Een recente studie bij UC San Diego Health roept vragen op over de effectiviteit van Verplichte phishing -bewustmakingsopleidingeen gemeenschappelijke cybersecurity training Methode gebruikt in het Amerikaanse bedrijfsleven. Het onderzoek, in 2023 gedurende acht maanden uitgevoerd met bijna 20.000 werknemers, onderzocht of deze programma’s de vatbaarheid voor werknemers aanzienlijk verminderen voor phishing aanvallen.
Evaluatie van phishing -bewustmakingstraining
De studie heeft werknemers onderworpen aan 10 Gesimuleerde phishing -campagnes Om te beoordelen of standaard jaarlijkse training het vermogen verbetert om kwaadaardige e -mails te herkennen en te vermijden. Resultaten toonden geen zinvolle daling van de phishing -faalpercentages, ongeacht wanneer werknemers de training voor het laatst voltooiden.
Grant HO, universitair docent aan de Universiteit van Chicago en co-auteur van de studie, verklaarde: “Dat suggereert dat de verplichte cyberbewustzijnstraining geen nuttige beveiligingskennis bood aan gebruikers.”
Belangrijke bevindingen over cybersecurity -gedrag van werknemers
- Werknemers die de training voltooiden, vertoonden slechts een kleine verbetering, waarbij de gemiddelde phishing -faalpercentages met slechts 1,7%daalden.
- Onmiddellijke resultaten na de training toonden hoge faalpercentages, hetgeen wijst op een beperkte impact van traditionele cybersecurity trainingsprogramma’s.
- Betrokkenheid met online modules was laag: meer dan driekwart van de werknemers besteedde minder dan één minuut aan het materiaal en 37-51% sloot de trainingspagina vrijwel onmiddellijk.
Ho merkte op dat werknemers training vaak behandelen als een onderbreking, het controleren van e -mails of het doorbladeren van internet, het verminderen van retentie en aandacht.
Het testen van verschillende benaderingen van cybersecurity training
Onderzoekers hebben werknemers in groepen gesegmenteerd na phishing -simulaties:
- Algemene cybersecurity tips
- Interactieve Q & A -modules
- Gedetailleerde briefings over de specifieke gesimuleerde aanval
- Een combinatie van deze methoden
- Controlegroep zonder follow-up training
Interactieve Q & A -lessen produceerde het grootste meetbare voordeel, maar alleen wanneer werknemers volledig betrokken waren. Voltooiing van interactieve training verminderde de gevoeligheid voor phishing -aanvallen met 19%, wat het potentieel van interactieve benaderingen benadrukt. Lage voltooiingspercentages beperkten echter de totale effectiviteit.
De studie suggereerde ook dat werknemers die vrijwillig de training voltooien misschien al eigenschappen hebben die hen minder vatbaar maken voor phishing -aanvallen, waardoor vragen worden gesteld over training versus inherent gedrag.
Implicaties voor cybersecurity van ondernemingen
Phishing blijft een grote bedreiging vormen en vertrouwen alleen op PHISCHE ABISCHE Training van werknemers laat organisaties kwetsbaar. De onderzoekers bevelen een meerlagige cybersecurity-strategie aan, waarbij training wordt gecombineerd met geautomatiseerde tools om verdachte berichten te detecteren en te blokkeren voordat ze inboxen bereiken.
Ho concludeerde,
“Training zoals vaak wordt ingezet, biedt niet voldoende bescherming tegen phishing op zichzelf.”
