Выступая в начале августа на конференции Black Hat в Лас-Вегасе, ИБ-эксперт Ариана Мириан на примере медицинской системы UCSD рассказала об эффективности антифишингового обучения персонала.
За восемь месяцев она изучила более 19 тысяч кейсов сотрудников, разделив последних на группы: одни видели только ошибку 404 после клика по фишинговой ссылке, другим показывали статические страницы с советами, третьим — интерактивные задания, а четвёртым — персонализированные разборы именно того письма, в которое была «зашита» ссылка.
В итоге, по словам Мириан, среднее улучшение составило всего 1,7% по сравнению с контрольной группой: «Стоит ли весь этот акцент на обучении того эффекта, который мы получаем? Оно почти не работает». Вместе с тем докладчица отметила важность формы приманок: если письма о смене пароля в Outlook почти все игнорировали, то сообщения о новой политике отпусков или изменении дресс-кода открыло около 30% испытуемых. Эксперт призвала не наказывать специалистов за провал, ведь тогда «пострадает половина компании».
Исследование также показало, что многие пользователи попросту избегают тестирования — сотрудники закрывали страницу с разбором так быстро, что у Мириан даже не было шанса зафиксировать время просмотра. Однако, заключила она, это не значит, что обучение антифишингу вообще не работает — просто нужны новые методы и сугубо научная оценка их эффективности.
.png)