Badanie: obowiązkowe szkolenia z cyberbezpieczeństwa nie chronią przed phishingiem

Nowe badanie przeprowadzone na UC San Diego Health podważa skuteczność obowiązkowych szkoleń z cyberbezpieczeństwa, szczególnie tych dotyczących rozpoznawania phishingu. W ośmiomiesięcznym eksperymencie obejmującym 10 symulowanych kampanii phishingowych i prawie 20 tys. pracowników nie stwierdzono istotnej różnicy między osobami, które niedawno przeszły szkolenie, a tymi, które go nie miały.

Średnia poprawa wynosiła zaledwie 1,7%, co oznacza, że większość pracowników wciąż dawała się nabierać na fałszywe maile. Co więcej, analiza wykazała, że pracownicy często w ogóle nie angażują się w kursy – w ponad 75% przypadków spędzali mniej niż minutę na stronie szkoleniowej, a od 37% do 51% osób zamykało moduł od razu po jego otwarciu.

Największą skuteczność miały moduły interaktywne z pytaniami i odpowiedziami, ale nawet one działały tylko wtedy, gdy pracownik faktycznie je ukończył. A takich osób było niewiele. Ci, którzy przeszli całe szkolenie interaktywne, byli średnio 19% mniej podatni na phishing.

Eksperci podkreślają, że szkolenia nie powinny być jedyną linią obrony. Zamiast tego organizacje powinny łączyć edukację z automatycznymi narzędziami filtrującymi i blokującymi podejrzane wiadomości.

Zmęczenie komunikatami bezpieczeństwa

Psychologowie zajmujący się bezpieczeństwem cyfrowym zwracają uwagę na zjawisko tzw. security fatigue – zmęczenia komunikatami bezpieczeństwa. Pracownicy, bombardowani ostrzeżeniami i obowiązkowymi kursami, często je ignorują, traktując jako formalność, a nie realne wsparcie w pracy.

To pokazuje, że klasyczne szkolenia mogą być dodatkiem, ale nie fundamentem ochrony.

---

Źródła:
Wall Street Journal
TechSpot
Grant Ho i in. – Do Security Awareness Trainings Improve Employee Security Behavior? (2023, University of Chicago / UC San Diego Health)
PingIdentity
TechRadar