning

- Hvordan melde fra at man har gått på phishing/svindel. Her er det avgjørende at fokus er på å utbedre skade, ikke at bruker har gjort noe galt. Under "rette" omstendigheter kan alle gå på phishing.

Jevnlig oppfriskning

Kort sagt: Gjennomfør punkt 2 fra listen over, eventuelt i kombinasjon med punkt 4. Inkluder en oppfrisker på hvordan rapportering bør gjøres.

Dere bør ha en årlig oppfriskning, som kan være fysisk eller via e-post. Denne bør repetere hvordan phishing kan se ut, med eksempler. Dette kan innebære å bli tilsendt en phishing-epost, som det er informert om på forhånd, eller å kun gå gjennom bildeeksempler.

Det første krever mer oppsett, men kan gi bedre trening. Oppfriskningen bør også gjenta hva den ansatte forventes å gjøre når hen mottar phishing. For eksempel rapportere via knapp, slette, rapportere via e-post og så videre.

I tillegg må den ha med hva man skal gjøre om man er blitt lurt. Det kan være å varsle til nærmeste leder, sikkerhetsavdelingen eller annet, ut fra deres egne rutiner.