【定時定候】釣魚電郵辨識訓練 宜每半年重新進行
一場疫症,令工作模式、生態來個大變身,很多常規的訓練或技術都因時改變;而網絡安全相關的訓練,也需重新啟動接軌,以增強效率。有研究指出,針對釣魚郵件的應對訓練減少,辨識能力會隨時間下降,一個不留神就大件事。USENIX SOUPS上個月舉行的安全會議上,建議讓員工在釣魚行為的安全意識方面的訓練,每半年一次。
由於德國公共行政部門下的組織機構員工,需要進行強制性網絡釣魚意識培訓,當地多間大學因利成便,向409名隸屬國家地理信息及狀況部門 (State Office for Geoinformation and State Survey, SOGSS) 人員進行研究,以了解他們的訓練成效,以及他們的辨識能力會否隨時間而下降。這班受訪人員分成5個組別,並按他們接受釣魚意識訓練後4個月、6個月、8個月、10個月及12個月作測試。
研究人員發現接受測試的員工中,在接受訓練課程4個月後,仍能準確辨別釣魚電郵,但在接受訓練課程6個月或以上的群組,就需要重新再接受訓練。與此同時,研究小組亦設置四種形式「補習班」,包括文本、影片、互動例子、短文,為這班受訪者在受訓後6個月後及12個月後,補充防釣魚知識。四種補習班的內容中,以影片及互動例子效果最顯著,影響力能維持至少6個月。
學者總結出持續讓員工接受釣魚辨識訓練,能有效地協助其所屬部門阻擋部分攻擊,只要定期每6個月進行重複的訓練,並交替以不同的方式如影片及互動例子等,便能持之有效。