Kybernetická bezpečnosť je závislá od človeka. Hoci firmy čoraz viac investujú do technologických riešení, práve ľudský faktor zostáva jednou z najčastejších príčin úspešných kybernetických útokov.
Phishing, teda podvodný e-mail vydávajúci sa za dôveryhodnú komunikáciu, sa stále radí medzi najefektívnejšie nástroje útočníkov. Relatívne jednoducho im umožňuje získať prístupové údaje, citlivé informácie, alebo spustiť škodlivé procesy v sieti.
Phishingové kampane sú dnes mimoriadne presvedčivé. Už dávno v nich nejde o ‚dedičstvo po princovi‘. Útočníci precízne napodobňujú vizuál aj jazyk reálnych firiem, čím výrazne zvyšujú šancu na úspech. Stačí jedno nepozorné kliknutie a dôsledky môžu byť fatálne.
Zisťovali sme pripravenosť firiem
Ešte pred spustením novej služby simulovaných phishingových kampaní sme uskutočnili prieskum medzi zákazníkmi. Zaujímalo nás akú majú s phishingom skúsenosť a aké formy ochrany by ocenili. Výsledky potvrdili, že ide o mimoriadne aktuálnu tému: 74 % respondentov uviedlo, že sa s phishingom stretávajú veľmi často alebo občas. Ako najužitočnejšie služby označili:
- 36 % detekciu podozrivých e-mailov a odkazov
- 34 % simulované phishingové kampane
- 30 % pravidelné školenia zamestnancov
Vysoká odozva nás utvrdila v rozhodnutí zaradiť túto službu do nášho portfólia. Jedného z účastníkov prieskumu sme dokonca vyžrebovali a získa kompletnú simuláciu na mieru, od prípravy až po vyhodnotenie.
Simulácia bez následkov, výsledky s dopadom
Simulované phishingové kampane predstavujú bezpečný spôsob ako v praxi otestovať pripravenosť zamestnancov na útoky, a to bez akéhokoľvek rizika pre infraštruktúru spoločnosti.
Podľa štatistík otvorí podvodný e-mail pred absolvovaním školenia v priemere 30 až 40 percent užívateľov. Pravidelné simulované kampane a dodržiavanie odporúčaní však môžu v priebehu jedného roka zvýšiť schopnosť zamestnancov rozpoznať phishingové e-maily až o 80 percent.
Cieľom simulácií nie je ‚nachytať‘ zamestnancov, ale získať objektívny obraz o zraniteľnosti firmy a identifikovať tímy s vyšším rizikom zlyhania.
Postreh etického hackera
„Zo skúsenosti viem, že s použitím voľne dostupných nástrojov a minimálnou investíciou času a financií je možné kompromitovať firmu cez jej zamestnancov. Všetky zabezpečenia ako WAF, IDS, IPS či MFA tomu nijako nezabránia. Nakoniec aj v tejto dobe plnej umelej inteligencie a technického pokroku všetko stojí a padá na človeku.“
Služba prebieha v niekoľkých kľúčových krokoch:
- Pripravíme realistické phishingové e-maily, ktoré vychádzajú zo skutočných útokov. Dôraz kladieme na dizajn, jazyk a behaviorálne prvky.
- Odošleme ich vybraným skupinám používateľov testovanej organizácie alebo spoločnosti, aby sme získali reprezentatívne dáta.
- Sledujeme mieru otvorenia, kliknutia, a ďalšie reakcie.
- Výsledky následne vizualizujeme a vyhodnocujeme spolu s konkrétnymi návrhmi na zlepšenie povedomia aj bezpečnostných procesov testovanej strany.
Opakovaním kampaní v pravidelných intervaloch dosahujeme dlhodobý efekt. Zamestnanci si vytvárajú návyk kriticky vyhodnocovať každý prijatý e-mail. Navyše, porovnávanie výsledkov v čase umožňuje firmám sledovať reálne zlepšenie a efektivitu prijatých opatrení.
Viac ako technológia, ide o správanie
Aj keď firmy nasadzujú moderné technológie ako firewally, EDR riešenia, segmentáciu či zálohovanie, konečný výsledok stále závisí od každodenného správania sa používateľov. Phishingové kampane totiž neútočia na technické zraniteľnosti, ale využívajú psychologické triky. Práve preto sú často úspešné. Dokážu oklamať aj technologicky dobre chránené organizácie.
Výhodou simulovaných phishingových útokov je ich vysoká výpovedná hodnota pre manažment aj IT oddelenie. Firma nezískava len všeobecný obraz o riziku, ale konkrétne dáta: ktoré tímy sú najzraniteľnejšie, ako rýchlo používatelia nahlásili podozrivý e-mail, kde zlyháva interná komunikácia.
Prevencia je lacnejšia ako riešenie následkov
Naša služba je vhodná pre firmy všetkých veľkostí a odvetví. Pomáha identifikovať slabé miesta a zároveň zvyšovať bezpečnostné povedomie celej organizácie. Simulované phishingové kampane podporujú firemnú kultúru obozretnosti a zodpovednosti, čo je v praxi najúčinnejšou formou ochrany pred reálnymi útokmi.
Pretože v kybernetickej bezpečnosti platí jedno nepísané pravidlo: Najlepší útok je ten, ktorý sa nikdy nestane.
