Nowe badanie przeprowadzone wśród prawie dwudziestu tysięcy pracowników UC San Diego Health podważa skuteczność jednej z najczęściej stosowanych metod ochrony przed cyberprzestępczością w korporacjach.
Mowa o obowiązkowych szkoleniach z zakresu świadomości phishingu, które od lat stanowią standard w programach bezpieczeństwa. Wyniki pokazują, że takie działania mogą mieć jedynie symboliczny wpływ na realne zachowania pracowników w obliczu ataków.
Eksperyment trwał osiem miesięcy i obejmował dziesięć symulowanych kampanii phishingowych. Badacze chcieli sprawdzić, czy coroczne szkolenie, powszechnie stosowane w wielu branżach, poprawia zdolność wykrywania podejrzanych wiadomości. Wyniki nie wykazały zauważalnej różnicy między grupami, niezależnie od tego, kiedy uczestnicy ostatnio przeszli kurs.
Minimalne różnice w wynikach
Autorzy badania odnotowali, że pracownicy, którzy odbyli szkolenie, osiągali wyniki tylko nieznacznie lepsze od tych, którzy go nie ukończyli. Różnica wyniosła zaledwie 1,7%. Grant Ho, adiunkt na Uniwersytecie Chicagowskim i współautor badania, podkreślił w rozmowie z „The Wall Street Journal”, że obowiązkowe kursy nie zapewniają wiedzy, która w praktyce zwiększa bezpieczeństwo użytkowników.
Jednym z kluczowych wniosków było to, że poziom podatności na ataki phishingowe pozostawał niemal taki sam nawet bezpośrednio po zakończeniu szkolenia. Wyniki sugerują, że sam format kursu nie zmienia zachowań pracowników w codziennej pracy.
Problem formatu i zaangażowania
Naukowcy wskazali, że przyczyną może być sposób projektowania materiałów. Moduły online okazały się często ignorowane. Dane pokazały, że w ponad trzech czwartych przypadków pracownicy spędzali na stronie szkolenia mniej niż minutę. Od 37 do 51 procent badanych zamykało stronę natychmiast po jej otwarciu. Ho zasugerował, że wielu uczestników uruchamiało kurs jedynie formalnie, jednocześnie zajmując się pocztą e-mail lub innymi zadaniami.
Testowanie alternatywnych metod
Aby sprawdzić, czy inne podejścia mogą przynieść lepsze efekty, badacze podzielili uczestników na kilka grup po każdej symulacji ataku. Część otrzymywała ogólne wskazówki, inni szczegółowe informacje dotyczące konkretnego ataku lub interaktywne lekcje w formie pytań i odpowiedzi. Grupa kontrolna nie otrzymała żadnego dodatkowego szkolenia.
Rezultaty wskazały, że najbardziej obiecujące były lekcje interaktywne. Pracownicy, którzy ukończyli moduły pytań i odpowiedzi, byli o 19 procent mniej narażeni na kliknięcie fałszywego linku. Problemem okazał się jednak niski wskaźnik ukończenia – wielu pracowników rezygnowało z kursu, zanim doszli do kluczowych treści. Badacze zwrócili uwagę, że te lepsze wyniki mogą być powiązane z cechami osobowości uczestników, którzy i tak byli bardziej uważni niż reszta grupy.
Wnioski dla korporacji
Phishing pozostaje jedną z najpowszechniejszych form cyberataku, a każdy kliknięty link może otworzyć drogę do poważnego włamania. Wyniki badania pokazują jednak, że szkolenia w obecnej formie nie wystarczają, aby realnie zmniejszyć skalę zagrożenia.
Ho i jego współautorzy nie sugerują całkowitej rezygnacji z edukacji pracowników, lecz traktowanie jej jako jednego z wielu elementów ochrony. Zwracają uwagę na znaczenie narzędzi automatycznych, które filtrują podejrzane wiadomości jeszcze przed tym, jak trafią do skrzynek pocztowych. W ich ocenie takie rozwiązania mogą stanowić solidniejsze zabezpieczenie niż poleganie na samej czujności pracowników.
Pokaż / Dodaj komentarze do: Szkolenia nic nie dają. Badanie 20 tysięcy pracowników odkrywa prawdę