Eine kürzlich durchgeführte Studie bei UC San Diego Gesundheit wirft Fragen zur Wirksamkeit von auf Obligatorische Phishing -Sensibilisierungsausbildungeine gemeinsame Cybersicherheitstraining Methode in der gesamten amerikanischen Unternehmen verwendet. Die Forschung, die über acht Monate im Jahr 2023 mit fast 20.000 Mitarbeitern durchgeführt wurde Phishing -Angriffe.
Bewertung des Phishing Awareness Training
Die Studie unterhielt den Mitarbeitern 10 simulierte Phishing -Kampagnen Um zu beurteilen, ob die Standard jährliche Schulung die Fähigkeit verbessert, böswillige E -Mails zu erkennen und zu vermeiden. Die Ergebnisse zeigten keinen sinnvollen Rückgang der Phishing -Ausfallraten, unabhängig davon, wann die Mitarbeiter das letzte Mal die Schulung abgeschlossen haben.
Grant Ho, Assistenzprofessor an der Universität von Chicago und Co-Autor der Studie, erklärte: „Dies deutet darauf hin, dass das obligatorische Training für das Cyber-Bewusstsein nicht vorteilhafte Sicherheitswissen für Benutzer vermittelt hat.“
Schlüsselergebnisse zum Cybersicherheitsverhalten von Mitarbeitern
- Mitarbeiter, die eine Schulung abgeschlossen haben, zeigten nur eine geringfügige Verbesserung, wobei die durchschnittlichen Phishing -Ausfallraten um nur 1,7%sanken.
- Sofortige Ergebnisse nach dem Training zeigten hohe Ausfallraten, was auf einen begrenzten Einfluss herkömmlicher Cybersicherheitsprogramme hinweist.
- Das Engagement mit Online-Modulen war niedrig: Mehr als drei Viertel der Mitarbeiter, die unter einer Minute mit dem Material verbracht wurden, und 37–51% die Schulungsseite fast sofort schlossen.
Ho bemerkte Mitarbeiter, die Schulungen häufig als Unterbrechung behandeln, E -Mails überprüfen oder stattdessen im Internet stöbern, wodurch die Bindung und die Aufmerksamkeit verringert werden.
Testen verschiedener Cybersicherheitstrainingsansätze
Forscher unterteilten Mitarbeiter nach Phishing -Simulationen in Gruppen:
- Allgemeine Cybersicherheitstipps
- Interaktive Q & A -Module
- Detaillierte Briefings über den spezifischen simulierten Angriff
- Eine Kombination dieser Methoden
- Kontrollgruppe ohne Follow-up-Training
Interaktive Q & A -Lektionen produzierte den größten messbaren Nutzen, jedoch nur dann, wenn die Mitarbeiter voll engagiert waren. Die Abschluss des interaktiven Trainings verringerte die Anfälligkeit für Phishing -Angriffe um 19%, wodurch das Potenzial interaktiver Ansätze hervorgehoben wurde. Niedrige Abschlussraten haben jedoch die Gesamtwirksamkeit eingeschränkt.
Die Studie schlug außerdem vor, dass Mitarbeiter, die freiwillig Schulungen absolvieren, bereits Eigenschaften haben, die sie weniger anfällig für Phishing -Angriffe machen und Fragen zum Schulungsbild im Vergleich zu inhärentem Verhalten aufwerfen.
Auswirkungen auf die Cybersicherheit der Unternehmen
Phishing stellt weiterhin eine große Bedrohung aus und stützt sich ausschließlich auf Mitarbeiterin Phishing Awareness Training verlässt Organisationen anfällig. Die Forscher empfehlen eine mehrschichtige Cybersicherheitsstrategie, die Schulungen mit automatisierten Tools kombiniert, um verdächtige Nachrichten zu erkennen und zu blockieren, bevor sie Posteingänge erreichen.
Ho zu dem Schluss,
„Das Training, wie es häufig eingesetzt wird, bietet keinen ausreichenden Schutz vor Phishing.“
