Így (ne) szimulálj adathalász támadást!

 

A legtöbb esetben egy kis odafigyeléssel könnyen felismerhető egy adathalász támadás, ezért könnyű abba a hibába esni, hogy szervezetünk számára mindez nem is jelent komoly fenyegetést. Ha az információbiztonsági szabályzatban előírtuk, hogy mi a teendő egy-egy ilyen támadás esetén, emellett tájékoztató anyagokkal is informáltuk a munkatársakat, jó úton járunk. Azonban honnan tudjuk, hogy az alkalmazottak valóban képesek felismerni ezeket a támadásokat, és az eljárásrendnek megfelelően reagálnak? Az adathalász szimulációs tesztek ebben nagy segítségünkre lehetnek, azonban javasolt elkerülni a jellemző módszertani hibákat.

*Mindig mindenkit

Az adathalász szimulációk egyik gyakori hibája, hogy minden alkalommal az összes alkalmazottat célozzák. Ezzel a probléma az, hogy büntetjük azokat a felhasználókat, akik egyébként biztonságtudatosan járnak el. Kezdetben fontos, hogy egy helyzetképet kapjunk a dolgozók biztonságtudatos viselkedéséről, azonban az idő előrehaladtával érdemes a fókuszt a gyengébben teljesítő felhasználókra szűkíteni. Azzal is vigyázzunk, hogy milyen gyakorisággal végzünk ilyen teszteket. Sem a túl gyakori, sem a csak nagyon ritkán végzett vizsgálat nem igazán hatékony. Előbbi megakasztja a munkavégzést, ellenkezést, frusztrációt okozhat, utóbbi pedig nem elegendő a jó gyakorlatok elsajátításához. Havonta egy szimulciós teszt a dolgozók egy kiválasztott csoportján sokkal hatékonyabb lehet.

*In medias res 

A teszteket előzze meg egy képzés, amelynek során egyértelműen meghatározzuk a munkatársaktól elvárt cselekvést és informáljuk a dolgozókat arról, hogy szimulációs teszt is várható. A képzés legyen gyors, informatív, és kerüljük a pánik keltését! Helyezzük a hangsúlyt arra, hogy ezek az ismeretek magánszemélyként is rendkívül hasznosak számukra!

*A vezetők kimaradnak

A szervezeti vezetők kiemelt fenyegetésnek vannak kitéve, hiszen hozzáférnek érzékeny információkhoz, valamint pont ők azok, akik sokszor a leginkább „rugalmasan” kezelik a biztonsági szabályokat, és jellemző rájuk például a magáneszközök munkhahelyi használata. Emiatt őket sem szabad kihagyni a tesztből!

*Nem mérünk megfelelően

A teszteknek csak akkor van értelme, ha utána le is vonjuk a konzekvenciákat. Ehhez már a tervezéskor rögzíteni kell, hogy pontosan mit is szeretnénk mérni. Néhány javasolt teljesítménymutató (KPI):

  • megnyitott e-mailek száma
  • kattintások száma
  • az e-mailt biztonságtudatosan jelentő felhasználók száma
  • azon felhasználók, akik kattintottak
  • azon felhasználók, akik egy lépéssel tovább is mentek (pl.: belépőadatokat is megadtak, vagy letöltöttek egy fájlt)
  • mindezt szervezeti egységekre bontva

*Mindig ugyanaz

Törekedjünk a változatosságra a tesztek során, és próbáljunk minél életszerűbb témákat felhasználni! 

Néhány javasolt téma, ami általában reakciót vált ki:

  • nem fogunk fizetni/szerződést bontunk
  • ingyenes/rendkívüli akciós termék ígéretek
  • top hírek témáinak felhasználása