Antalet phishingattacker fortsätter att öka och mer än 8 av 10 dataintrång beror på mänskliga misstag. Det gör phishingsimulering till en av hörnpelarna i cybersäkerhetsutbildningen för företag och organisationer. Att organisationer vill skapa så trovärdiga phishingsimuleringar som möjligt är inte så konstigt. När hotaktörernas attacker blir alltmer sofistikerade och svåra att upptäcka, måste vi som arbetar med cybersäkerhet göra vad vi kan för att inte hamna på efterkälken.
Tyvärr finns det företag och organisationer som går över gränsen och använder andras varumärken utan överenskommelse. Det verkar råda en missuppfattning om att detta är ok, eftersom det är gjort enligt så kallad fair use. Men det är en juridisk tillämpning som gäller i USA och inte i Europa. Enligt juridiska varumärkesexperter är det tvärtom som huvudregel ett brott mot varumärkerätten i både i EU och i Norge.
Med tanke på vilka möjligheter som finns att bygga upp bra phishingsimuleringar för att öka och behålla medvetenheten och vaksamheten tycker vi på Junglemap att det är anmärkningsvärt att det här verka fortsätta. Att ta genvägar för att skapa trovärdiga simuleringar genom att bryta mot svensk och norsk lag, är ett rejält dubbelfel!
För egentligen är det hela ganska enkelt. I kontakten med nya och potentiella kunder får vi nästan alltid höra att det finns andra leverantörer av phishingsimuleringar som erbjuder och uppmuntrar till användning av kända varumärken och logotyper, men när vi påpekar att detta kan strida mot gällande lagstiftning om det inte finns något samtycke och dessutom ställer den retoriska frågan hur kunden i fråga själv skulle reagera om deras logotyp användes i phishing-simuleringar, så brukar svaret bli någonting i stil med: ”Nej, det skulle inte vara bolagsjurister tycka om!”.
Så vad kan man då göra för att skapa trovärdiga phishingsimuleringar utan att samtidigt bryta mot varumärkeslagen? Från Junglemap rekommenderar vi våra kunder följande:
1. Börja göra phishing-simuleringar
Till att börja med är det fortfarande många organisationer som inte ens genomför simuleringar. Men för att förebygga cyberattacker är den här typen träning på att upptäcka phishing-mail helt avgörande.
2. Gör det regelbundet – året runt
Ingen vet när en phishing-attack inträffar. Phishing-träningen måste ses som en pågående process, inte som ett event. Vi rekommenderar våra kunder att genomföra phishingsimuleringar ungefär en gång i månaden, året runt.
3. Variera mellan typer och målgrupper
Att skicka “allt till alla” är sällan en bra idé. Vår modell ger möjlighet att anpassa phishingsmuleringar tematiskt, organisatoriskt och med över 200 mallar anpassade till olika nyckelroller i organiationen.
4. Mät och följ upp effekterna
Att mäta och följa upp resultaten är en nyckel för att succesivt stärka medvetenheten och vaksamheten kring phishing.
5. Titta bortom klick-frekvensen
Att låta bli att klicka på en felaktig länk är bättre än att klicka på den. Men att medarbetare anmäler mejlet är ännu viktigare. Det är den typen av säkerhetsbeteende som skapar och stärker en hållbar säkerhetskultur.
6.Undvik förenklade framgångssagor
Det finns många aktörer som säljer in phishing-simuleringar med övertygande och tvärsäkra löften om att organisationen kommer att ha en lugn och stabil framgångsresa på vägen mot noll klick. Vår erfarenhet visar att cyberpsykologi är komplext och att väl genomtänkta simuleringsupplägg kan ge väldigt varierade resultat – vilket i sig ger bra underlag för fortsatt organisatoriskt lärande.
7. Att skydda sig mot phishing kräver ett STAR-beteende
Vi på Junglemap bygger mänskliga brandväggar genom att stärka ett s.k STAR-beteende där medarbetare stannar upp, tänker efter, frågar och rapporterar saker som verkar misstänkta. Samma sak gäller i arbetet med att skydda sig mot phishing-attacker.
8. Phishing simulering som en del av en helhet
Bäst effekt får phishing simulering om den görs som en integrerad del i en övergripande utbildning för höjd medvetenhet om cybersäkerhet. Då finns också möjligheten att ge exempel på hur kända varumärken används i phishing – helt utan att bryta mot varumärkeslagen.
Att använda kända varumärken utan överenskommelse i phishingsimuleringar är både olagligt och en enkel genväg. Det är något som vi från Junglemap inte använder oss av, som vi avråder våra kunder att göra, och något som dessutom inte ens är nödvändigt.
En uppdaterad phishingsimulering som ska möta alltmer sofistikerade attacker måste bygga på helt andra saker än olovligt användande av kända logotyper.
Nils Ivar Skaalerud
CTO och grundare av Junglemap
