Technologie

Szkolenia phishingowe tracą blask: dlaczego skuteczność jest niższa, niż obiecuje rynek

Największe dotąd badanie skuteczności szkoleń phishingowych pokazuje, że efekty edukacji pracowników są znacznie mniejsze, niż obiecuje rynek. Firmy, które traktują szkolenia jako główny filar ochrony, mogą zyskiwać złudne poczucie bezpieczeństwa zamiast realnej odporności na ataki.

Izabela Myszkowska
6 Min
phishing, cyberbezpieczeństwo
źródło: Pixabay

Od lat w świecie cyberbezpieczeństwa powtarza się jeden refren: edukacja pracowników to klucz do walki z phishingiem. Firmy inwestują w szkolenia online, symulowane kampanie i testy, wierząc, że w ten sposób znacząco ograniczą ryzyko. Najnowsze badanie przeprowadzone na szeroką skalę przez naukowców z Uniwersytetu Kalifornijskiego w San Diego pokazuje jednak, że ta wiara może być mocno na wyrost.

Wnioski z eksperymentu obejmującego ponad 19 tysięcy uczestników wskazują, że skuteczność programów szkoleniowych jest znacznie niższa, niż obiecuje rynek. To nie oznacza, że szkolenia nie mają sensu – ale raczej, że powinny być traktowane jako element uzupełniający, a nie główny filar strategii bezpieczeństwa.

Badanie, które zmienia narrację

Zespół badaczy UC San Diego przeprowadził ośmiomiesięczne badanie w sektorze ochrony zdrowia, angażując pracowników w różne typy szkoleń. Scenariusze obejmowały proste komunikaty o błędach, statyczne informacje edukacyjne oraz bardziej rozbudowane, interaktywne moduły kontekstowe.

Rezultat był zaskakująco skromny. Niezależnie od wybranej metody, średnia poprawa skuteczności w rozpoznawaniu phishingu w stosunku do grupy kontrolnej wyniosła zaledwie 1,7%. W praktyce oznacza to, że tradycyjne programy nie generują wyraźnej różnicy w zachowaniach użytkowników – przynajmniej nie na poziomie, jakiego oczekują firmy inwestujące w edukację.

Mit „cudownego szkolenia”

Przez ostatnią dekadę rynek szkoleń z zakresu bezpieczeństwa konsekwentnie rósł, karmiąc się przekonaniem, że odpowiednie moduły e-learningowe mogą znacząco zredukować ryzyko ataków phishingowych. Liczne firmy oferowały programy, które miały „zmieniać nawyki” pracowników i radykalnie obniżać liczbę incydentów.

Tymczasem wyniki badania pokazują, że narracja o „cudownym szkoleniu” nie ma mocnego potwierdzenia w danych. Efekty istnieją, ale są dużo mniejsze, niż się spodziewano. Problem w tym, że wiele organizacji traktuje szkolenia jako główne, a czasem jedyne narzędzie ochrony, co tworzy złudne poczucie bezpieczeństwa.

Phishing jako sztuka socjotechniki

Jednym z najciekawszych odkryć badania był fakt, że skuteczność phishingu zależy bardziej od treści przynęty niż od tego, jakie szkolenie przeszli pracownicy.

Podczas gdy niewielki odsetek uczestników nabrał się na fałszywe maile związane z kontami Outlook, aż około 30% kliknęło w wiadomości dotyczące polityki urlopowej czy dress code’u. To pokazuje, jak silnie atakujący wykorzystują kontekst organizacyjny i jak trudno szkoleniami przygotować pracowników na każdą możliwą manipulację.

Wnioski są proste: atakujący szybko adaptują swoje metody, wybierając tematy, które są najbliższe codziennym problemom pracowników. Szkolenia, oparte zwykle na powtarzalnych scenariuszach, nie nadążają za tą dynamiką.

Dlaczego szkolenia zawodzą w praktyce

Drugim powodem niskiej skuteczności programów jest zachowanie samych użytkowników. Badanie wykazało, że wielu uczestników po prostu ignorowało materiały edukacyjne lub przechodziło je tak szybko, że nie mieli realnej szansy na przyswojenie treści.

To nie tylko problem braku motywacji. W praktyce szkolenia online bywają traktowane jako biurokratyczny obowiązek, który należy „odhaczyć”, a nie jako wartościowe źródło wiedzy. Do tego dochodzi często mało angażująca forma – nudne testy i powtarzalne moduły, które nie budują żadnych trwałych nawyków.

Nowa rola szkoleń

Czy zatem szkolenia phishingowe można uznać za bezużyteczne? Absolutnie nie. Badacze podkreślają, że ich rola nadal jest istotna – tyle że należy realistycznie oceniać efekty i stawiać im mierzalne cele.

Zamiast wierzyć w radykalną poprawę, firmy powinny oczekiwać stopniowych zmian: zmniejszenia liczby kliknięć w niebezpieczne linki, poprawy szybkości zgłaszania podejrzanych wiadomości czy większej świadomości przy otwieraniu załączników. W tym kontekście szkolenia mogą działać jako uzupełnienie innych narzędzi, a nie jako cudowny lek na phishing.

Jednocześnie organizacje powinny być bardziej wymagające wobec dostawców programów edukacyjnych, żądając dowodów skuteczności popartych badaniami, a nie jedynie marketingowymi obietnicami.

Multipoziomowa obrona

Wnioski płynące z badania wpisują się w szerszy trend w cyberbezpieczeństwie: skuteczna obrona wymaga podejścia wielopoziomowego.

Oprócz szkoleń potrzebne są rozwiązania techniczne – od filtrów antyphishingowych i narzędzi do detekcji anomalii, po systemy automatyzujące reakcję na incydenty. Ważne są też regularne aktualizacje systemów oraz budowanie kultury organizacyjnej, w której błędy nie są powodem do kar, lecz okazją do nauki.

To ostatnie może być szczególnie istotne. Badanie pokazało, że w ciągu ośmiu miesięcy połowa uczestników dała się nabrać na co najmniej jeden atak. Kara za taki błąd nie poprawi sytuacji – ale analiza incydentu i konstruktywne wnioski mogą znacząco podnieść poziom świadomości.

Mniej iluzji, więcej odporności

Rynek szkoleń phishingowych przez lata żył obietnicą, że wystarczy odpowiednia dawka edukacji, by zamknąć drogę atakom socjotechnicznym. Dane z największego dotąd badania pokazują, że rzeczywistość jest bardziej złożona.

Firmy nie powinny rezygnować ze szkoleń, ale muszą przestać traktować je jako złoty środek. Realistyczne oczekiwania, połączone z technologią i kulturą organizacyjną, dają dużo większą szansę na zbudowanie odporności niż wiara w cudowne programy e-learningowe.

 

 

 

TEMATY:
Udostępnij

Biuletyn

Dołącz do najlepszego biuletynu w branży ICT!

Subskrybując Biuletyn Brandsit akceptujesz naszą politykę prywatności.

Zobacz również

jednorozec
OpenAI

AI buduje nową elitę startupów. Ośmiu liderów wartych ponad 500 mld USD

Ekosystem startupów technologicznych przechodzi gruntowną transformację. Nowym wyznacznikiem wartości nie jest już wyłącznie…

IBM
IBM

Stagnacja w sercu IBM. Gigant ukrywa poważny problem

IBM od lat konsekwentnie repozycjonuje się jako firma „AI-first”, budując narrację wokół integracji…

partnerstwo, partnership
Mistral AI

NTT Data i Mistral łączą siły, celując w europejską suwerenność AI

Japoński gigant IT, NTT Data, ogłosił strategiczne partnerstwo z Mistral AI, francuską gwiazdą…

Praca
Praca

Kto zatrzyma rotację? O tym, dlaczego ludzie odchodzą z firm, które rosną

Młoda, utalentowana inżynierka oprogramowania dołącza do obiecującego polskiego fintechu. Firma zdobywa kolejne rundy…

Tracelight
Microsoft

Polsko-brytyjski Tracelight integruje AI z Excelem. Na rozwój ma 3,6 mln USD od globalnych graczy

Polsko-brytyjski startup Tracelight pozyskał 14 mln zł (3,6 mln USD) w rundzie seed…

Lip-Bu Tan, Intel
Chiny

Presja z Waszyngtonu wstrząsnęła Intelem. Jak szef firmy odpowiedział na zarzuty o związki z Chinami

W ostatnich dniach w centrum uwagi znalazł się Lip-Bu Tan, jedna z kluczowych…

Microsoft
Inwestycje

30 miliardów dolarów w 3 miesiące. Microsoft idzie na całość w walce o AI

Microsoft zasygnalizował, że jest gotów wydać bezprecedensowe kwoty, aby zdominować erę sztucznej inteligencji.…

Sztuczna inteligencja, AI
CIO

AI po fazie zachwytu – jak CIO mogą zamienić eksperymenty w realny zwrot z inwestycji

W 2025 roku sztuczna inteligencja wciąż jest jednym z głównych motorów strategii transformacji…