Google: Przestań próbować oszukiwać pracowników fałszywymi wiadomościami phishingowymi
Udostępniony przez anonimowego czytelnika raport: Czy twój pracodawca niedawno wysłał Ci fałszywą wiadomość phishingową? Pracodawcy czasami symulują wiadomości phishingowe, aby szkolić pracowników, jak rozpoznawać zagrożenia hakerskie. Jednak jeden menedżer bezpieczeństwa w Google argumentuje, że branża IT powinna zrezygnować z tej praktyki, nazywając ją kontrproduktywną. „PSA dla specjalistów z zakresu bezpieczeństwa cybernetycznego: Nasi współpracownicy są zmęczeni byciem „oszukiwanymi” przez ćwiczenia phishingowe, i sprawia to, że nas nienawidzą bez żadnych korzyści" - napisał Matt Linton, menedżer incydentów bezpieczeństwa w Google.
Linton opublikował również wpis na blogu Google Security dotyczący wad dzisiejszych testów symulujących phishing. Firma jest zobowiązana do wysyłania fałszywych wiadomości phishingowych do swoich pracowników, aby spełnić wymagania dotyczące zgodności z bezpieczeństwem rządu USA. W tych testach Google wysyła pracownikowi fałszywą wiadomość phishingową. Jeśli pracownik kliknie link w wiadomości, otrzyma informację, że nie zdał testu i zazwyczaj będzie musiał przejść jakiś rodzaj szkolenia. Jednak Linton argumentuje, że testy symulujące phishing mogą prowadzić do szkodliwych skutków ubocznych, które mogą podważyć bezpieczeństwo firmy. „Nie ma dowodów na to, że testy te prowadzą do mniejszej liczby udanych kampanii phishingowych" - powiedział Linton, zauważając, że ataki phishingowe nadal pomagają hakerom zdobyć przyczółek w sieciach, pomimo takiego szkolenia. Wskazał także na badanie z 2021 roku, które trwało 15 miesięcy i doszło do wniosku, że takie testy phishingowe nie „sprawiają, że pracownicy są bardziej odporni na phishing."
ELI5: Niektórzy pracodawcy wysyłają fałszywe wiadomości, żeby sprawdzić, czy pracownicy potrafią je rozpoznać, ale menedżer z Google uważa, że testy te mogą więcej zaszkodzić niż pomóc. Mówi, że mimo takich szkoleń, hakerzy i tak nadal mogą atakować firmy skutecznie. To oznacza, że testy takie nie zapewniają zwiększenia odporności pracowników na takie zagrożenia.
Źródła: