Initiativen zur Cybersicherheit auf Kurs halten
Angesichts des jüngsten West Midlands Train Service Phishing-Test an seine Mitarbeiter, Andrea Babbs, UK General Manager, VIPRE SafeSend, untersucht, ob dies ein guter Resilienztest war oder nicht.
Der West Midlands-Zugdienst ist unter Beschuss geraten, nachdem Arbeiter entdeckten, dass eine E-Mail, die ihnen eine Bonuszahlung versprach, nachdem sie während der Pandemie Züge gefahren waren, eigentlich ein Phishing-Simulationstest war.
Rund 2,500 Mitarbeiter erhielten eine Nachricht, die anscheinend von Julian Edwards, Geschäftsführer von West Midlands Trains, stammte und ihnen für ihre harte Arbeit im vergangenen Jahr unter COVID-19 dankte und dass sie als Dankeschön eine einmalige Zahlung erhalten würden.
Diejenigen, die auf den Link geklickt hatten, wurden dann jedoch per E-Mail mit einer Nachricht zurückgeschickt, die ihnen mitteilte, dass es sich um einen vom Unternehmen entwickelten „Phishing-Simulationstest“ handelte und es keinen Bonus gab. Die E-Mail warnte: "Dies war ein Test, der von unserem IT-Team entwickelt wurde, um Sie dazu zu verleiten, auf den Link zu klicken, und der sowohl das Dankesversprechen als auch die finanzielle Belohnung verwendete"
Seit der Test bekannt wurde, hat der Zugdienst eine Medienreaktion erhalten, weil er wohlverdienten Teams eine gefälschte finanzielle Belohnung versprochen hatte. Die moderne Bedrohungslandschaft entwickelt sich jedoch ständig weiter, und Unternehmen müssen ihre Belegschaft auf jede Bedrohung vorbereiten. War das also ein guter Resilienztest?
Feuer mit Feuer bekämpfen
Um im Kampf gegen Cyberkriminalität erfolgreich zu sein und das Netzwerk zu schützen, sollten Unternehmen keine Angst davor haben, Feuer mit Feuer zu bekämpfen und sich auch mal so tief sinken lassen wie die Phisher selbst – die keine Moral haben. Durch die Verwendung einer aussagekräftigen Botschaft und eines Anreizes wie dem Vorschlag eines Bonus von West Midlands Train Service können Unternehmen wertvolle Erkenntnisse darüber gewinnen, wie ihre Mitarbeiter dazu verleitet werden könnten, auf einen Phishing-Link zu klicken, und warum sie sicherstellen müssen, dass ihre Mitarbeiter geschult werden für jede Art von Angriff.
Der Test hat die Mitarbeiter von West Midlands jedoch eindeutig verärgert und hätte weniger dramatisch durchgeführt werden können, damit er weder ethisch noch moralisch fragwürdig wäre. Besonders während einer Pandemie, in der sich unsere Mitarbeiter an vorderster Front, wie die in der Transportbranche, im letzten Jahr weiterhin einem Risiko ausgesetzt haben. Die Idee einer Prämie erscheint im aktuell herausfordernden Umfeld als Akt der Anerkennung für ihren überdurchschnittlichen Einsatz verdient – aber dass dies eher ein Test als eine versprochene Belohnung ist, trifft die Beteiligten besonders hart.
Das Gleichgewicht finden
Es ist von entscheidender Bedeutung, dass sich Unternehmen die Zeit nehmen, ihre Mitarbeiter zu schulen und weiterzubilden, damit sie zu einer zusätzlichen Verteidigungslinie in der Cybersicherheitsstrategie eines Unternehmens werden. IT-Teams müssen sich jedoch auch auf den guten Willen der Benutzer verlassen, um sie auf dem Weg zur Cybersicherheit zu ermutigen. Dieser Test durch den West Midlands Train Service könnte diesem guten Willen geschadet und einige Mitarbeiter desillusioniert haben.
Anstatt einen Bonus zu erwähnen, hätte der Zugdienst eine Änderung der Zahlung oder das Datum der Gehaltsabrechnung erwähnen können. Diese beiden Aussagen hätten bei den Mitarbeitern die gleiche instinktive Reaktion ausgelöst, ohne dass die Emotionen über die Enttäuschung eines nicht vorhandenen Bonus erhöht worden wären.
Wichtigkeit der Bildung
Ungeachtet des Anreizes hinter dem West Midlands-Phishing-Test unterstreicht die Tatsache, dass Mitarbeiter auf den Link geklickt haben, die Notwendigkeit für Unternehmen, diese Art von Tests überhaupt durchzuführen.
Cyberkriminelle schrecken vor nichts zurück, um Benutzer dazu zu bringen, auf einen Phishing-Link zu klicken, einen schädlichen Anhang herunterzuladen oder ihre Daten auf einer gefälschten Website einzugeben. Sie werden persönliche oder berufliche Informationen verwenden, um sie dazu zu verleiten.
Daher müssen Mitarbeiter kontinuierlich geschult werden, um diese Angriffe zu erkennen und zu vermeiden. Von nun an sollten Unternehmen, die solche Phishing-Tests einsetzen möchten, versuchen, weniger aufregende Themen zu verwenden, um ihre Benutzer dazu zu bringen, bösen Willen oder Gegenreaktionen ihrer Mitarbeiter und der Medien zu vermeiden.
WEITERLESEN:
- Der mit Spannung erwartete Crowdfund von Curve geht live
- ServiceNow liefert neue Sicherheitsintegrationen mit Microsoft
- Warum Kundengespräche für das Überleben von Marken in einer Welt nach COVID-19 von entscheidender Bedeutung sind
- Was können Unternehmen von der digitalen Transformation in Zeiten von COVID lernen?
Eine Möglichkeit, dies zu erreichen, ist die Implementierung von Trainingsprogrammen zum Sicherheitsbewusstsein, die reale Situationen, einschließlich Phishing-Simulationen, beinhalten – die weniger emotional sind. Dieses Schulungsmaterial wird Organisationen dabei helfen, wichtige Nachrichten zur Abwehr von Cyberbedrohungen zu stärken, und die Belegschaft darüber aufklären, wie sie sowohl das Unternehmen als auch sich selbst schützen kann.
Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!