Człowiek najsłabszym ogniwem. Jak zmierzyć skuteczność szkoleń z cyberbezpieczeństwa?

Czym są ataki socjotechniczne?

Jednym z poważnych problemów dotyczących bezpieczeństwa informacji są ataki socjotechniczne. Metody te polegają na manipulowaniu ofiarami, tak aby wykonały aktywności potrzebne do ułatwienia dostępu w zaatakowaniu. Do popularnych ataków bazujących na inżynierii społecznej zaliczamy phishing, który polega na wysłaniu wiadomości, przez którą przestępca podszywa się pod znaną lub zaufaną organizację bądź osobę. W takiej wiadomości w różny sposób próbuje się nakłonić odbiorcę do wykonania określonych czynności, a często jest to próba nakłonienia do nieświadomego zainstalowania różnego rodzaju złośliwego oprogramowania lub przekierowanie do fałszywej strony. Mogą to być przykładowo maile wysyłane przez osobę podszywającą się pod przełożonego z prośbą o podanie pewnych poufnych informacji, jak również złudnie przypominające wiadomości od banku, przekierowujące kliknięciem linku na jego fałszywą stronę w celu wyłudzenia danych. Zwykle prośby czy formularze chcą, aby wpisać dane takie jak PESEL, dane karty kredytowej albo login i hasło do jakiegoś portalu.

Czemu świadomość pracowników jest ważna?

Kluczowa w obronie przed atakami socjotechnicznymi jest odpowiednia edukacja. W systemach bezpieczeństwa najsłabszym ogniwem jest człowiek, którego błędy mogą mieć poważne konsekwencje. Przeprowadzenie phishingu nie wymaga posiadania zaawansowanych umiejętności, a ich skuteczność zwiększa samo roztargnienie, czy zmęczenie ofiar. Dlatego istotne jest, aby mieć świadomość czyhającego zagrożenia i wyrobić nawyk czujności w korzystaniu z m.in. poczty elektronicznej i komunikatorów, tak aby nie paść ofiarą przestępców.

Ryzyko, jakie niosą ataki phishingowe

Do zagrożeń, na które narażone są osoby będące celem ataków phishingowych zaliczamy m.in. wycieki danych. W zależności od rodzaju skradzionych informacji w efekcie atakujący mogą dostać się do konta bankowego, wykonać jakąś płatność, wziąć kredyt, przejąć konto mailowe, czy w social mediach lub doprowadzić do skradzenia poufnych informacji na temat firmy i wiele innych – tak więc straty na jakie są narażone ofiary phishingu, oprócz ujawnienia danych, to również straty finansowe. Ponadto, w przypadku ujawnienia danych dotyczących firmy poważnym skutkiem jest utrata wizerunku rzetelnej marki.

Przeprowadzenie testów i szkoleń – poprawny sposób na zwiększenie świadomości i podniesienie bezpieczeństwa

Aby ulepszyć poziom bezpieczeństwa, należy zwiększyć wiedzę nt. wykorzystywania metod inżynierii społecznej. Dzięki odpowiednim szkoleniom w miejscu pracy, można podnieść świadomość zagrożenia i tego, jak ustrzec się przed nim. W praktyce, dobrze jest przeprowadzić symulację ataku phishingowego, wyczulając odbiorców na sprawdzanie wiarygodności otrzymywanych wiadomości. Poprawnie przeprowadzone proces szkoleniowy powinien łączyć testowe ataki z odpowiednimi szkoleniami.

Wyniki szkoleń i testów przeprowadzonych przez Audytel pokazują, że takie podejście do szkolenia ma pozytywny wpływ na minimalizowanie ryzyka padnięcia ofiarą ataku socjotechnicznego drogą mailową. Po przejściu szkoleń dotyczących cyberbezpieczeństwa liczba osób z grupy testowej, która otworzyła fałszywą stronę internetową zmalała z prawie 70% do 46%. Natomiast liczba ofiar, które wprowadziły swoje dane do formularza na phishingowej stronie zmniejszyła się o ponad dwukrotnie.

Badanie wyników z próbnych ataków bazujących na inżynierii społecznej nie tylko pokazuje poziom świadomości zagrożeń danej grupy, ale jest też dowodem skuteczności procesu szkoleniowego, gdyż maleje ryzyko padnięcia ofiarą oszustwa w postaci próby wyłudzenia informacji drogą mailową.

Autor: Wiesław Krawczyński, ekspert ds. bezpieczeństwa IT w Audytel S.A.