Phishing inom organisationer : En studie om hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas / Phishing within organizations : A study on how defenses against phishing linked to human factors can be strengthened

Grönlund, Nicole

January 2020

Med hjälp av informationsteknologi (IT) kan företag hålla sig konkurrenskraftiga, samtidigt som det öppnar upp för säkerhetshot som informationsstöld. Phishing är ett exempel på säkerhetshot, vilket innefattar att angripare tillämpar digitala enheter för att konstruera manipulativa meddelanden i syftet att få tillgång till konfidentiell information genom individer (Xiong, Proctor, Yang & Lin, 2019). Många företag investerar i teknologiska lösningar för att skydda mot säkerhetshot, varpå mänskliga faktorer ofta ignoreras (Ghafir et al., 2018). Denna studie har därmed undersökt hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas, det vill säga säkerhetsmedvetenhet, säkerhetsutbildningar, säkerhetspolicies, informationssäkerhetskultur, ledning samt säkerhetsbeteende. Med hjälp av kvalitativa metodansatser har respondenter från ett samarbetsföretag intervjuats, för att besvara hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas genom två delfrågor: ”Vilka brister finns avseende skydd mot phishing kopplat till mänskliga faktorer inom organisationer”? samt ”Vilka åtgärder kan organisationer ta för att förbereda anställda mot phishing-angrepp”?Studiens resultat visar att det kan förekomma brister avseende skydd mot phishing kopplat till mänskliga faktorer som ökar risken med att anställda faller för phishing-angrepp, exempelvis att det saknas information i säkerhetsutbildningar för att förbereda anställda mot phishing-angrepp, att anställda inte tar del av säkerhetspolicyn kontinuerligt, avsaknad av uppföljningsutbildningar samt att kunskap från säkerhetsutbildningar och säkerhetspolicyn glömts bort vilket öppnar upp för riskfyllda säkerhetsbeteenden. Åtgärder mot brister som identifierats i studien innefattar bland annat att anställda bör få genomgå specifik säkerhetsutbildning om phishing som exemplifierar olika typer av phishing-angrepp, en ökad kunskapsdelning bland ledning och anställda i form av att anställda rapporterar in phishing-mejl som ledningen kan informera övriga anställda om, belysa allvaret med phishing genom information om konsekvenser vilket kan leda till en attitydförändring avseende säkerhet, regelbundna uppföljningsutbildningar samt motivering och övervakning att anställda tar del och efterföljer säkerhetspolicies.

Phishing inom organisationer

Social engineering

Säkerhetsutbildning

Säkerhetspolicies

Informationssäkerhetskultur

Säkerhetsmedvetenhet

Ledning

Säkerhetsbeteende

Media and Communication Technology

Medieteknik