Folksam

- Jag har tidigare gjort phishingsimuleringar både på Riksbanken och inom hälso- och sjukvården, och om jag jämför hur medarbetare i de bägge verksamheterna förhåller sig till saker som informationssäkerhet så är det väldigt stora skillnader. Det får såklart också effekt på resultaten i enskilda phishingsimuleringar.  

När effekterna av phishingsimulering skall utvärderas sker det ofta med ett ganska snävt fokus på klickfrekvenser och användarbeteenden. Men Rickard påminner om att en organisation får en möjlighet att testa mycket mer än beteenden hos medarbetarna.  
- Rätt utnyttjat får vi en möjlighet att testa hur våra olika supportfunktioner fungerar. Klarar vår SOC av detta? Hur rapporterar medarbetarna? Ringer dom, mejlar, eller använder dom helt andra kanaler? Den typen av indikatorer är också viktiga att fånga upp och få koll på.  

På Folksam genomförs löpande phishingsimuleringar riktade till olika delar i organisationen. Resultaten från fem olika simuleringar riktade till 4500 mottagare som genomfördes under första delen av 2025 gav resultat som är värda att titta närmare på för att bättre förstå vad som påverkar klickfrekvensen hos medarbetare.  Medan fyra av simuleringarna ledde till låg klickfrekvens i storleksordningen under 5 procent, ledde den femte simuleringen till betydligt högre klickfrekvens. Skillnaden beror sannolikt på vad phishingmejlet faktiskt handlade om.  
- Det mejlet handlade om att någon hade uppgett personen som referens för ett nytt jobb, berättar Rickard. Ett sådant innehåll triggar både nyfikenhet och viljan att hjälpa till – två väldigt mänskliga egenskaper som också spelar stor roll när vi pratar om social manipulation.  

Det här är ett av många exempel på att upprepade phishingsimuleringar inte automatiskt leder till ”linjära förbättringar”. I sina simuleringar varvar Rickard medvetet olika svårighetsgrader. Nyligen skickade han ut ett mejl från gymmet ”Sunda vätskor”, vilket väldigt få mottagare föll för. Men samtidigt en typ av mejl som blir en snackis på arbetsplatsen, även om det inte var svårt. Vilket leder resonemanget tillbaka till den övergripande frågan: vad är ett bra phishingresultat?  

Han vänder sig mot tanken med nån typ av 0-vision för antal klick i simuleringar. Det viktigaste menar han, är att få upp frågan om säkerhetsbeteenden på bordet, och att följa upp aktiviteten.  
- På Folksam har vi en ”snäll” approach. Vi skickar inte ut någon tvingande uppföljnings-lektion till exempel. Den som har klickat har förstått ändå. Budskapet har gått fram utan någon ytterligare lektion.  

En viktigare form av uppföljning är att chefer och ledare tar initiativ till diskussion och samtal om säkrare beteenden. Men i ett tidspressat arbetsliv är det en ständig utmaning. Det finns planer på att bland in chefer mer i arbetet med informationssäkerheten, men för många är varje minut en känslig fråga.  
- Det är en paradox och utmaning att de medarbetare som är minst tillgängliga och därför svårast att nå fram till, sannolikt också är den grupp som är mest sårbar när det gäller hot och attacker, konstaterar Rickard. Men om vi ska nå framgång måste vi ha organisationen med oss, och då gäller det att gå fram med ”mjuka strumpor på”.