phishing

Phishing – jak się przed nim bronić?

Phishing jest jednym z głównych źródeł incydentów bezpieczeństwa w firmach. Dlatego powinien też być jednym z ważniejszych zagadnień, którymi zajmują się osoby odpowiedzialne za bezpieczeństwo. Niestety złożoność tematu sprawia, iż nie istnieją proste recepty na wyeliminowanie tego problemu. Rozwiązania techniczne pomogą nam tylko w walce ze znanymi atakami i kampaniami. Phishing i spear phishing jest bardzo dochodowym biznesem dla przestępców, co powoduje ciągłą ewolucję zagrożeń i wynikającą z tego potrzebę dostosowywania rozwiązań służących ich wykrywaniu.

Rola szkoleń w walce z phishingiem

Najważniejszym elementem obrony przed phishingiem jest szkolenie pracowników i ciągłe testowanie ich czujności. Szkolenia pomagają przeciwstawiać się wielu rodzajom ataków, w tym atakom nieznanym, które dopiero mogą zostać przygotowane przez intruzów. Ważne jest aby uczyć użytkowników podejrzliwości wobec komunikatów, które do nich docierają i zachęcać by przed każdym działaniem zastanawiali się jakie konsekwencje może przynieść ich zachowanie. Ważne jest też aby nie zniechęcać pracowników informacjami o wszystkich możliwych zagrożeniach i zaawansowanych metodach działań cyberprzestępców. Może to przynieść efekt odwrotny od zamierzanego, gdyż przestraszony pracownik może dojść do wniosku, że jest bezsilny i żadne starania z jego strony i tak nie pomogą.

Walka z phishingiem to proces, nie zadanie

Szkolenie pracowników to proces złożony i długotrwały. Nie wystarczy jedno nawet kilkugodzinne spotkanie czy prezentacja. Przekazane na takim szkoleniu informacje zostaną bowiem po kilku tygodniach zapomniane, a o dobrych praktykach, mimo szczerych chęci wszyscy zapomną.

Niestety nawet po przeprowadzeniu szkolenia musimy liczyć się z tym, iż pozostanie pewna grupa osób, które będą w dalszym ciągu ignorować zagrożenia. Jest to zjawisko obserwowane również w innych dziedzinach bezpieczeństwa. Osoby odpowiedzialne za fizyczne bezpieczeństwo pracowników w fabrykach lub na budowach potrafią przytoczyć wiele przykładów nieodpowiedzialnych zachowań skutkujących obrażeniami, kalectwem lub nawet śmiercią. Trudno więc zakładać, że inaczej będzie w przypadku wykonywania działań naruszających nie zdrowie pracowników, a bezpieczeństwo informacji lub systemów.

By zwalczyć phishing korzystaj z doświadczenia innych

Skoro te same problemy występują w różnych branżach, to warto zapewne skorzystać z doświadczeń osób zajmujących się zbliżoną problematyką. Dobrym przykładem dla cyberbezpieczeństwa może być bezpieczeństwo i higiena pracy. W tej dziedzinie bezpieczeństwa poza samymi szkoleniami często sięga się po środki takie jak tablice informacyjne czy też sankcje wobec pracownika nieprzestrzegającego zaleceń. Wpływa to znacząco na poprawę bezpieczeństwa w miejscu pracy. Hasła ostrzegające przed zagrożeniem w miejscu jego występowania, np. „daj szansę maszynie a na pewno cię zabije” działają na wyobraźnię i zmuszają do myślenia.

A zatem pracownicy postępujący w nieodpowiedzialny sposób podczas pracy w Internecie również powinni sobie zdawać sprawę, że konsekwencją może być wyciek poufnych danych albo zainfekowanie całej sieci firmowej przez ransomware. Skutkiem tego może być w dalszej perspektywie utrata płynności finansowej przez pracodawcę i co za tym idzie utrata miejsca pracy.

Ostrzegaj przed phishingiem

Jak wdrożyć ostrzeżenia w miejscu występowania zagrożeń? Przydatne mogą być nawet małe zmiany takie jak np. dodawanie do tematu każdego e-maila przychodzącego spoza firmy informacji typu: „[external / email z zewnątrz]“. Przypomina to użytkownikom o konieczności zwracania szczególnej uwagi na treść wiadomości i jej szczegóły.

Nie możemy także pozostawiać pracownika samego z problemem oceny podejrzanych treści. Powinniśmy umożliwić zgłaszanie takich wiadomości do komórki, która podda je analizie i odeśle z informacją zwrotną. W tym zakresie przydatny będzie własny dział bezpieczeństwa lub SOC (Security Operations Center) dysponujący odpowiednimi narzędziami do analizy. Jego zadaniem oprócz samej weryfikacji e-maili czy załączników będzie także dostosowanie rozwiązań technicznych do obrony przed nowymi zagrożeniami.

Kampanie phishingowe zwalczaj informacyjnymi

Dobrym pomysłem są plakaty i infografiki takie jak np. te: CV19PhishingPostersPolish.pdf, czy też krótkie hasła działające na wyobraźnię, np:

„Daj szansę cyberprzestępcy a na pewno cię okradnie”

„Przed każdym kliknięciem w link daj sobie 10 sek. na odpowiedź czy wiesz co robisz”

Testy socjotechniczne

Obowiązkowe szkolenia dla pracowników połączone z testami socjotechnicznymi (symulowanymi atakami) dają bardzo dobre wyniki. Można w tym celu wykorzystać dedykowane platformy e-learningowe, takie jak np. NajslabszeOgniwo.pl. Szkolenia z cyberbezpieczeństwa powinny być tak samo obowiązkowe dla każdego pracownika korzystającego z komputera, jak szkolenia z BHP czy RODO.
Testy socjotechniczne pozwalają też mierzyć efektywność szkoleń i dostarczają realnych przykładów dydaktycznych. Warto jest powtarzać je cyklicznie w celu utrzymania świadomości zagrożeń na stałym poziomie i wykrywania słabych punktów w systemie bezpieczeństwa. Jak może przebiegać taki test i jakie słabości może obnażyć opisywaliśmy w artykule pt. Atak phishingowy od kuchni – case study.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.