Ostatnie badanie pod adresem UC San Diego Health rodzi pytania o skuteczność Obowiązkowe szkolenie w zakresie świadomości phishingowejwspólny Szkolenie cyberbezpieczeństwa Metoda stosowana w Ameryce korporacyjnej. Badania przeprowadzone w ciągu ośmiu miesięcy w 2023 r. Z prawie 20 000 pracowników zbadały, czy programy te znacznie zmniejszają podatność pracowników na ataki phishingowe.
Ocena treningu świadomości phishingowej
Badanie poddano pracownikom 10 Symulowane kampanie phishingowe Aby ocenić, czy standardowe coroczne szkolenie poprawia możliwość rozpoznawania i unikania złośliwych wiadomości e -mail. Wyniki nie wykazały znaczącego spadku wskaźników awarii phishingu, niezależnie od tego, kiedy pracownicy ostatnio zakończyli szkolenie.
Grant Ho, adiunkt na University of Chicago i współautor badania, stwierdził: „co sugeruje, że obowiązkowe szkolenie w zakresie świadomości cybernetycznej nie zapewniło użytkownikom korzystnej wiedzy bezpieczeństwa”.
Kluczowe ustalenia dotyczące zachowania cyberbezpieczeństwa pracowników
- Pracownicy, którzy ukończyli szkolenie, wykazali jedynie niewielką poprawę, przy czym średnie wskaźniki awarii phishingu spadły o zaledwie 1,7%.
- Natychmiastowe wyniki po treningu wykazały wysokie wskaźniki awarii, co wskazuje na ograniczony wpływ tradycyjnych programów szkolenia cyberbezpieczeństwa.
- Zaangażowanie w moduły online było niskie: ponad trzy czwarte pracowników spędzonych poniżej minuty na materiał, a 37–51% zamknęło stronę szkoleniową niemal natychmiast.
Ho zauważył, że pracownicy często traktują szkolenie jako przerwę, sprawdzając e -maile lub przeglądając sieć, zmniejszając retencję i uwagę.
Testowanie różnych podejść do szkolenia cyberbezpieczeństwa
Naukowcy podzielili pracowników na grupy po symulacjach phishingowych:
- Wskazówki dotyczące bezpieczeństwa cybernetycznego
- Interaktywne moduły pytań i odpowiedzi
- Szczegółowe odprawy na temat konkretnego symulowanego ataku
- Połączenie tych metod
- Grupa kontrolna bez szkolenia uzupełniającego
Interaktywne lekcje pytań i odpowiedzi przyniósł największą mierzalną korzyść, ale tylko wtedy, gdy pracownicy w pełni zaangażowali się. Ukończenie interaktywnego treningu zmniejszyło podatność na ataki phishingowe o 19%, podkreślając potencjał interaktywnych podejść. Niskie wskaźniki zakończenia ograniczyły jednak ogólną skuteczność.
Badanie zasugerowało również, że pracownicy, którzy dobrowolnie ukończą szkolenie, mogą już mieć cechy, które sprawiają, że są mniej podatne na ataki phishingowe, zadając pytania dotyczące szkolenia w porównaniu z nieodłącznym zachowaniem.
Implikacje dla cyberbezpieczeństwa przedsiębiorstwa
Phishing nadal stanowi poważne zagrożenie i polegają wyłącznie na Szkolenie świadomości phishingowe pracowników pozostawia organizacje wrażliwe. Naukowcy zalecają wielowarstwową strategię bezpieczeństwa cybernetycznego, łącząc szkolenie z zautomatyzowanymi narzędziami do wykrywania i blokowania podejrzanych wiadomości, zanim osiągną skrzynki odbiorcze.
Ho zakończył,
„Szkolenie, które jest powszechnie rozmieszczone, nie zapewnia wystarczającej ochrony przed phishingiem samodzielnie”.
