Phishing-test eller awareness-træning? Hvad virker bedst?

Skrevet af Anders Schultz-Møller

Forskning viser, at kontinuerlig, målrettet IT sikkerheds- og awareness-træning overgår enkeltstående phishing-test, når det kommer til adfærdsændringer, rapporteringskultur og sikkerhedsbevidsthed. Ifølge en rapport fra Stanford University skyldes 88 % af databrud menneskelige fejl, hvilket understreger behovet for effektiv træning. Men hvad betyder det for din sikkerhedsstrategi? Og hvordan kan du undgå de negative sideeffekter, som mange test-baserede tilgange medfører? 

I denne artikel gennemgår vi evidensen bag begge tilgange og giver dig konkrete anbefalinger til at styrke din organisations cybersikkerhed uden at skabe skyldfølelse eller stress blandt medarbejderne. 

Hvorfor phishing-test alene ikke er nok  

Phishing-test kan virke som den oplagte løsning. De er enkle at implementere, giver målbare resultater og virker umiddelbart effektive. Men forskning afslører et mere komplekst billede. 

Verizon’s Data Breach Investigations Report (DBIR) viser konsekvent, at phishing og pretexting står bag 44 % af alle sociale angreb. Samtidig fremhæver rapporten brugertræning som en kritisk sikkerhedskontrol – ikke som en enkeltstående test, men som en integreret del af en bredere sikkerhedsstrategi. 

UK’s National Cyber Security Centre (NCSC) udtaler, at phishing-simulationer skal fungere som læringsværktøjer snarere end eksamener, der skaber frygt. Deres vejledning påpeger, at testbaserede metoder uden opfølgende træning ofte fører til lavere rapporteringsrater og en blame-kultur. 

De skjulte omkostninger ved test-kulturer 

Forkert implementerede phishing-test kan skade mere end de gavner. Ifølge en undersøgelse fra Tessian føler 43 % af medarbejdere sig stressede eller skammede sig, når de fejler en phishing-test. Forskning dokumenterer, at denne tilgang kan føre til: 

• Øget stress og angst omkring digitale arbejdsopgaver 

• Lavere rapporteringsrate af mistænkelig aktivitet (Tessian) 

• Modstand mod sikkerhedsinitiativer generelt 

En systematisk gennemgang offentliggjort i Journal of Cybersecurity konkluderer, at træningens effekt kritisk afhænger af dens design og organisatoriske integration. Enkeltstående tests uden opfølgende læring har begrænset langtidseffekt og kan føre til usikkerhed blandt medarbejderne. 

Hvad awareness-træning kan gøre bedre

Effektiv awareness-træning handler om mere end blot at genkende phishing-emails. Den skal skabe en kultur, hvor medarbejderne føler sig rustet og motiveret til at handle korrekt i sikkerhedssituationer. 

Bredere kanaldækning 

Cybertrusler bliver stadig mere avancerede og kommer gennem flere kanaler end blot email: 

• Vishing (voice phishing): Telefonbaserede svindelopkald 

• Smishing (SMS phishing): Svindel gennem tekstbeskeder 

• Chat-baseret phishing: Gennem Teams, Slack eller sociale medier 

Ifølge IBM’s X-Force Threat Intelligence Index bruges alternative kanaler som SMS og chat nu i 31 % af alle phishingforsøg. Et effektivt IT-sikkerhedskursus skal derfor ruste medarbejderne til at håndtere trusler på tværs af alle kanaler. 

Personaliseret læring giver resultater 

Personaliseret træning er mere effektiv end generiske kampagner. ETH Zürich’s undersøgelse viser, at personaliserede awareness-programmer reducerede medarbejdernes sårbarhed over for phishing med 61 %. Nøglen ligger i at tilpasse træningen til: 

• Medarbejdernes rolle og ansvarsområder 

• Tidligere sikkerhedshændelser i organisationen 

• Specifikke trusler mod branchen 

Fokus på rapportering og eskalering 

Succesfuld awareness-træning skal fremme hurtig rapportering og korrekt eskalering af mistænkelige aktiviteter. Ifølge en rapport fra Forrester rapporterer virksomheder med stærke rapporteringskulturer phishing-angreb 37 % hurtigere, hvilket reducerer skadens omfang. Dette kræver: 

• Klare procedurer for, hvad der skal rapporteres, og hvordan 

• Psykologisk tryghed, så medarbejdere tør rapportere uden frygt for straf 

• Hurtig feedback, der anerkender og belønner korrekt adfærd 

Sådan designes effektiv IT sikkerhedstræning 

Baseret på forskning og bedste praksis anbefaler vi denne tilgang til IT-sikkerhedskursus design: 

1. Start med risikovurdering

Identificer de specifikke trusler, din organisation står overfor. Ifølge PwC’s Global Digital Trust Insights er organisationer, der baserer deres træning på en risikovurdering, 2,5 gange bedre til at identificere og afbøde trusler. 

2. Byg træning omkring scenarioer

Brug realistiske situationer, som medarbejderne kan genkende fra deres daglige arbejde. Dette øger relevansen og anvendeligheden af læringen. 

3. Implementer kontinuerlig læring

Træning skal være en løbende proces. Deloitte’s rapport viser, at virksomheder med månedlige awareness-initiativer oplevede 70 % færre klik på phishing-links sammenlignet med dem, der kun trænede årligt. 

4. Mål det rigtige

I stedet for at fokusere på fejl, skal I måle positive indikatorer som: 

• Rapporteringsrate: Hvor mange mistænkelige emails rapporteres? 

• Tid til rapportering: Hvor hurtigt reagerer medarbejderne? 

• Forbedring over tid: Gentagne fejl pr. medarbejder 

• Tværkanal dækning: Rapporterer medarbejdere trusler på tværs af alle trusselskanaler? 

Tag det næste skridt mod bedre cybersikkerhed

Effektiv cybersikkerhedstræning kræver en balanceret tilgang, der kombinerer kontinuerlig læring med målrettet praksis. I stedet for at vælge mellem phishing-test og awareness-træning skal du bygge et program, der integrerer begge elementer konstruktivt. 

Husk, IT-sikkerhed handler om mennesker, ikke kun teknologi. Ved at investere i meningsfuld træning, der styrker medarbejdernes selvtillid og kompetencer, bygger du den stærkeste forsvarslinje mod moderne cybertrusler.