Một nghiên cứu mới từ UC San Diego Health chỉ ra rằng các khóa đào tạo an ninh mạng bắt buộc, vốn là một phần trong chiến lược phòng chống Phishing attack phổ biến tại nhiều tổ chức, có thể không đạt được hiệu quả như kỳ vọng. Trong bối cảnh các công ty và cơ quan chính phủ đẩy mạnh việc giáo dục nhân viên để nhận biết và tránh các hành vi lừa đảo trực tuyến, báo cáo cho thấy những chương trình này có tác động hạn chế trong việc giảm thiểu rủi ro từ các cuộc tấn công mạng.
Hiệu quả thực tế từ đào tạo bắt buộc vẫn còn gây tranh cãi
Trong suốt 8 tháng năm 2023, nhóm nghiên cứu đã thực hiện 10 chiến dịch mô phỏng Phishing attack nhằm vào gần 20.000 nhân viên tại hệ thống y tế bang California. Mục tiêu là đánh giá xem chương trình đào tạo hàng năm đang được triển khai rộng rãi có giúp nhân viên nhận diện và tránh được email độc hại hay không. Tuy nhiên, kết quả không như kỳ vọng: tỷ lệ thất bại không cho thấy sự khác biệt đáng kể, bất kể thời gian nhân viên hoàn thành khóa đào tạo gần nhất.
Theo ông Grant Ho, Phó Giáo sư tại Đại học Chicago và là đồng tác giả của nghiên cứu, điều này cho thấy “Đào tạo nhận thức an ninh mạng bắt buộc không mang lại kiến thức bảo mật hữu ích cho người dùng”.
Dữ liệu phân tích cho thấy những nhân viên từng tham gia đào tạo chỉ cải thiện nhẹ so với nhóm chưa học, với tỷ lệ thất bại giảm trung bình chỉ 1,7%. Đáng chú ý, tỷ lệ thất bại vẫn giữ nguyên ngay cả sau khi nhân viên vừa hoàn thành buổi học, cho thấy tác động của chương trình đào tạo tới hành vi thực tế là rất thấp.
Một phần lý do được chỉ ra là nội dung quá chung chung, không hấp dẫn và thường được trình bày qua các module trực tuyến đơn điệu. Trong hơn 75% phiên học, nhân viên chỉ dành chưa đầy một phút để tương tác với tài liệu. Thậm chí, 37% đến 51% nhân viên đóng trang học ngay lập tức. Theo ông Ho, nhiều người đơn giản chỉ mở module trong lúc đang kiểm tra email hoặc làm việc khác, dẫn đến việc bỏ qua nội dung.
Tương tác và nội dung phù hợp giúp cải thiện kết quả, nhưng vẫn chưa đủ
Để kiểm tra tính hiệu quả của các hình thức đào tạo khác nhau, nhóm nghiên cứu chia nhân viên thành nhiều nhóm sau mỗi chiến dịch mô phỏng. Một số nhóm được cung cấp mẹo bảo mật chung, số khác tham gia module hỏi – đáp tương tác, hoặc xem phân tích chi tiết về cuộc tấn công vừa gặp. Một nhóm kiểm soát không nhận được thêm đào tạo nào.
Kết quả cho thấy nhóm hoàn thành bài học tương tác có tỷ lệ mắc lỗi thấp hơn 19%. Tuy nhiên, vì tỷ lệ hoàn thành quá thấp nên tác động tích cực này không đủ để thay đổi bức tranh toàn cục. Ngoài ra, những người hoàn thành đào tạo thường có ý thức cao hơn ngay từ đầu, đặt ra nghi vấn rằng yếu tố cá nhân chứ không phải nội dung đào tạo mới là nguyên nhân chính.
Phishing vẫn là hình thức tấn công mạng phổ biến và gây thiệt hại nặng nề nhất hiện nay. Chỉ cần một nhân viên bấm vào liên kết hoặc tập tin giả mạo, toàn bộ hệ thống nội bộ có thể bị xâm nhập. Do đó, nghiên cứu này cảnh báo rằng chỉ dựa vào đào tạo nhận thức là chưa đủ để bảo vệ tổ chức.
Tác giả nghiên cứu khuyến nghị doanh nghiệp không nên bỏ qua đào tạo, nhưng cần đặt nó trong một chiến lược phòng thủ tổng thể hơn. Họ đề xuất sử dụng công cụ tự động nhằm nhận diện và chặn email đáng ngờ trước khi chúng đến tay người dùng, thay vì chỉ trông chờ vào khả năng nhận biết của con người.
“Đào tạo theo cách đang được triển khai hiện nay”, ông Ho nói, “không đủ để chống lại Phishing attack một cách hiệu quả.”
