ITexec

Phising_self.jpg
Forrás: ITB
Kiberbiztonság

Egy teszt nem teszt

Meséli barátom, hogyan jártak, amikor a cégüket megönphishingelték. Helyesebben és szakszerűbben szólva, phishing szimulációval tették próbára saját belső felhasználóikat, azok IT-biztonságtudatosságát. A szakirodalom melegen ajánlja, hogy a szervezetek valamilyen módon vizsgálják meg, lehetőleg kvantifikálják saját júzereik felkészültségét a külső kibertámadások elhárítására. A legnagyobb réseket a szervezetek kibervédelmi pajzsán még mindig az emailrendszerekben (és a felhasználók tudatában) találják a rosszfiúk, akik egyre hihetőbb, tehát átverésre egyre alkalmasabb levelekkel intéznek célzott támadásokat vagy végeznek szőnyegbombázást.

Valamit tenni kell, mert ha nem teszünk semmit, a kiberbiztonsági helyzet – mint tudjuk – fokozódni fog, nő az incidensek száma, és egyszer csak kiborul az éjjeli edény az igazgatóság tárgyalójának süppedő szőnyegére, ami CISO-szemmel nézve nem mondható a hosszú és sikeres karrier titkának.

Beszámolójában barátom gondosan került minden részletet, mindössze annyit mondott sajnálkozva, hogy nem volt sikeres a próbálkozásuk. Utánanéztem a szakirodalomban, hogy milyen főbb tanácsokat megszívlelve van értelme belefogni egy efféle szervezeti öntesztnek, ha valóban komolyan gondoljuk a dolgot.

Tervezés, tervezés, tervezés

Az előkészítés, tehát a tervezés során kérdések tucatjaira kell határozott és jó választ adni. A cég mely dolgozóit azok mely csoportjait (idősebbeket?, fiatalokat?, nőket?, férfiakat?, inkább vezetőket, mint beosztottakat? stb.) tesszük ki próbának? A pontos célcsoport vagy célcsoportok meghatározása lényeges, mert akkor lehet hatékony a kampány, ha olyan tartalommal próbálkozunk, amelyekre vevők lehetnek a címzettek. Milyen ütemezéssel indítsuk el az üzeneteket? Az egyszerre egyidőben mindenkinek kevéssé ajánlott, jobb, ha néhány napra elnyújtjuk a kiküldést. Mi legyen a landing page, hogy ha a júzer bekapta a horgot, és belekattint a levélbe, ne fogjon gyanút, hogy itt, kérem, valami teszt folyik? Milyen technológiai platformot használjunk, hogy lehetőség szerint minden lényeges esemény megtörténtét lehessen mérni, következésképpen később kielemezni (hányan és kik nyitották meg a mailt, hányan és kik kattintottak a mailben szereplő kritikus linkre stb.)?

Fedett legyen a művelet

Megöli a kampányt, ha valamelyik beavatottnak eljár a szervezetben a szája, következésképpen minél kevesebben tudnak arról, hogy phisingszimulációt indítunk, annál nagyobb annak a valószínűsége, hogy nem fognak szagot a júzerek, és minden úgy zajlik le, ahogyan megterveztük.

Elemzés

Ha kellő alapossággal terveztük meg a kampányt, akkor az azt is jelenti, hogy elemzésre alkalmas adathalmazhoz juthatunk, amelyből fontos információkhoz juthatunk a felhasználóink IT-biztonságtudatosságáról. Olyan statisztikákat kaphatunk, amelyek alapján a korábbinál sokkal jobban megalapozott és sokkal inkább célzott kiberbiztonságtudatossági képzési tervet állíthatunk össze.

Egy teszt nem teszt

Legfőképpen az elsővel nem megyünk nagyon sokra, az csak a kezdet, a későbbi tesztekkor mérhető adatok mutatják majd meg a trendet, azt, hogy mennyire sikerül a felhasználók körében az IT-biztonságtudatosságot elterjeszteni és elmélyíteni.