Onderzoek twijfelt aan effectiviteit phishingtrainingen voor werknemers
Veelgebruikte cyberbeveiligingstrainingen, zoals jaarlijkse cursussen en ingebouwde anti-phishing oefeningen, bieden in de praktijk beperkte waarde en zijn onwaarschijnlijk effectief in het significant verminderen van phishingrisico’s. Dat blijkt uit een grootschalig, gerandomiseerd onderzoek onder meer dan 19.500 werknemers van een grote zorginstelling, UC San Diego Health.
Het 8 maanden durende experiment, uitgevoerd door onderzoekers van onder meer de Universiteit van Californië San Diego, concludeert dat de effecten van dergelijke trainingen minimaal zijn.
Geen verband met jaarlijkse trainingen: Er is geen significant verband gevonden tussen de recentheid van het voltooien van een jaarlijkse cyberbeveiligingstraining en de kans van een werknemer om op een phishinglink te klikken.
Beperkt voordeel ingebedde trainingen: Hoewel ingebedde trainingen – die werknemers ontvangen direct nadat ze in een gesimuleerde phishing-aanval zijn getrapt – een statistisch significante vermindering van het faalpercentage lieten zien, was dit absolute verschil extreem laag: slechts 2%.
Gebrek aan betrokkenheid
Volgens de onderzoekers is het beperkte effect deels te wijten aan een gebrek aan betrokkenheid bij de trainingsmaterialen. Uit de data blijkt dat de meeste gebruikers minimale tijd besteden aan de training: meer dan de helft van de trainingssessies eindigt binnen 10 seconden en minder dan 24% van de werknemers voltooit de materialen formeel.
Bovendien bleek de effectiviteit van de trainingen sterk af te hangen van de opzet:
Statische trainingen: Trainingen bestaande uit statische webpagina’s, zoals een informatiepagina, hadden een negatief effect. Werknemers die meerdere van dit soort trainingen hadden voltooid, bleken een grotere kans te hebben om te falen bij volgende phishing-simulaties.
Interactieve trainingen: De kleine groep gebruikers die een interactieve training wél volledig afrondde, verminderde hun kans om opnieuw te falen met 19%. Dit benadrukt dat de inhoud en leveringsmethode van de training bepalend zijn voor het leerresultaat.
Variabele effectiviteit van phishing-aanvallen
De resultaten suggereren dat de kracht van een phishing-aanval een veel grotere factor is dan training.
Verder lezen bij de bronNieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Nieuwe Nederlandse provider neemt telefoongesprekken op met AI | Verder lezen | |
Inloggen is het nieuwe hacken: Cybersecurity in een tijdperk van versnelling | Verder lezen | |
Techbedrijven deelden namen Nederlandse ambtenaren met VS: ‘Ontzettend zorgelijk’ | Verder lezen | |
Ciso’s en NCSC slaan alarm: patchgolf en cyberchaos dreigen deze zomer | Verder lezen | |
Mag een werkgever je WhatsApp lezen? Dit zijn de regels | Verder lezen | |
Aanname wordt feit: cyberaanvallen veranderen door AI | Verder lezen | |
TU Delft beëindigt veiligheidsafspraak met politie | Verder lezen | |
De technologische trends die 2026 bepalen: waar bedrijven op moeten letten. | Verder lezen | |
Stichting The Privacy Collective daagt techbedrijf AppLovin voor de rechter om illegaal volgen van miljoenen Nederlanders | Verder lezen | |
Regering investeert in cybersecurity en maritieme dronecapaciteit | Verder lezen |