Det er ikke overraskende at virksomheter vil lage så troverdige phishing-simuleringer som mulig. Når angrepene fra trusselaktører blir stadig mer sofistikerte, og det blir vanskeligere å oppdage dem, må vi som jobber med cybersikkerhet, gjøre det vi kan for ikke å komme i bakleksa.
Dessverre er det virksomheter som går over grensen og bruker andres varemerker uten samtykke. Det virker som mange tror det er i orden fordi det bare skjer i henhold til såkalt «fair use». Men dette er en regel som gjelder i USA, og ikke i Europa. I henhold til eksperter på varemerkerett er det i de fleste tilfeller et brudd på varemerkeretten både i EU og Norge.
Norsk teknologi: Fikser sårbar kode automatisk
En dobbeltfeil
Det finnes en rekke muligheter til å bygge gode phishing-simuleringer som øker og opprettholder bevisstheten og årvåkenheten. Derfor er det overraskende at denne trenden ser ut til å fortsette. Å ta snarveier for å skape troverdige simuleringer ved å bryte norsk lov, er en dobbeltfeil!
Egentlig er det hele ganske enkelt. I kontakt med nye og potensielle kunder får vi nesten alltid høre at det finnes andre leverandører av phishing-simuleringer som tilbyr og oppmuntrer til bruk av kjente varemerker og logoer. Vi påpeker da at dette kan stride mot gjeldende lovgivning. Dessuten spør vi gjerne hvordan kunden selv ville reagere hvis deres logo ble brukt i phishing-simuleringer. Da får vi som regel til svar at: «Nei, det ville ikke foretaksadvokatene våre likt!»
Se på mer enn klikkfrekvensen!
Så hva kan man gjøre for å skape troverdige phishing-simuleringer uten samtidig å bryte varemerkeloven? Hos Junglemap gir vi kundene anbefaling om først å begynne med phishing-simuleringer i det hele tatt, og så å gjøre det regelmessig – året rundt. Ingen vet når det kommer et phishing-angrep!
Det er også viktig å endre mellom ulike typer og målgrupper. Det er sjelden en god idé å sende «alt til alle». På samme måte må mange organisasjoner bli bedre på at måle og følge opp effekten – og ikke minst: Se på mer enn klikkfrekvensen! Å la være å klikke på en farlig lenke, er bedre enn å klikke på den. Men at de ansatte rapporterer e-posten, er enda bedre. Det er denne typen sikkerhetsoppførsel som skaper og styrker en bærekraftig sikkerhetskultur.
FBI: Slik tar hackere over e-postkontoen din – selv med flerfaktorautentisering
Unngå suksesshistorier
Det finnes mange aktører som selger phishing-simuleringer med overbevisende og skråsikre løfter om at virksomheten kommer til å ha en rolig og stabil fremdrift mot null klikk. Vår erfaring viser at cyberpsykologi er komplekst, og at gjennomtenkte simuleringsopplegg kan gi veldig varierende resultater – noe som i seg selv gir et godt utgangspunkt for fortsatt organisatorisk læring.
Sist, men ikke minst må phishing-simuleringer brukes som del av en helhet. Phishing-simuleringer får best effekt når de inngår i en overordnet opplæring for økt bevissthet om cybersikkerhet. Da er det også mulig å gi eksempler på hvordan kjente varemerker brukes i phishing – helt uten å bryte varemerkeloven.
Å bruke kjente varemerker uten samtykke i phishing-simuleringer, er en ulovlig snarvei. Det er noe vi selv ikke gjør, noe vi råder kundene våre fra å gjøre, og noe som ikke er nødvendig. Oppdaterte phishing-simuleringer som skal ha effekt mot stadig mer sofistikerte angrep, må baseres på noe helt annet enn ulovlig bruk av kjente logoer.
Ny phishing-trussel: Skadevare kan stjele «alt» på datamaskinen din
