Smettila di fare simulazioni di Phishing! Sul serio?

Qualche giorno fa ho trovato un articolo che raccoglieva in un unico testo gli argomenti più comuni contro le simulazioni di Phishing.

Parafrasando, diceva più o meno così:

“Le simulazioni di Phishing non servono a sensibilizzare gli utenti e riescono solo nel compito di metterli contro l’Area Sicurezza, poiché si sentono ingannati. Per questo motivo, gli utenti aggirano le misure che prendiamo e non segnalano gli incidenti. Inoltre, per quanto io faccia Simulazioni di Phishing, non raggiungo mai una metrica di zero clic, e gli utenti sicuramente passano 1 secondo nei momenti educativi. Meglio investire tempo nella configurazione di strumenti tecnologici. In fin dei conti, con essi si può anche calcolare il ritorno sull’investimento.”

Uno per uno, distruzione degli argomenti contro le Simulazioni di Phishing

Propongo di sviscerare insieme ciascuno degli argomenti e di verificare perché non sono validi, argomentando in modo oggettivo ogni punto.

Argomento: Le Simulazioni di Phishing non servono a sensibilizzare gli utenti.

Le Simulazioni di Phishing hanno diversi scopi, tutti complementari tra loro:

• Stabilire una linea di base del livello di rischio della nostra organizzazione di fronte a un attacco di Phishing
• Misurare in modo oggettivo i progressi del nostro piano continuo di awareness
• Mantenere attenti i nostri utenti e mettere in pratica i meccanismi di segnalazione degli incidenti
• Sensibilizzare i nostri utenti

Per raggiungere quest’ultimo obiettivo, vengono utilizzate le Simulazioni di Phishing in combinazione con Momenti Educativi. Questo strumento non solo rende le simulazioni un modo per sensibilizzare, ma ci permette anche di fermarci a riflettere nel miglior momento possibile, quando la probabilità di apprendimento e assimilazione di un contenuto da parte degli utenti è più alta.

Argomento: Le Simulazioni di Phishing mettono solo gli utenti contro l’Area Sicurezza. Per questo motivo, gli utenti aggirano le misure che prendiamo e non segnalano gli incidenti.

E chiaro. Se lanciamo solo Simulazioni di Phishing senza fornire alcun tipo di feedback ai nostri utenti, o se diamos un feedback negativo evidenziando ciò che l’utente ha fatto male, quello che meno genereremo sarà una buona immagine dell’Area Sicurezza. Ciò contribuirà a una risposta sempre più povera alle misure dell’area. Cerchiamo di avere un po’ di buon senso! 😉.

Questo è forse colpa delle Simulazioni di Phishing? No, è colpa del fatto che non sappiamo usarle. Sicuramente l’immagine dell’area non dipende solo dalle simulazioni, vero? Di fatto, è grazie agli strumenti di sensibilizzazione che questa immagine può essere migliorata, e tale miglioramento può essere misurato in modo oggettivo.

Argomento: Inoltre, per quanto io faccia Simulazioni di Phishing, non raggiungo mai una metrica di zero clic.

Credi ancora nella sicurezza al 100%?

Innanzitutto, la metrica di zero clic non dovrebbe nemmeno esistere tra gli obiettivi del nostro piano di sensibilizzazione.

Se è così, allora non abbiamo chiaro perché simulare, oppure, sarà che scegliamo di chiudere gli occhi di fronte alla realtà. E forse abbiamo desideri o aspettative che nemmeno Babbo Natale può soddisfare:

• Che le campagne di Simulazione di Phishing durino settimane
• Che le e-mail di Phishing vengano ricevute correttamente nell’inbox di tutti gli utenti
• Che tutti gli utenti possibili cadano nelle trappole simulate

Argomento: Gli utenti passano sicuramente 1 secondo nei momenti educativi.

È sempre facile supporre e parlare senza sapere. Molte volte, coloro che fanno queste affermazioni non hanno mai effettuato una misurazione e si basano solo sul loro “infallibile” olfatto.

Fortunatamente per loro, ci sono strumenti che presentano agli utenti Momenti Educativi con domande di convalida della lettura, che invece di misurare quanto tempo passa l’utente a guardare un contenuto, misurano ciò che conta davvero: se l’utente ha capito il messaggio.

Argomento: Meglio investire tempo nella configurazione di strumenti tecnologici. In fin dei conti, con essi si può anche calcolare il ritorno sull’investimento.

Pensiero comune di chi crede nella sicurezza al 100%: si affida solo a strumenti tecnologici e diffida dell’utente.

L’argomento si sgretola leggendo qualsiasi rapporto sulla cybersicurezza dell’ultimo decennio. In tutti, il Phishing è menzionato come la porta d’ingresso di oltre il 90% dei cyberattacchi. Se gli strumenti tecnologici fornissero davvero il livello di sicurezza che alcuni credono che forniscono, la statistica sarebbe diversa.

Inoltre, nel 2021, dovremmo avere chiaro che la sicurezza deve essere implementata a livelli e che dipendere solo da uno di essi oggi è da irresponsabili.

Infine, il livello umano è essenziale di fronte agli attacchi di ingegneria sociale, che spesso si verificano al di fuori del perimetro della nostra organizzazione, sui dispositivi personali dei nostri utenti, e in modi molto creativi.

Il ritorno sull’investimento, d’altro canto, può essere misurato in modo oggettivo ed espresso in rapporti chiari con indicatori gestionali, supportati da registri di controllo inalterabili.

Riflessioni finali

A volte, si possono trovare argomenti contro le Simulazioni di Phishing che classificano tale strumento come la causa di diversi mali a cui deve far fronte l’Area Sicurezza. I fatti dimostrano che questi mali, in realtà, sono il prodotto di atteggiamenti e comportamenti interni all’area e di una mancata conoscenza dell’uso corretto degli strumenti di simulazione.

Questo non lo dice solo SMARTFENSE. Il post di LinkedIn all’origine di questo post, ha decine di commenti di responsabili della sicurezza esperti, che indicano chiaramente all’autore che il suo approccio è ben lungi dall’essere corretto.