A legtöbb esetben egy kis odafigyeléssel könnyen felismerhető egy adathalász támadás, ezért könnyű abba a hibába esni, hogy szervezetünk számára mindez nem is jelent komoly fenyegetést. Ha az információbiztonsági szabályzatban előírtuk, hogy mi a teendő egy-egy ilyen támadás esetén, emellett tájékoztató anyagokkal is informáltuk a munkatársakat, jó úton járunk. Azonban honnan tudjuk, hogy az alkalmazottak valóban képesek felismerni ezeket a támadásokat, és az eljárásrendnek megfelelően reagálnak? Az adathalász szimulációs tesztek ebben nagy segítségünkre lehetnek, azonban javasolt elkerülni a jellemző módszertani hibákat.
*Mindig mindenkit
Az adathalász szimulációk egyik gyakori hibája, hogy minden alkalommal az összes alkalmazottat célozzák. Ezzel a probléma az, hogy büntetjük azokat a felhasználókat, akik egyébként biztonságtudatosan járnak el. Kezdetben fontos, hogy egy helyzetképet kapjunk a dolgozók biztonságtudatos viselkedéséről, azonban az idő előrehaladtával érdemes a fókuszt a gyengébben teljesítő felhasználókra szűkíteni. Azzal is vigyázzunk, hogy milyen gyakorisággal végzünk ilyen teszteket. Sem a túl gyakori, sem a csak nagyon ritkán végzett vizsgálat nem igazán hatékony. Előbbi megakasztja a munkavégzést, ellenkezést, frusztrációt okozhat, utóbbi pedig nem elegendő a jó gyakorlatok elsajátításához. Havonta egy szimulciós teszt a dolgozók egy kiválasztott csoportján sokkal hatékonyabb lehet.
*In medias res
A teszteket előzze meg egy képzés, amelynek során egyértelműen meghatározzuk a munkatársaktól elvárt cselekvést és informáljuk a dolgozókat arról, hogy szimulációs teszt is várható. A képzés legyen gyors, informatív, és kerüljük a pánik keltését! Helyezzük a hangsúlyt arra, hogy ezek az ismeretek magánszemélyként is rendkívül hasznosak számukra!
*A vezetők kimaradnak
A szervezeti vezetők kiemelt fenyegetésnek vannak kitéve, hiszen hozzáférnek érzékeny információkhoz, valamint pont ők azok, akik sokszor a leginkább „rugalmasan” kezelik a biztonsági szabályokat, és jellemző rájuk például a magáneszközök munkhahelyi használata. Emiatt őket sem szabad kihagyni a tesztből!
*Nem mérünk megfelelően
A teszteknek csak akkor van értelme, ha utána le is vonjuk a konzekvenciákat. Ehhez már a tervezéskor rögzíteni kell, hogy pontosan mit is szeretnénk mérni. Néhány javasolt teljesítménymutató (KPI):
- megnyitott e-mailek száma
- kattintások száma
- az e-mailt biztonságtudatosan jelentő felhasználók száma
- azon felhasználók, akik kattintottak
- azon felhasználók, akik egy lépéssel tovább is mentek (pl.: belépőadatokat is megadtak, vagy letöltöttek egy fájlt)
- mindezt szervezeti egységekre bontva
*Mindig ugyanaz
Törekedjünk a változatosságra a tesztek során, és próbáljunk minél életszerűbb témákat felhasználni!
Néhány javasolt téma, ami általában reakciót vált ki:
- nem fogunk fizetni/szerződést bontunk
- ingyenes/rendkívüli akciós termék ígéretek
- top hírek témáinak felhasználása
