Onderzoek twijfelt aan effectiviteit phishingtrainingen voor werknemers
Veelgebruikte cyberbeveiligingstrainingen, zoals jaarlijkse cursussen en ingebouwde anti-phishing oefeningen, bieden in de praktijk "beperkte waarde" en zijn onwaarschijnlijk effectief in het significant verminderen van phishingrisico's. Dat blijkt uit een grootschalig, gerandomiseerd onderzoek onder meer dan 19.500 werknemers van een grote zorginstelling, UC San Diego Health.
Het 8 maanden durende experiment, uitgevoerd door onderzoekers van onder meer de Universiteit van Californië San Diego, concludeert dat de effecten van dergelijke trainingen minimaal zijn.
Geen verband met jaarlijkse trainingen: Er is geen significant verband gevonden tussen de recentheid van het voltooien van een jaarlijkse cyberbeveiligingstraining en de kans van een werknemer om op een phishinglink te klikken.
Beperkt voordeel ingebedde trainingen: Hoewel ingebedde trainingen – die werknemers ontvangen direct nadat ze in een gesimuleerde phishing-aanval zijn getrapt – een statistisch significante vermindering van het faalpercentage lieten zien, was dit absolute verschil extreem laag: slechts 2%.
Gebrek aan betrokkenheid
Volgens de onderzoekers is het beperkte effect deels te wijten aan een gebrek aan betrokkenheid bij de trainingsmaterialen. Uit de data blijkt dat de meeste gebruikers minimale tijd besteden aan de training: meer dan de helft van de trainingssessies eindigt binnen 10 seconden en minder dan 24% van de werknemers voltooit de materialen formeel.
Bovendien bleek de effectiviteit van de trainingen sterk af te hangen van de opzet:
Statische trainingen: Trainingen bestaande uit statische webpagina's, zoals een informatiepagina, hadden een negatief effect. Werknemers die meerdere van dit soort trainingen hadden voltooid, bleken een grotere kans te hebben om te falen bij volgende phishing-simulaties.
Interactieve trainingen: De kleine groep gebruikers die een interactieve training wél volledig afrondde, verminderde hun kans om opnieuw te falen met 19%. Dit benadrukt dat de inhoud en leveringsmethode van de training bepalend zijn voor het leerresultaat.
Variabele effectiviteit van phishing-aanvallen
De resultaten suggereren dat de kracht van een phishing-aanval een veel grotere factor is dan training. Het faalpercentage van de simulaties varieerde in het onderzoek sterk per bericht, van 1,8% tot meer dan 30,8%. Deze verschillen overschaduwen de kleine verbeteringen die de trainingen opleveren.
De onderzoekers concluderen dat de huidige aanpak, die als een "best practice" wordt gezien, moet worden heroverwogen, omdat de aanzienlijke investering in tijd en moeite niet opweegt tegen de beperkte voordelen.
Meer over security awareness
Over Witold Kepinski
