3 av 10 tilbøyelige til å klikke på phishing-eposter
Tre måneder med opplæring gir 50 prosents reduksjon i antallet ansatte som lar seg lure av phishing, visre fersk undersøkelse.
I september skrev E24 at én av fire bedriftsledere mener det er svært lite sannsynlig at dataangrep kommer til å ramme dem, samtidig som et stort flertall tror det vil bli like mange eller flere angrep mot norske virksomheter i tiden fremover.
Avviket har fått flere til å reagere. Og det med god grunn, skal vi tro tallene.
– Det er vanvittig at så mange ledere tror deres virksomhet ikke vil bli rammet av dataangrep. Er det en ting som er soleklart, er det nettopp at dataangrep treffer alle – helt uavhengig av virksomhet, størrelse og lokasjon.
Det sier daglig leder Kai Roer i CLTRe, som forsker på og leverer måleverktøy for sikkerhetskultur.
Hva er pølsefingre, og hvorfor blir vi ikke kvitt problemet?
Tre av ti klikker på phishing
CLTRe er det norske datterselskapet til det globale IT-sikkerhetskonsernet KnowBe4, som er ledende på phishing-opplæringsprogrammer.
KnowBe4s nyeste rapport om phishing i ulike bransjer viser at hele 30 prosent av ansatte trolig vil klikke på en mistenkelig e-post helt uten cybersikkerhetstrening.
Rapporten omtaler resultatene av en omfattende sikkerhetstest blant KnowBe4s 18.000 selskapskunder verden over 9 millioner brukere ble testet flere ganger av et simulert phishing-forsøk.
– Blir aldri kvitt det
Etter 90 dager med trening er antallet som klikker på en mistenkelig e-post halvert til 15 prosent, og etter 12 måneder med trening er andelen helt nede i 2 prosent, viser resultatene.
Styremedlem i Norges Bank brukt i svindelkampanje
– Selv med fantastisk opplæring og gode måleverktøy, blir vi aldri helt kvitt cyberkriminalitet. Det er derfor viktig at ledere forstår at det kun er et spørsmål om tid før det blir et dataangrep mot deres virksomhet, sier Roer.
Når det skjer, er det kritisk at lederne og de ansatte vet hvordan man skal håndtere en slik hendelse, påpeker han.
Her må man ha gode rutiner og god opplæring, samt en god kultur som aksepterer at det vil forekomme tilfeller av dataangrep.
Voksende gap
Det finnes også et voksende gap mellom hvordan bedrifter oppfatter sin egen posisjon og innsats når det gjelder å forhindre svindel, og hva som faktisk er realiteten.
Det viser en rykende fersk undersøkelse utført av Forrester for analysebyrået Experian. Undersøkelsen er gjennomført i 12 forskjellige land med 900 forskjellige spurte bedrifter.
Utgangspunktet for undersøkelsen er at frykten for å miste kunder i forbindelse med bedrageri har blitt den største bekymringen for deltakerne i undersøkelsen, og ikke den direkte, økonomiske konsekvensen svindel har for selskapet som sådan, forteller fagspesialist Jon-Marius Bru i Experian.
Microsoft-svindlere lurer til seg mye større beløp
Mer friksjon og mer svindel
– Vi har sett gjennom en del av spørsmålene på dette med friksjonen du møter som kunde når du for eksempel skal shoppe online. Mange vet at det er mye svindel der ute, med 150.000 personer utsatt for svindel i Norge i 2017 og 2018.
Med friksjon menes opplevelsen av hinder før man som bruker kommer frem til målet for besøket ved netthandelen, for eksempel.
– 78 prosent av de spurte synes friksjonen for brukerne deres har økt, altså antallet lag med sikkerhet som har kommet de siste årene. Bare 6 prosent sier friksjonen har gått ned, sier Bru.
– Samtidig ser vi at på de som svarer på «fraud rate», antall svindelhendelser, så sier 69 prosent at fraud rate har gått opp. Det vil si at de har lagt på mer friksjon og kontroll, med strengere ID-sjekk, og samtidig fått høyere fraud rate.
Hundretusener av nordmenns passord blottstilt på nett
Bekymret
I tillegg viser rapporten at flere og flere faktiske kunder blir forvekslet med svindlere og dermed utestengt.
– Det vil si gode kunder som bedriften avviser som svindlere, fordi ting i systemet identifiserer dem som det. Der er det kun 19 prosent som sier at «false positive» har gått ned, mens 44 prosent svarer opp.
– Altså har friksjonen for kundene gått opp, antall svindelhendelser har gått opp, og de avviser flere gode kunder.
Dette bekymrer bedriftene, og det er en bekymring som er gjennomgående i rapporten etter undersøkelsen, sier Bru.
Han viser til en tidligere undersøkelse Experian fikk gjennomført hvor det kom frem at hver voksen person i snitt har 94 forskjellige kontoer online. Av disse bruker 80 prosent samme passord og 74 prosent endrer aldri passordet sitt.
– Og mister du kontrollen på e-posten din, så betyr ikke det nødvendigvis at for eksempel Gmail er hacket. Du kan ha vært inne på en usikker side, og hvis du bruker samme e-post og passord flere steder, så får de tilgang til e-posten likevel.
