Kybernetických útoků na firmy proběhnou denně stovky, i proto stále častěji realizujeme simulované phishingové útoky, čímž si firmy testují ostražitost a povědomí o kybernetické bezpečnosti u svých zaměstnanců. Stále více platí, že firma může mít sebelepší technické zabezpečení, ale tím nejslabším prvkem bezpečnosti je právě člověk.
A jak si tedy firmy v testech vedou?
Až na výjimky jsou výsledky phishingových testů podobné -> velmi alarmující. V průměru 50% zaměstnanců při čtení emailu s požadavkem či výzvou k akci klikne na odkaz směřující na námi vytvořenou podvodnou webovou stránku, která má za cíl vylákat jejich přihlašovací údaje, např. do firemních systémů nebo aplikací. Drama nastává ve chvíli, kdy 20% zaměstnanců svoje hesla bez váhání odevzdá.
Co následuje? Školení..
Po úvodním zděšení klíčových osob ve firmě přijde velmi rychle uvědomění si možných následků v případě, že by útok realizoval skutečný hacker. Až doposud je reakce 90% firem defacto totožná. Následuje diskuze nad možnostmi proaktivního zvýšení povědomí o kybernetické bezpečnosti mezi zaměstnanci, tady se už další postup liší dle možností dané organizace. Pro rychlý efekt se s námi firmy dohodnou na školení pro oblast sociálního inženýrství vč. bezpečnosti hesel v rozsahu cca 4 hodiny, pro další oblasti nastavujeme střednědobý plán. Jiné firmy s námi naopak naplánují rovnou komplexní dvoudílné školení v rozsahu 16 hodin, na které mohou čerpat 100% příspěvek z dotačního programu, který sami administrujeme.
Výsledky opakovaného testu
U 95% firem se výsledky 2. kola testů realizovaných po absolvovaném vzdělávání výrazně mění. Téměř 80% proškolených zaměstnanců dokáže phishingový útok rozpoznat již při čtení emailu, tudíž se ani neprokliknou na podvodnou webovou stránku. Dalších 18% zaměstnanců, kteří na podvodný odkaz přesto klikli, odhalí Phishing v tomto kroku a k zadání citlivých údajů nedojde. Dle velikosti firmy zbývají v rámci "úspěšnosti" útoku cca 2% zaměstnanců, kteří data odevzdali. To samozřejmě stále není ideální stav, riziko úspěšného útoku se však výrazně snižuje.
Závěr
Konstatování a spokojenost, že nám 2. kolo testování dopadlo velmi dobře, protože máme proškolené zaměstnance, může být liché. Na pomyslných miskách vah se nyní možná vyrovnalo aktuální technické zabezpečení vs. síla lidského faktoru, protože ale hackeři nezahálejí, vymýšlejí další možnosti jak kybernetické zabezpečení firem napadnout. Proto je zapotřebí v pravidelných cyklech pracovat na obou dvou faktorech, jak přidáváním technologických vymožeností, nastavení pravidelných phishingových testů, tak pokračujícím vzděláváním pro zaměstnance alespoň v minimálním rozsahu.
Za Safee tým Lukáš Skála