Načo kupujeme drahé technológie, keď nevyškolíme ľudí?

Princíp phishingu je až neuveriteľne stále ten istý – útočníci sa vydávajú za dôveryhodné osoby alebo značky a snažia sa prinútiť používateľa kliknúť na škodlivý odkaz, otvoriť infikovanú prílohu alebo prezradiť prihlasovacie údaje. Stačí iba jedna nepozornosť jedného zamestnanca – a celá organizácia čelí incidentu.

Červené tlačidlo

Základom je pochopenie toho, že phishing je najčastejšou vstupnou bránou do firemných systémov. Nami nasadený kurz o ransomvéri vysvetľuje, že útočníci často začínajú jednoduchým podvodným e-mailom, ktorý „vyzerá, akoby pochádzal od dôveryhodného odosielateľa“. Stačí klik na odkaz alebo otvorenie prílohy a do systému môže byť zavlečený škodlivý kód.

Súčasťou vzdelávania býva kurz bezpečného správania pri práci s e-mailami. Vysvetľujeme tu, že nahlasovanie podozrivých e-mailov je jednoduché a pritom kritické pre bezpečnosť.

Ak je v organizácii k dispozícii nástroj Phish Alert Button, zamestnanci môžu okamžite nahlásiť podozrivý e-mail bezpečnostnému tímu. Tím následne preverí správu a nastaví procesy podľa potreby. Samozrejme, že každá organizácia môže mať systém hlásenia nastavený podľa interných pravidiel a používanie takýchto nástrojov reálne pomáha zastaviť útok ešte predtým, než sa rozšíri.

Čaro opakovania

Dôležitým prvkom školení sú simulované phishingové kampane. Pravidelne sa zasielajú zamestnancom a slúžia ako praktický tréning. Phishingové e-maily sú navrhnuté tak, aby zvyšovali schopnosť spoznať znaky podvodnej komunikácie a pripravovali používateľov na reálne útoky.

Ide o jeden z najefektívnejších nástrojov zvyšovania odolnosti, pretože zamestnanci si priebežne precvičujú rozpoznávanie podozrivých vzorcov správania. Učia sa identifikovať typické znaky útokov a zároveň postupovať striktne podľa bezpečnostných pravidiel organizácie.

Bonusy pre vinníkov

A čo sa deje, keď niekto takouto skúškou neprejde? Cieľom samozrejme nie je hľadanie vinníka, ale posilnenie odolnosti.

Zamestnanec, ktorý na simulovaný phishing reaguje nesprávne, je automaticky zaradený do doplnkového vzdelávania. Absolvuje krátky vysvetľujúci modul, ktorý mu konkrétne ukáže, čo prehliadol a aké znaky mal rozpoznať. Následne sa jeho pokrok sleduje v ďalších kampaniach.

Tento prístup pomáha systematicky znižovať mieru rizikového správania a budovať návyk správnej reakcie. Väčšina úspešných útokov totiž nevzniká preto, že by boli technologicky dokonalé, ale preto, že niekto v rozhodujúcej chvíli prestane byť ostražitý.

Nielen suché fakty

Kurzy zároveň demonštrujú, aké následky môže mať aj malá chyba. V prípade ransomvéru sa zdôrazňuje, že phishingový útok môže viesť k zašifrovaniu údajov a požiadavke na výkupné.

História aj tréning jasne ukazujú, že výkupné sa neplatí – incident treba okamžite nahlásiť IT oddeleniu, ktoré môže obnoviť dáta zo záloh. Príbeh z tréningu, v ktorom Tomáš panikári, pretože „nedokáže otvoriť svoj súbor a žiada to od neho dešifrovací kľúč“, učí zamestnancov nepodľahnúť tlaku útočníkov a postupovať podľa interných smerníc.

Naša skúsenosť potvrdzuje, že interaktívne prvky, ako napríklad video scénky, zvyšujú zapamätateľnosť a praktický dosah školení.

Prevencia a zas prevencia

Phishingové kampane zvyšujú pozornosť a upozorňujú na aktuálne techniky útočníkov, zatiaľ čo školenia poskytujú hlbšie pochopenie súvislostí a odporúčaných postupov. Zamestnanci sa učia rozpoznávať znaky podvodu ako napríklad neobvyklú žiadosť od nadriadeného, výskyt gramatické chyby, nečakané prílohy či neznáme odkazy. Zároveň sa učia, že ich reakcia má priamy vplyv na bezpečnosť celej organizácie.

Výsledkom kombinácie kampaní a priebežného vzdelávania je schopnosť zamestnancov včas identifikovať hrozbu, správne na ňu reagovať a chrániť seba aj organizáciu.

Ide o zásadný prvok bezpečnostnej kultúry. Zamyslime sa, ako systematicky budovať ostražitosť, učiť sa rozpoznávať opakujúce sa vzorce útokov a dôsledne dodržiavať bezpečnostné pravidlá.

Pretože práve ľudia rozhodujú o tom, či bude technológia fungovať ako ochrana alebo len ako predražená ilúzia bezpečia.

Benjamín Wűrfl obchodný manažér

Eviden Slovensko