Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mange virksomheder træner jævnligt deres medarbejdere i at undgå phishing-mails.
Det vil sige, at alle får tilsendt snyde-mails, og så bliver der ellers lavet statistik over, hvor mange medarbejdere der går i fælden og klikker på links i de falske phishing-mails.
Disse nøgletal er for nogle virksomheder selve omdrejningspunktet for hele indsatsen.
Den er med andre ord præget af en tankegang, hvor medarbejdernes præstation egentlig kun kan være for dårlig: Ét klik er ét for meget – og så er du i fedtefadet.
I en udenlandsk virksomhed har vi endda oplevet, at de berørte medarbejdere automatisk fik deres mail-konto lukket, så de slukørede måtte gå the walk of shame til it-afdelingen og bekende deres synder.
Derfor er klikrater et dårligt måleværktøj
Fokusering på klikrater er meget udbredt, fordi de er nemme at måle på.
Men hvis det handler om at bane vej for mere sikker adfærd, så er det et forkert sted at starte.
En måling af klikrate vil nemlig kun indikere sværhedsgraden af den anvendte phishing-mail – og den kan man altid skrue op for, indtil folk begynde at at gå i fælden.
Den er på ingen måde en indikator af organisationens generelle sikkerhedsniveau, hvor det for eksempel giver langt bedre mening at måle på, hvor mange der rent faktisk rapporterer mailen til IT-afdelingen.
Bøh! Så ka' du lære det ...
Et andet problem er, at phishing-tests og måling af klikrater bygger på en antagelse af, at det har en god effekt at "fange" folk i handlingen og til en vis grad skræmme dem.
Men det er ikke nogen effektiv metode. Alarmer og pessimisme skaber ganske vist opmærksomhed på den korte bane, men fører sjældent til længerevarende engagement og aktiv handling.
I stedet appellerer det til instinktet om at sidde stille eller fjerne sig fra "faren" – vi bliver passive og tager afstand.
Opbakning skal komme indefra
Frygt kan måske virke som en god motivator, men prøv at tænke på, hvor svært det kan være at ændre adfærd selv i mødet med virkelig alvorlige risici.
Vi behøver bare at kigge på klimaændringene for at konstatere, hvordan oplysning og kampagner om hvor galt det kan gå, ikke formår at skabe sætte en ændringer.
Det gælder også for sikkerhed, hvor hensigtsmæssig adfærd skal frem-elskes med positiv, handlingsorienteret kommunikation – ikke frem-skræmmes med tests og frygtscenarier.
Hvilke af disse to udsagn tror du har den bedste langtidseffekt på din adfærd?:
- Advarsel! Åbn ikke falske mails – så lukker vi din konto!
- Tak fordi du er opmærksom på at rapportere mistænkelige mail til os. Det hjælper os med at beskytte alle mod den afsender fremover og fjerne mailen fra dine kollegers mailbokse, hvis de også har modtaget den.
Skab mening frem for frygt
Hvis I gerne vil "nudge" jeres medarbejdere til at være mere på vagt over for ondsindede phishing-mails, så gælder det om at inkludere og involvere.
Lad dem vide, hvorfor og hvordan de skal arbejde sikkert – gerne med et legende element, såsom konkurrencer og gamification, der giver smil på læben og lyst til at lære mere.
På den måde kan man skabe en kultur, hvor sikkerhed kan diskuteres åbnet og uden frygt for repressalier. En kultur, hvor man også husker at takke medarbejderne for deres bidrag til cybersikkerheden og for at råbe vagt i gevær, når de mener, der er behov for det.
Vi tror, det vil gavne mange organisationer at huske på, god sikkerhedskultur først og fremmest handler om holdninger – ikke klikrater.
Vi bør i højere grad betragte den kulturelle side af cybersikkerhed som en nudging-opgave, hvor vi med overvejende positive virkemidler gør det meningsfyldt og socialt attraktivt at træffe gode beslutninger om den fælles cybersikkerhed.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.