Действующие во многих отраслях США стандарты подготовки предполагают, что сотрудники должны регулярно проходить обучение по целому ряду вопросов, связанных с информационной безопасностью. По умолчанию считается, что такая подготовка помогает снизить риски утечек информации или заражения сетей предприятий, ведь сотрудники, прошедшие курс по повышению своих навыков в части распознавания фишинговых рассылок, с меньшей вероятностью будут попадаться на удочку злоумышленника.

Исследование на примере почти 20 000 сотрудников в медицинском центре Университета Калифорнии в Сан Диего (UC San Diego Health) показало, что проводимые программы подготовки персонала, направленные на противодействие фишингу, показывают околонулевую эффективность, о чём сообщается по итогам анализа результатов исследования.

Само исследование было проведено еще в 2023 году и включало симуляцию 10 фишинговых атак, нацеленных на персонал системы здравоохранения Калифорнии. Целью исследования было определить, насколько эффективны применяемые в отрасли меры по подготовке персонала. Ожидалось, что проведение регулярных курсов по выявлению фишинговых рассылок приведёт к постепенному снижению эффективности подобных атак и, как результат, снижению ущерба от утечек данных или заражений компьютерных систем в случае рассылки вредоносного контента.

Однако, вместо ожидаемого заметного снижения эффективности фишинговых атак, результаты исследования показали снижение всего на 1,7%, что довольно трудно назвать хорошим результатом. Сотрудники, которые должны были пройти специальный курс, показывали лишь незначительно возросшую устойчивость к фишинговым рассылкам, как поясняет один из авторов анализа Грант Хо (Grant Ho).

Поиск возможных проблем привел к интересному выводу: во время работы с материалами учебного курса в среднем, сотрудники практически сразу закрывали материал, что полностью исключает не только полноценное усвоение прочитанного, но не предполагает даже поверхностного ознакомления с текстом. Среднее время взаимодействия с учебным материалом не превысило 1 минуты, а в ряде случаев (от 37 до 51 процента, согласно опубликованным показателям) персонал вообще сразу же закрывал учебный материал, даже не пытаясь вникнуть в его содержание.

Предположительно, отправка ссылок на материалы учебного курса через e-mail могла приводить к тому, что ссылки на эти материалы проверялись в тот момент, когда персонал не располагал достаточным временем и желанием для ознакомления с предлагаемым ему учебным материалом. А позже, до этих ссылок ему уже, видимо, не было никакого дела, ведь письмо уже было прочитано и больше не обращает на себя внимание.

Среди других причин подобных удручающих результатов могут быть и проблемы с самим учебным материалом, такие как слишком обобщённый, плохо структурированный или представленный в неудобном формате материал, но учитывая время, которое в среднем выделялось сотрудниками для ознакомления с материалом, изменение в содержании или в формате представления едва ли приведёт к заметному повышению эффективности подобного обучения.