«Σχεδόν άχρηστη» η εκπαίδευση κατά του phishing, δείχνει μεγάλη μελέτη

Σε παρουσίαση σε συνέδριο Black Hat, δύο ερευνητές παρουσίασαν επιστημονική μελέτη μεγάλης κλίμακας που αμφισβητεί ευθέως την αξία της τυπικής «εκπαίδευσης ευαισθητοποίησης» για το phishing: σε δείγμα άνω των 19.000 εργαζομένων από το σύστημα υγείας του Πανεπιστημίου της Καλιφόρνια στο Σαν Ντιέγκο (UCSD Health), με μηνιαίες ψευδο-εκστρατείες phishing για 8 μήνες και τέσσερις διαφορετικές προσεγγίσεις εκπαίδευσης, η μέση βελτίωση στο ποσοστό όσων «πατάνε το δόλωμα» ήταν μόλις 1,7% έναντι της ομάδας ελέγχου. Οι ερευνητές Ariana Mirian (Censys/UCSD) και Christian Dameff (UCSD Center for Healthcare Cybersecurity) χαρακτήρισαν τα ευρήματα «ασθενικά», θέτοντας το ερώτημα αν ο τρέχων τρόπος εκπαίδευσης αξίζει τον κόπο.slashdot

Πώς έγινε η μελέτη

Οι 19.000+ συμμετέχοντες χωρίστηκαν τυχαία σε πέντε ομάδες: τέσσερις έβλεπαν διαφορετικό υλικό/χειρισμό μετά από αποτυχία σε προσομοιωμένο phishing και μία ομάδα-έλεγχος δεν λάμβανε εκπαίδευση· όλοι λάμβαναν ένα τεστ phishing τον μήνα στην εργασιακή τους αλληλογραφία. Στο τέλος των 8 μηνών, οι διαφορές ανάμεσα στις εκπαιδευμένες ομάδες και την ομάδα ελέγχου ήταν οριακές, επιβεβαιώνοντας ότι οι συνήθεις πρακτικές εκπαίδευσης έχουν ελάχιστη επίδραση στη συμπεριφορά. Χαρακτηριστικά, «δέλεαρ» για αλλαγή πολιτικής αδειών ή dress code πέτυχε click-rate γύρω στο 30%, ενώ συνολικά πάνω από τους μισούς εργαζομένους έπεσαν θύμα έστω μία φορά μέσα στο διάστημα της έρευνας.

Γιατί δεν αποδίδει η τρέχουσα εκπαίδευση

Τα αποτελέσματα συνάδουν με ευρύτερες αναλύσεις που δείχνουν πως η γνώση δεν μεταφράζεται εύκολα σε σταθερή συμπεριφορική αλλαγή: η πίεση χρόνου, η ρουτίνα στο email και ο μιμητισμός «νόμιμων» εταιρικών μηνυμάτων ενισχύουν τα αυτόματα αντανακλαστικά του χρήστη, ξεπερνώντας τη μνήμη κανόνων ασφαλείας. Αυτή η απόσταση μεταξύ κατανόησης και πράξης εξηγεί γιατί οι βραχυπρόθεσμες βελτιώσεις εξανεμίζονται και γιατί οι μετρήσεις «μετά από σεμινάριο» συχνά υπερεκτιμούν την πραγματική ανθεκτικότητα. Η εικόνα αυτή συγκρούεται με τις αισιόδοξες αξιώσεις αποτελεσματικότητας που προβάλλονται στην αγορά εκπαίδευσης, αλλά υποστηρίζεται από τα ευρήματα της UCSD και συναφείς αναλύσεις.

Τι προτείνουν οι ειδικοί

Το μήνυμα δεν είναι ότι η εκπαίδευση πρέπει να καταργηθεί, αλλά ότι ο σχεδιασμός άμυνας δεν μπορεί να στηρίζεται πρωτίστως στην ανθρώπινη εγρήγορση. Οι ειδικοί τονίζουν την ανάγκη για τεχνικούς ελέγχους πρώτης γραμμής (ισχυρό φιλτράρισμα email, DMARC/DKIM/SPF, απομόνωση συνδέσμων/συνημμένων), αρχιτεκτονική «περιορισμένου εύρους ζημιάς» (segmentation), και μηχανισμούς που υποθέτουν ανθρώπινο λάθος αντί για τέλεια προσοχή. Με άλλα λόγια, επενδύσεις σε αυτόματα εμπόδια και διαδικασίες ανάκτησης μειώνουν τον κίνδυνο πιο αξιόπιστα από την εντατικοποίηση σεμιναρίων.

Το ευρύτερο πλαίσιο

Η δημοσίευση από το SC World αναδεικνύει ένα δυσάρεστο αλλά κρίσιμο συμπέρασμα: όσο εξελίσσονται οι τεχνικές εξαπάτησης, η «εκπαίδευση όπως την ξέρουμε» δεν αλλάζει επαρκώς τα αποτελέσματα. Το να ζητείται από τους εργαζομένους να εντοπίζουν τέλεια κάθε απόπειρα, όταν οι επιθέσεις μιμούνται εταιρικές πολιτικές ή καυτά εσωτερικά θέματα, είναι σαν να περιμένουμε από κάποιον να ξεχωρίζει πάντα ένα εξαιρετικά καλοφτιαγμένο αντίγραφο από το πρωτότυπο με μια γρήγορη ματιά. Η άμυνα οφείλει να φέρνει το «τεχνικό δίχτυ ασφαλείας» πιο κοντά στον χρήστη, πριν γίνει το μοιραίο κλικ.

Κατακλείδα

Για οργανισμούς και ομάδες IT, το μήνυμα είναι καθαρό: μεταφέρετε πόρους από την υπερεκπαίδευση σε τεχνικά μέτρα που «χτίζουν κιγκλιδώματα» γύρω από τον χρήστη και σχεδιάστε διαδικασίες που αντέχουν το αναπόφευκτο ανθρώπινο λάθος· αυτό αποδίδει πολύ περισσότερο από ένα ακόμη κουίζ ευαισθητοποίησης.