Człowiek najsłabszym ogniwem. Jak zmierzyć skuteczność szkoleń z cyberbezpieczeństwa?

Wyślij link znajomemu

Czym są ataki socjotechniczne?

Jednym z poważnych problemów dotyczących bezpieczeństwa informacji są ataki socjotechniczne. Metody te polegają na manipulowaniu ofiarami, tak aby wykonały aktywności potrzebne do ułatwienia dostępu w zaatakowaniu. Do popularnych ataków bazujących na inżynierii społecznej zaliczamy phishing, który polega na wysłaniu wiadomości, przez którą przestępca podszywa się pod znaną lub zaufaną organizację bądź osobę. W takiej wiadomości w różny sposób próbuje się nakłonić odbiorcę do wykonania określonych czynności, a często jest to próba nakłonienia do nieświadomego zainstalowania różnego rodzaju złośliwego oprogramowania lub przekierowanie do fałszywej strony. Mogą to być przykładowo maile wysyłane przez osobę podszywającą się pod przełożonego z prośbą o podanie pewnych poufnych informacji, jak również złudnie przypominające wiadomości od banku, przekierowujące kliknięciem linku na jego fałszywą stronę w celu wyłudzenia danych. Zwykle prośby czy formularze chcą, aby wpisać dane takie jak PESEL, dane karty kredytowej albo login i hasło do jakiegoś portalu.

 

Czemu świadomość pracowników jest ważna?

Kluczowa w obronie przed atakami socjotechnicznymi jest odpowiednia edukacja. W systemach bezpieczeństwa najsłabszym ogniwem jest człowiek, którego błędy mogą mieć poważne konsekwencje. Przeprowadzenie phishingu nie wymaga posiadania zaawansowanych umiejętności, a ich skuteczność zwiększa samo roztargnienie, czy zmęczenie ofiar. Dlatego istotne jest, aby mieć świadomość czyhającego zagrożenia i wyrobić nawyk czujności w korzystaniu z m.in. poczty elektronicznej i komunikatorów, tak aby nie paść ofiarą przestępców.

 

Ryzyko, jakie niosą ataki phishingowe

Do zagrożeń, na które narażone są osoby będące celem ataków phishingowych zaliczamy m.in. wycieki danych. W zależności od rodzaju skradzionych informacji w efekcie atakujący mogą dostać się do konta bankowego, wykonać jakąś płatność, wziąć kredyt, przejąć konto mailowe, czy w social mediach lub doprowadzić do skradzenia poufnych informacji na temat firmy i wiele innych – tak więc straty na jakie są narażone ofiary phishingu, oprócz ujawnienia danych, to również straty finansowe. Ponadto, w przypadku ujawnienia danych dotyczących firmy poważnym skutkiem jest utrata wizerunku rzetelnej marki.

Szkolenie z cyberbezpieczeństwa

Przeprowadzenie testów i szkoleń poprawny sposób na zwiększenie świadomości i podniesienie bezpieczeństwa

Aby ulepszyć poziom bezpieczeństwa, należy zwiększyć wiedzę nt. wykorzystywania metod inżynierii społecznej. Dzięki odpowiednim szkoleniom w miejscu pracy, można podnieść świadomość zagrożenia i tego, jak ustrzec się przed nim. W praktyce, dobrze jest przeprowadzić symulację ataku phishingowego, wyczulając odbiorców na sprawdzanie wiarygodności otrzymywanych wiadomości. Poprawnie przeprowadzone proces szkoleniowy powinien łączyć testowe ataki z odpowiednimi szkoleniami.

Wyniki szkoleń i testów przeprowadzonych przez Audytel pokazują, że takie podejście do szkolenia ma pozytywny wpływ na minimalizowanie ryzyka padnięcia ofiarą ataku socjotechnicznego drogą mailową. Po przejściu szkoleń dotyczących cyberbezpieczeństwa liczba osób z grupy testowej, która otworzyła fałszywą stronę internetową zmalała z prawie 70% do 46%. Natomiast liczba ofiar, które wprowadziły swoje dane do formularza na phishingowej stronie zmniejszyła się o ponad dwukrotnie.

Badanie wyników z próbnych ataków bazujących na inżynierii społecznej nie tylko pokazuje poziom świadomości zagrożeń danej grupy, ale jest też dowodem skuteczności procesu szkoleniowego, gdyż maleje ryzyko padnięcia ofiarą oszustwa w postaci próby wyłudzenia informacji drogą mailową.

 

Autor: Wiesław Krawczyński, ekspert ds. bezpieczeństwa IT w Audytel S.A.


Warning: file_put_contents(//wp-content/cache/comet-cache/cache/https/audytel-pl/czlowiek-najslabszym-ogniwem-jak-zmierzyc-skutecznosc-szkolen-z-cyberbezpieczenstwa.html-65e326000bf4b580480006-tmp): failed to open stream: Disk quota exceeded in /wp-content/plugins/comet-cache/src/includes/traits/Ac/ObUtils.php on line 430

Fatal error: Uncaught Exception: Comet Cache: failed to write cache file for: `/czlowiek-najslabszym-ogniwem-jak-zmierzyc-skutecznosc-szkolen-z-cyberbezpieczenstwa/`; possible permissions issue (or race condition), please check your cache directory: `//wp-content/cache/comet-cache/cache`. in /wp-content/plugins/comet-cache/src/includes/traits/Ac/ObUtils.php:435 Stack trace: #0 [internal function]: WebSharks\CometCache\Classes\AdvancedCache->outputBufferCallbackHandler('<!doctype html>...', 9) #1 /wp-includes/functions.php(5373): ob_end_flush() #2 /wp-includes/class-wp-hook.php(324): wp_ob_end_flush_all('') #3 /wp-includes/class-wp-hook.php(348): WP_Hook->apply_filters(NULL, Array) #4 /wp-includes/plugin.php(517): WP_Hook->do_action(Array) #5 /wp-includes/load.php(1260): do_action('shutdown') #6 [internal function]: shutdown_action_hook() #7 {main} thrown in /wp-content/plugins/comet-cache/src/includes/traits/Ac/ObUtils.php on line 435