Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
Det är inte konstigt att företag vill skapa så trovärdiga phishing-simuleringar som möjligt. I takt med att attackerna från hotaktörer blir allt mer sofistikerade, och svårare att upptäcka, måste vi som arbetar inom cybersäkerhet göra vad vi kan för att undvika att hamna på efterkälken.
Tyvärr finns det företag som går över gränsen och använder andras varumärken utan samtycke. Det verkar som att många tycker att det är okej eftersom det bara sker i enlighet med så kallad ”fair use”. Men detta är en regel som gäller i USA, och inte i Europa. Enligt experter på varumärkesrätt finns det i de flesta fall ett brott mot varumärkesrätten i både EU och Norge.
Det finns många sätt att bygga bra phishingsimuleringar som ökar och upprätthåller medvetenhet och vaksamhet. Därför är det förvånande att denna trend ser ut att fortsätta. Att ta genvägar för att skapa trovärdiga simuleringar genom att bryta mot svensk lagstiftning är ett helt enkelt både fel och onödigt.
Egentligen är det hela ganska enkelt. I kontakt med nya och potentiella kunder får vi nästan alltid höra att det finns andra leverantörer av phishingsimuleringar som erbjuder och uppmuntrar användningen av välkända varumärken och logotyper. Vi påpekar då att detta kan strida mot gällande lagstiftning. Vi brukar också fråga hur kunden själv skulle reagera om deras logotyp användes i nätfiske-simuleringar. Då brukar vi få svaret: ”Nej, det skulle inte våra företagsjurister gilla!”
Så vad kan man göra för att skapa trovärdiga phshingsimuleringar utan att samtidigt bryta varumärkeslagstiftningen? På Junglemap brukar vi börja med att rekommendera våra kunder att överhuvudtaget börja med phishing-simuleringar och att göra det regelbundet – året runt. Ingen vet när en nätfiskeattack kommer!
Det är också viktigt att anpassa simuleringarna till olika typer, situationer och målgrupper. Det är sällan en bra idé att skicka ”allt till alla”. På samma sätt behöver många organisationer bli bättre på att mäta och följa upp effekten – och inte minst:
Att se bortom klickfrekvensen!
Att inte klicka på en farlig länk är bättre än att klicka på den. Men att få de anställda att rapportera falska och potentiellt skadliga e-postmeddelanden är ännu viktigare. Det är denna typ av säkerhetsbeteende som skapar och stärker en hållbar säkerhetskultur.
Undvik förenklade framgångshistorier
Det finns många aktörer som säljer nätfiske-simuleringar med övertygande och självsäkra löften om att verksamheten ska ha en lugn och stabil utveckling mot noll klick. Vår erfarenhet visar att cyberpsykologi är komplext, och att genomtänkta simuleringsscheman kan ge mycket varierande resultat – vilket i sig ger en bra utgångspunkt för fortsatt organisatoriskt lärande.
Sist men inte minst måste phishing-simuleringar användas som en del av en helhet. De har bäst effekt när de ingår i en övergripande utbildning för ökad medvetenhet inom cybersäkerhet.
Att använda välkända varumärken utan samtycke i phishingsimuleringar är en olaglig genväg. Det är något vi på Junglemap inte gör, något vi avråder våra kunder från att göra, och något som inte är nödvändigt. För att vara effektiva mot allt mer sofistikerade attacker måste phishingsimuleringar baseras på något helt annat än illegal användning av välkända logotyper.