3 av 10 tilbøyelige til å klikke på phishing-eposter

Tre måneder med opplæring gir 50 prosents reduksjon i antallet ansatte som lar seg lure av phishing, visre fersk undersøkelse.

Øijord, Thomas Winje / Scanpix
Publisert:

I september skrev E24 at én av fire bedriftsledere mener det er svært lite sannsynlig at dataangrep kommer til å ramme dem, samtidig som et stort flertall tror det vil bli like mange eller flere angrep mot norske virksomheter i tiden fremover.

Avviket har fått flere til å reagere. Og det med god grunn, skal vi tro tallene.

– Det er vanvittig at så mange ledere tror deres virksomhet ikke vil bli rammet av dataangrep. Er det en ting som er soleklart, er det nettopp at dataangrep treffer alle – helt uavhengig av virksomhet, størrelse og lokasjon.

Det sier daglig leder Kai Roer i CLTRe, som forsker på og leverer måleverktøy for sikkerhetskultur.

Les på E24+ (for abonnenter)

Hva er pølsefingre, og hvorfor blir vi ikke kvitt problemet?

Tre av ti klikker på phishing

CLTRe er det norske datterselskapet til det globale IT-sikkerhetskonsernet KnowBe4, som er ledende på phishing-opplæringsprogrammer.

KnowBe4s nyeste rapport om phishing i ulike bransjer viser at hele 30 prosent av ansatte trolig vil klikke på en mistenkelig e-post helt uten cybersikkerhetstrening.

Rapporten omtaler resultatene av en omfattende sikkerhetstest blant KnowBe4s 18.000 selskapskunder verden over 9 millioner brukere ble testet flere ganger av et simulert phishing-forsøk.

– Blir aldri kvitt det

Etter 90 dager med trening er antallet som klikker på en mistenkelig e-post halvert til 15 prosent, og etter 12 måneder med trening er andelen helt nede i 2 prosent, viser resultatene.

Les også

Styremedlem i Norges Bank brukt i svindelkampanje

– Selv med fantastisk opplæring og gode måleverktøy, blir vi aldri helt kvitt cyberkriminalitet. Det er derfor viktig at ledere forstår at det kun er et spørsmål om tid før det blir et dataangrep mot deres virksomhet, sier Roer.

Når det skjer, er det kritisk at lederne og de ansatte vet hvordan man skal håndtere en slik hendelse, påpeker han.

Her må man ha gode rutiner og god opplæring, samt en god kultur som aksepterer at det vil forekomme tilfeller av dataangrep.

Voksende gap

Det finnes også et voksende gap mellom hvordan bedrifter oppfatter sin egen posisjon og innsats når det gjelder å forhindre svindel, og hva som faktisk er realiteten.

Det viser en rykende fersk undersøkelse utført av Forrester for analysebyrået Experian. Undersøkelsen er gjennomført i 12 forskjellige land med 900 forskjellige spurte bedrifter.

Utgangspunktet for undersøkelsen er at frykten for å miste kunder i forbindelse med bedrageri har blitt den største bekymringen for deltakerne i undersøkelsen, og ikke den direkte, økonomiske konsekvensen svindel har for selskapet som sådan, forteller fagspesialist Jon-Marius Bru i Experian.

Les også

Microsoft-svindlere lurer til seg mye større beløp

Mer friksjon og mer svindel

– Vi har sett gjennom en del av spørsmålene på dette med friksjonen du møter som kunde når du for eksempel skal shoppe online. Mange vet at det er mye svindel der ute, med 150.000 personer utsatt for svindel i Norge i 2017 og 2018.

Med friksjon menes opplevelsen av hinder før man som bruker kommer frem til målet for besøket ved netthandelen, for eksempel.

– 78 prosent av de spurte synes friksjonen for brukerne deres har økt, altså antallet lag med sikkerhet som har kommet de siste årene. Bare 6 prosent sier friksjonen har gått ned, sier Bru.

– Samtidig ser vi at på de som svarer på «fraud rate», antall svindelhendelser, så sier 69 prosent at fraud rate har gått opp. Det vil si at de har lagt på mer friksjon og kontroll, med strengere ID-sjekk, og samtidig fått høyere fraud rate.

Les også

Hundretusener av nordmenns passord blottstilt på nett

Bekymret

I tillegg viser rapporten at flere og flere faktiske kunder blir forvekslet med svindlere og dermed utestengt.

– Det vil si gode kunder som bedriften avviser som svindlere, fordi ting i systemet identifiserer dem som det. Der er det kun 19 prosent som sier at «false positive» har gått ned, mens 44 prosent svarer opp.

– Altså har friksjonen for kundene gått opp, antall svindelhendelser har gått opp, og de avviser flere gode kunder.

Dette bekymrer bedriftene, og det er en bekymring som er gjennomgående i rapporten etter undersøkelsen, sier Bru.

Han viser til en tidligere undersøkelse Experian fikk gjennomført hvor det kom frem at hver voksen person i snitt har 94 forskjellige kontoer online. Av disse bruker 80 prosent samme passord og 74 prosent endrer aldri passordet sitt.

– Og mister du kontrollen på e-posten din, så betyr ikke det nødvendigvis at for eksempel Gmail er hacket. Du kan ha vært inne på en usikker side, og hvis du bruker samme e-post og passord flere steder, så får de tilgang til e-posten likevel.

Les også

Kripos om Hydro-hackingen: Har potensielt forhindret angrep mot andre bedrifter