Phishing jest jednym z głównych źródeł incydentów bezpieczeństwa w firmach. Dlatego powinien też być jednym z ważniejszych zagadnień, którymi zajmują się osoby odpowiedzialne za bezpieczeństwo. Niestety złożoność tematu sprawia, iż nie istnieją proste recepty na wyeliminowanie tego problemu. Rozwiązania techniczne pomogą nam tylko w walce ze znanymi atakami i kampaniami. Phishing i spear phishing jest bardzo dochodowym biznesem dla przestępców, co powoduje ciągłą ewolucję zagrożeń i wynikającą z tego potrzebę dostosowywania rozwiązań służących ich wykrywaniu.
Rola szkoleń w walce z phishingiem
Najważniejszym elementem obrony przed phishingiem jest szkolenie pracowników i ciągłe testowanie ich czujności. Szkolenia pomagają przeciwstawiać się wielu rodzajom ataków, w tym atakom nieznanym, które dopiero mogą zostać przygotowane przez intruzów. Ważne jest aby uczyć użytkowników podejrzliwości wobec komunikatów, które do nich docierają i zachęcać by przed każdym działaniem zastanawiali się jakie konsekwencje może przynieść ich zachowanie. Ważne jest też aby nie zniechęcać pracowników informacjami o wszystkich możliwych zagrożeniach i zaawansowanych metodach działań cyberprzestępców. Może to przynieść efekt odwrotny od zamierzanego, gdyż przestraszony pracownik może dojść do wniosku, że jest bezsilny i żadne starania z jego strony i tak nie pomogą.
Walka z phishingiem to proces, nie zadanie
Szkolenie pracowników to proces złożony i długotrwały. Nie wystarczy jedno nawet kilkugodzinne spotkanie czy prezentacja. Przekazane na takim szkoleniu informacje zostaną bowiem po kilku tygodniach zapomniane, a o dobrych praktykach, mimo szczerych chęci wszyscy zapomną.
Niestety nawet po przeprowadzeniu szkolenia musimy liczyć się z tym, iż pozostanie pewna grupa osób, które będą w dalszym ciągu ignorować zagrożenia. Jest to zjawisko obserwowane również w innych dziedzinach bezpieczeństwa. Osoby odpowiedzialne za fizyczne bezpieczeństwo pracowników w fabrykach lub na budowach potrafią przytoczyć wiele przykładów nieodpowiedzialnych zachowań skutkujących obrażeniami, kalectwem lub nawet śmiercią. Trudno więc zakładać, że inaczej będzie w przypadku wykonywania działań naruszających nie zdrowie pracowników, a bezpieczeństwo informacji lub systemów.
By zwalczyć phishing korzystaj z doświadczenia innych
Skoro te same problemy występują w różnych branżach, to warto zapewne skorzystać z doświadczeń osób zajmujących się zbliżoną problematyką. Dobrym przykładem dla cyberbezpieczeństwa może być bezpieczeństwo i higiena pracy. W tej dziedzinie bezpieczeństwa poza samymi szkoleniami często sięga się po środki takie jak tablice informacyjne czy też sankcje wobec pracownika nieprzestrzegającego zaleceń. Wpływa to znacząco na poprawę bezpieczeństwa w miejscu pracy. Hasła ostrzegające przed zagrożeniem w miejscu jego występowania, np. „daj szansę maszynie a na pewno cię zabije” działają na wyobraźnię i zmuszają do myślenia.
A zatem pracownicy postępujący w nieodpowiedzialny sposób podczas pracy w Internecie również powinni sobie zdawać sprawę, że konsekwencją może być wyciek poufnych danych albo zainfekowanie całej sieci firmowej przez ransomware. Skutkiem tego może być w dalszej perspektywie utrata płynności finansowej przez pracodawcę i co za tym idzie utrata miejsca pracy.
Ostrzegaj przed phishingiem
Jak wdrożyć ostrzeżenia w miejscu występowania zagrożeń? Przydatne mogą być nawet małe zmiany takie jak np. dodawanie do tematu każdego e-maila przychodzącego spoza firmy informacji typu: „[external / email z zewnątrz]“. Przypomina to użytkownikom o konieczności zwracania szczególnej uwagi na treść wiadomości i jej szczegóły.
Nie możemy także pozostawiać pracownika samego z problemem oceny podejrzanych treści. Powinniśmy umożliwić zgłaszanie takich wiadomości do komórki, która podda je analizie i odeśle z informacją zwrotną. W tym zakresie przydatny będzie własny dział bezpieczeństwa lub SOC (Security Operations Center) dysponujący odpowiednimi narzędziami do analizy. Jego zadaniem oprócz samej weryfikacji e-maili czy załączników będzie także dostosowanie rozwiązań technicznych do obrony przed nowymi zagrożeniami.
Kampanie phishingowe zwalczaj informacyjnymi
Dobrym pomysłem są plakaty i infografiki takie jak np. te: CV19PhishingPostersPolish.pdf, czy też krótkie hasła działające na wyobraźnię, np:
„Daj szansę cyberprzestępcy a na pewno cię okradnie”
„Przed każdym kliknięciem w link daj sobie 10 sek. na odpowiedź czy wiesz co robisz”
Testy socjotechniczne
Obowiązkowe szkolenia dla pracowników połączone z testami socjotechnicznymi (symulowanymi atakami) dają bardzo dobre wyniki. Można w tym celu wykorzystać dedykowane platformy e-learningowe, takie jak np. NajslabszeOgniwo.pl. Szkolenia z cyberbezpieczeństwa powinny być tak samo obowiązkowe dla każdego pracownika korzystającego z komputera, jak szkolenia z BHP czy RODO.
Testy socjotechniczne pozwalają też mierzyć efektywność szkoleń i dostarczają realnych przykładów dydaktycznych. Warto jest powtarzać je cyklicznie w celu utrzymania świadomości zagrożeń na stałym poziomie i wykrywania słabych punktów w systemie bezpieczeństwa. Jak może przebiegać taki test i jakie słabości może obnażyć opisywaliśmy w artykule pt. Atak phishingowy od kuchni – case study.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
