Funkar inte phishingsimulering?

När den omfattande studien  Understanding the efficiacy of phishing training in practice från University of Chicago tidigare i höst slog fast att phishingsimulering “inte fungerar”, väckte det både frågor och oro – inte minst hos organisationer som satsar på utbildning och träning som syftar till att förändra säkerhetsbeteenden. På Junglemaps Learning Breakfast tog vi oss an frågan: stämmer det verkligen? Och kanske ännu viktigare: vad betyder det i så fall för hur vi arbetar?

December 2, 2025
Författare:
Per Lagerström
Director of Communication & Marketing
Reviewer:
Malin Cartagena Lindell
Digital Marketing Manager
Spread the word

Studien som genomfördes på 19 500 anställda inom hälso- och sjukvården i San Diego är gedigen och har tittat på flera olika kontrollgrupper för att reda ut om utbildning i cybersäkerhet har någon effekt på om folk klickar i så kallade phishingsimuleringar.  

Joakim Hejestad, ansvarig för affärsutveckling på Junglemap, inledde med att reda ut skillnaderna mellan det upplägg som studien tittat på, och den typ av phishingträning som Junglemap erbjuder sina kunder.

Tre saker sticker ut:

  1. Cybersäkerhetsutbildningen i San Diego genomfördes som ett årligt event, kopplat till en cybersäkerhetsvecka – inte som löpande, varierad träning.
  1. Samma typ av phishing upplägg upprepades, vilket forskarna själva menar ledde till att resultaten försämrades över tid.
  1. Utan uppföljning och reflektion uteblev lärandet helt.

I Junglemaps uppdaterade whitepaper har även lärdomar från San Diego-studien vävts in. Utifrån en jämförelse och analys av dessa lyfts följande huvudprinciper fram:

  • Phishingsimulering är värdefullt – men inte tillräckligt i sig självt.
  • Målet är inte en klickfrekvens nära noll, utan lärande och mätbar beteendeförändring.
  • Variation, relevans och uppföljning är avgörande.
  • Att få reflektera över frågor som“Varför klickade jag inte?” är lika viktigt som att inte klicka.

Folksams erfarenheter: kulturen påverkar beteendet

Rickard Faleij, ansvarig för informationssäkerhetsutbildning på Folksam, delade därefter sina reflektioner från praktiskt phishingträning i en stor organisation. Några tydliga mönster:

1. Kultur och kontext spelar enormt stor roll

Med egna erfarenheter från bank, myndigheter, sjukvård och försäkringsbranschen ser Rickard Faleij att olika typer av organisatione och olika organisationskultur och olika grader av mognad när det kommer till saker som informationssäkerhet. Reglering och sekretesskrav driver i sin tur beteenden.

2. Variation i phishingen ger tydliga utslag

Folksam har genomfört sju phishingsimuleringar hittills i år – med allt från paketaviseringar till HR-ärenden och nya policies. Resultaten varierar kraftigt:

  • Vissa utskick låg runt 1–2 % klickfrekvens.
  • En HR-relaterad “referensförfrågan” hade väsentligt fler klick och väckte stor internt eftertanke.

Det visar hur viktigt det är att inkludera olika typer av triggers – eftersom angripare gör just det.

3. Ingen linjär förbättring

Efter en topp i klickfrekvens sjönk resultaten snabbt igen. Phishingträning fungerar alltså mer som konditionsträning än certifieringsprov: man måste hålla igång, och resultaten svänger.

4. Anonymisering är centralt

Folksam genomför alla phishingtester anonymiserat och i nära samråd med fackliga organisationer – något som skapar trygghet och acceptans. Däremot behålls en del meta-data för att kunna jämföra mellan olika enheter.  

5. Ingen korrelation mellan utbildningsgrad och phishingsårbarhet

Intressant nog kunde Folksam inte se att de som hoppar över Nano-learning är mer sårbara i phishing – eller tvärtom. Det pekar mot att andra faktorer, som stress och roll, kan ha en större påverkan.

Så, fungerar phishingsimulering?

Ja – men bara om det görs som en del av ett sammanhållet, varierat och utbildningsprogram.Det som inte fungerar är:

  • årliga engångs insatser
  • upprepat innehåll
  • avsaknad av feedback
  • “check-the-box”-tänkande

När träningen däremot är strategisk och kontinuerlig – då får den effekt. Och den hjälper organisationer upptäcka mönster som annars hade gått under radarn, som Folksams exempel med 19-procents klick visar.

Slutsats

Mediarubriker kan låta som att phishingsimulering är passé – men verkligheten är mer nyanserad. Det är inte metoden som är problemet, utan hur man använder den. Under Learning Breakfast blev det tydligt att:

  • modern phishingsimulering fungerar,
  • kulturen påverkar mer än vi tror,
  • variation är absolut nödvändigt, och
  • lärande ska alltid vara målet.

Det är först när vi kombinerar simulering, beteendeinsikt och utbildning som vi bygger de säkerhetskulturer som faktiskt står emot dagens angrepp.

Fler inlägg du kanske är intresserad av

November 18, 2022
Information Security

STAR-beteende: Minska impulsiva misstag

Impulsiva reaktioner kan leda fel. Med STAR-metoden kan vi pausa, reflektera och agera mer genomtänkt – även i pressade situationer.
Läs mer
November 12, 2025
NanoLearning

Så gör vi säkerhet till en del av jobbvardagen

Cyberhoten ökar – därför måste säkerhet bli en del av vardagen. Junglemap visar hur kontinuerligt lärande och korta nano-lektioner stärker säkerhetskulturen på riktigt.
Läs mer
November 11, 2025
Information Security

Black Friday: Bedrägeriförsöken ökar – så undviker du att bli lurad

Black Friday och Cyber Monday lockar inte bara shoppare sugna på att fynda – utan också bedragare. En global rapport från säkerhetsföretaget SEON visar att bedrägerierna ökade med över 400 procent på Black Friday 2024.
Läs mer
Se alla