BT güvenlik araştırmacıları tarafından yapılan yeni bir çalışmanın BT güvenlik endüstrisi için ayık bir sonucu vardır: şirketlerde ortak kimlik avı eğitim programlarının pratik kullanımı sefildir. Sekiz aylık bir süre boyunca, büyük bir ABD sağlık hizmeti sağlayıcısının 19.500'den fazla çalışanı, büyük ölçekli bir saha testinde farklı tasarlanmış on kimlik avı simülasyonu ile karşı karşıya kaldı. Sonuçlar, ne düzenli BT güvenlik eğitiminin tamamlanmasının ne de “bir eğitim teklifinin doğrudan takip ettiği” gömülü kimlik avı eğitimi “olarak adlandırılmadığını göstermektedir.
Neredeyse hiç iyileştirme, öğrenme teklifleri genellikle kabul edilmez
Araştırmacılara göre, testlerde eğitimli ve eğitimsiz insanlar arasındaki hata oranının mutlak farkı sadece yüzde 1,7 idi. Başka bir temel sorun, katılımcıların sadece küçük bir kısmının bir başarısızlıktan sonra eğitim materyalini gerçekten algılaması veya kapatmasıdır. Öğrenme teklifinin yarısından fazlası on saniye içinde sona erdi, dörtte birinden azı dersi sonuna kadar tamamladı. Çok mükemmel tasarlanmış posta yemi, yüzde 30'a kadar bir tıklama oranı elde etti. Tatil taleplerinde veya iç protokollerde yapılan değişiklikler özellikle başarılı oldu. Genel olarak, katılımcıların yüzde 56'sı eğitim durumundan bağımsız olarak çalışma sırasında bir kimlik avı bağlantısını tıkladı.
Bu nedenle daha fazla bilgi: BT güvenliği için olağan yıllık zorunlu eğitimin, kimlik avı saldırılarına yatkınlık üzerinde ölçülebilir bir etkisi yoktu. Bir eğitimin iade edilip edilip edilmediği ve ne kadar süre iade edildiğini, ne daha az başarısızlıkla ne de artan ilgi ile ilişkili değil. Eğitim türü, özellikle belirli kimlik avı e-postasına göre tasarlanmış sadece alt rollü etkileşimli eğitim formları da oynadı, yaklaşık yüzde 19'luk ılımlı bir risk azaltılmasına yol açtı. Bununla birlikte, düşük nihai oranlar nedeniyle genel etkiler marjinal kaldı.
Mevcut teklifler pahalıdır ve hiçbir şey getirmeyin
Toplamda, çalışmanın yazarlarına göre, mevcut formlarında klasik farkındalık kampanyalarının ve kimlik avı eğitiminin şirketlerdeki gerçek riski neredeyse hiç azaltmadığını göstermektedir. Böylece, multi -milyon dolarlık bir endüstri büyük bir güvenilirlik sorunuyla karşı karşıyadır. Sonuçlar siyah güvenlik konferansında, diğer şeylerin yanı sıra, 2025'te sunuldu ve önceki çalışmaların uzun vadeli bir eğilimini doğruladı: öğrenme motivasyonunda gerçek bir değişiklik veya eğitim tasarımında temel iyileştirmeler olmadan, insanlar bu tür siber saldırılar için en büyük geçit olarak kalıyor.
İlgilenen okuyucular çalışmayı yazar Ariana Mirian'ın web sitesinde bulabilirler. Onun ve Christian Dameff'in siyah üzerindeki sunumu da 2025 yılında halka açık.
(fo)
Bir yanıt yazın