Politika informačnej bezpečnosti, respektíve jednotlivé nastavenia v organizácii by mali do značnej miery tkvieť v technických opatreniach. Ak sú tieto opatrenia navyše zosúladené aj s biznis požiadavkami, máme správne predpoklady na správne definovanú bezpečnostnú politiku. Navyše – budeme ju môcť dlhodobo udržiavať a rozvíjať.
Hoci sa na tomto tvrdení zhodnú bezpečnostní experti, nemôžeme povedať, že sme pokryli všetky oblasti a možnosti zabezpečenia. Tak poďme k tomu, prečo investovať čas a rozpočty do phishingových tréningov.
Hlavným argumentom, ktorý zdôrazňuje nutnosť samotného tréningu, je fakt, že phishing, ktorý prejde až ku koncovému používateľovi, spĺňa všetky technické opatrenia kladené na zabezpečenie e-mailovej komunikácie.
V podstate je to niečo ako list v obálke, ktorá má všetky potrebné náležitosti, aby ju pošta kvalifikovane prebrala a doručila – je tu adresát aj uhradená známka.
Druhým argumentom je, že phishingové e-maily nevyužívajú zraniteľnosti technických prvkov, ale zraniteľnosť koncového používateľa. Vytvárajú pocit urgentnosti a využívajú iné techniky psychologického nátlaku.
V tomto prípade sa teda rozprávame, že podstatná časť phishingového útoku tkvie v tom, ako je samotný „list v legitímnej obálke“ napísaný.
Takže si predstavte, že vyberáte ten list z legitímnej obálky, čiže používateľ klikne na link. Aj pri dodržaní prísnych technických opatrení môže takto používateľ kompromitovať systémy. Aj to aj napriek tomu, že princíp minimálnych oprávnení bol správne implementovaný, pretože používateľ konal v rámci svojich definovaných oprávnení.
Potvrdzujú to aj štatistiky. Ľudský faktor je prítomný v 82 percentách všetkých bezpečnostných incidentov. Adresáti si otvoria až 70 percent phishingových e-mailov. Opomínanie phishingového tréningu, respektíve jeho bagatelizovanie by preto mohlo pripraviť veľmi nebezpečný kokteil.
Niektoré štúdie idú ešte ďalej a zdôrazňujú, že najdôležitejšie, čo vieme v oblasti kybernetickej bezpečnosti podniknúť pre zvýšenie jej úrovne, je zabezpečiť kultúru a povedomie v tejto oblasti.
Rozhodne nie je vhodné urobiť plošný tréning – poslať rovnaký e-mail na všetkých a sledovať, koľko ľudí na to klikne. Aj tu by sme mali zohľadniť rôzne úrovne. Skladníci, operátori, účtovníčky, marketéri, personalisti, ítečkári či riaditelia zvládajú rozdielne témy a kompetencie.
V prvotnom delení treba zohľadniť aspoň tri úrovne, cez úplne zjavný phishing až po spearphishing kampane, aby sme vedeli, komu treba aký tréning ušiť na mieru. Samozrejme, je nutné si tieto kampane aj správne vyhodnocovať, a to cez rôzne metriky.
Môžeme hodnotiť, koľko e-mailov bolo otvorených, koľko používateľov kliklo na link alebo koľko bolo zadaných bezpečnostných incidentov a cez aké kanály.
Správne dizajnovaný phishingový tréning, ktorý zohľadňuje individuálne potreby organizácie, patrí medzi neoddeliteľnú súčasť komplexnej ochrany organizácií.
Navyše, nové trendy s využitím umelej inteligencie na jednej strane zvyšujú účinnosť detekčných mechanizmov, no na druhej strane aj zvyšujú efektivitu útočníkov. Kto bude v tejto preťahovačke úspešnejší, uvidíme.
Súhrn? Synergia uvedených faktorov vytvára čoraz silnejší tlak na zvyšovanie povedomia o kybernetickej bezpečnosti. A keďže e-mail je jeden z hlavných vektorov útokov, tým sa zvyšuje aj nutnosť povedomia o praktikách sociálneho inžinierstva.
Michal Srnec, CISO Aliter Technologies