Izobraževanje zaposlenih za prepoznavanje ribarjenja je neučinkovito

Ker so zaposleni eden najučinkovitejših vektorjev za vdore v poslovne sisteme, so različne delavnice, tečaji in urjenja, kako prepoznati ribarjenje (phishing) zlasti v večjih podjetjih postala del rednega izobraževanja. A raziskovalci z Univerze v San Diegu so pokazali, da je uspeh tovrstnih izobraževanj sila pičel.

Raziskavo so opravili na 19.000 zaposlenih v zdravstvenem sistemu v San Diegu, ki so jih razvrstili v več skupin. Enkrat mesečno so ti zaposleni opravljali test o prepoznavanju ribarjenja in če so na njem padli, torej so kliknili na povezavo, so se odprle različne strani: napaka 404, statična stran s splošnimi informacijami o prepoznavanju ribarjenja, interaktivna stran z vprašanj in odgovori, statistična stran s specifičnimi informacijami o konkretnem primeru, interaktivna stran s specifičnimi informacijami o konkretnem primeru. Po osmih mesecih so ugotovili, da so razlike med skupinami zgolj 1,7 odstotka. Način urjenja praktično ni vplival na prepoznavanje poizkusov ribarjenja.

V osmih mesecih je 50 odstotkov zaposlenih vsaj enkrat napačno ocenilo povezavo in kliknilo na lažno sporočilo. Klasične vabe, denimo o obvezni zamenjavi gesla v Outlooku, niso več uspešne, medtem ko domnevna informacija o spremembi politike dopusta v podjetju odlično deluje. Vse, kar napadalci potrebujejo, je čas in prej ali slej bo vsakdo podlegel. Trening proti ribarjenju pri tem ne more pomagati.