Τα προγράμματα ευαισθητοποίησης σχετικά με την ασφάλεια και το ηλεκτρονικό ψάρεμα (phishing) ξεχνιούνται πολύ γρήγορα και οι υπάλληλοι πρέπει να επανεκπαιδεύονται μετά από περίπου έξι μήνες, αναφέρει ένα έγγραφο που παρουσιάστηκε στη διάσκεψη ασφαλείας USENIX SOUPS τον περασμένο μήνα.
Ο σκοπός του εγγράφου ήταν να αναλύσει την αποτελεσματικότητα της εκπαίδευσης των εργαζομένων για το ηλεκτρονικό ψάρεμα (phishing) σε βάθος χρόνου.
Εκμεταλλευόμενοι το γεγονός ότι οι οργανισμοί του γερμανικού τομέα δημόσιας διοίκησης πρέπει να περάσουν από υποχρεωτικά προγράμματα επιμόρφωσης σχετικά με το ηλεκτρονικό ψάρεμα (phishing), ακαδημαϊκοί από πολλά γερμανικά πανεπιστήμια πραγματοποίησαν έρευνα σε 409 από τους 2.200 υπαλλήλους της κρατικής υπηρεσίας γεωπληροφορικής και κρατικής έρευνας (SOGSS).
Οι ερευνητές δοκίμασαν την αποτελεσματικότητα της εκπαίδευσης του ηλεκτρονικού ψαρέματος (phishing) με την πάροδο του χρόνου, με περιοδικά τεστ σε τακτά χρονικά διαστήματα, για να προσδιορίσουν πότε οι υπάλληλοι του SOGSS θα χάσουν την ικανότητά τους να εντοπίζουν τα μηνύματα phishing.
Οι εργαζόμενοι χωρίστηκαν σε πολλαπλές ομάδες και δοκιμάστηκαν ανά τέσσερις, έξι, οκτώ, δέκα και δώδεκα μήνες, αντίστοιχα, από την στιγμή που εκπαιδεύτηκαν σε ένα πρόγραμμα κατάρτισης ηλεκτρονικού ψαρέματος (phishing).
Η ερευνητική ομάδα διαπίστωσε ότι ενώ οι συμμετέχοντες στην έρευνα μπόρεσαν να εντοπίσουν σωστά τα ηλεκτρονικά ταχυδρομεία ηλεκτρονικού ψαρέματος (phishing) ακόμη και μετά από τέσσερις μήνες μετά την αρχική εκπαίδευση, αυτό δεν συνέβαινε από τους έξι μήνες και μετά, προτείνοντας στις εταιρείες να επανεκπαιδεύσουν τους εργαζόμενους τους.
Οι ερευνητές δημιούργησαν επίσης τις δικές τους «υπενθυμίσεις» για να «αναπληρώσουν την ευαισθητοποίηση και τη γνώση του phishing των υπαλλήλων», τις οποίες χρησιμοποιούσαν για να εκπαιδεύσουν τους υπαλλήλους μετά την έρευνά τους – έξι και δώδεκα μήνες αργότερα.
“Αναπτύξαμε τέσσερα διαφορετικά προγράμματα”, ανέφεραν οι ακαδημαϊκοί. “Τέσσερα προγράμματα διανεμήθηκαν σε τέσσερις ομάδες (ένα ανά ομάδα): (α) κείμενο, (β) βίντεο, (γ) διαδραστικά παραδείγματα και (δ) ένα σύντομο κείμενο.
“Δώδεκα μήνες μετά το σεμινάριο, συγκρίναμε τη διατήρηση της γνώσης των τεσσάρων ομάδων. Μεταξύ των τεσσάρων διαφορετικών τεστ, το βίντεο και τα διαδραστικά παραδείγματα είχαν την καλύτερη απόδοση, με τον αντίκτυπό τους να διαρκεί τουλάχιστον έξι μήνες μετά την εκπαίδευση.”
Οι ακαδημαϊκοί κατέληξαν στο συμπέρασμα ότι, ενώ η εκπαίδευση των υπαλλήλων στην ανίχνευση ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” μπορεί να βοηθήσει τους οργανισμούς να αποτρέψουν κάποιες επιθέσεις, αυτή η εκπαίδευση πρέπει να είναι κυκλική, με επαναλαμβανόμενες συνεδρίες εκπαίδευσης, ιδανικά κάθε έξι μήνες και χρησιμοποιώντας διαδραστικά παραδείγματα ή βίντεο.
 ξεχνιούνται πολύ γρήγορα και οι υπάλληλοι πρέπει){kind=link}