Jak vybudovat program odolnosti vůči phishingu, který skutečně funguje

Vaše technická opatření jsou silná, ale vaši lidé zůstávají hlavním cílem phishingových útoků. Tento průvodce poskytuje strukturovaný postup v souladu s ISO 27001 pro vybudování programu odolnosti vůči phishingu, který promění váš tým z potenciální slabiny v nejsilnější linii obrany, sníží riziko lidské chyby a pomůže splnit regulatorní požadavky rámců, jako jsou NIS2 a DORA.

Co je v sázce

Technická obranná opatření, jako jsou e-mailové filtry a ochrana koncových bodů, jsou nezbytná, nejsou však neomylná. Útočníci vědí, že nejjednodušší cesta do zabezpečené sítě často vede přes člověka. Jediné kliknutí na škodlivý odkaz může obejít bezpečnostní technologie v hodnotě milionů liber. Uživatelské účty jsou nejčastěji cílenými vstupními body kybernetických útoků a úspěšná phishingová kampaň může vést ke krádeži přihlašovacích údajů, infekci malwarem a neoprávněnému přístupu. Důsledky nejsou pouze technické; mají zásadní obchodní dopad. Kompromitovaný účet může vést k podvodným bankovním převodům, vyzrazení citlivých zákaznických dat a významné provozní nedostupnosti během čištění a obnovy systémů.

Regulatorní prostředí je rovněž neúprosné. Rámce jako GDPR, NIS2 a DORA výslovně vyžadují, aby organizace zavedly bezpečnostní opatření zahrnující průběžné školení a zvyšování povědomí zaměstnanců. Article 21 směrnice NIS2 například vyžaduje, aby základní a významné subjekty poskytovaly školení v oblasti kybernetické bezpečnosti a podporovaly základní postupy kybernetické hygieny. Obdobně Article 13 DORA vyžaduje, aby finanční subjekty zavedly komplexní školicí programy. Neschopnost doložit robustní program zvyšování povědomí může vést k přísným sankcím, poškození dobré pověsti a ztrátě důvěry zákazníků. Riziko není abstraktní; je přímou hrozbou pro vaši finanční stabilitu i právní postavení. Lidská chyba je klíčovým zdrojem rizika a regulatorní orgány očekávají, že k ní budete přistupovat se stejnou vážností jako k jakékoli technické zranitelnosti.

Představte si středně velkou logistickou společnost. Zaměstnanec finančního oddělení obdrží přesvědčivý e-mail, zdánlivě od známého dodavatele, s žádostí o urgentní platbu na nový bankovní účet. E-mailový podpis vypadá správně a tón zprávy je známý. Pod tlakem rychlého zpracování faktur zaměstnanec provede převod bez telefonického ověření. O několik dní později se ozve skutečný dodavatel kvůli platbě po splatnosti. Společnost přišla o 50 000 £ a následné vyšetřování způsobilo významné narušení provozu. Tomuto incidentu bylo možné zcela předejít silným programem odolnosti vůči phishingu, který zaměstnance učí rozpoznat varovné signály a ověřovat neobvyklé požadavky nezávislým komunikačním kanálem.

Jak vypadá cílový stav

Úspěšný program odolnosti vůči phishingu posouvá organizaci z reaktivního přístupu do proaktivního. Podporuje bezpečnostně uvědomělou kulturu, ve které zaměstnanci nejsou pouze pasivními příjemci školení, ale aktivními účastníky obrany společnosti. Tento stav je vymezen měřitelným zlepšením chování a hmatatelným snížením rizik souvisejících s lidským faktorem. Přímo naplňuje požadavky ISO/IEC 27001:2022, zejména kapitolu 7.3 k povědomí a opatření A.6.3 přílohy A k povědomí, vzdělávání a školení v oblasti bezpečnosti informací. Cílový stav znamená pracovní sílu, která rozumí svým bezpečnostním odpovědnostem a má kompetence je plnit.

V tomto cílovém stavu zaměstnanci dokážou s jistotou identifikovat a hlásit podezřelé e-maily namísto toho, aby je ignorovali nebo, hůře, na ně klikali. Proces hlášení je jednoduchý, dobře známý a začleněný do každodenní práce. Při spuštění simulované phishingové kampaně je míra prokliků nízká a trvale klesá, zatímco míra hlášení je vysoká a roste. Tato data poskytují auditorům, vedení i regulatorním orgánům jasné důkazy o účinnosti programu. Ještě důležitější je, že ukazují, že vaši lidé se stali lidským firewallem schopným detekovat hrozby, které automatizované systémy mohou přehlédnout. Tato kultura ostražitosti je základní součástí kybernetické hygieny, tedy principu, který je ústřední pro moderní předpisy, jako je NIS2.

Představte si středně velkou softwarovou firmu, kde vývojář obdrží sofistikovaný spearphishingový e-mail. Zpráva se tváří jako e-mail od projektového manažera a obsahuje odkaz na dokument označený jako „urgentní změny projektové specifikace“. Vývojář, vyškolený k obezřetnosti vůči neočekávaným urgentním požadavkům, si všimne drobně nesprávné e-mailové adresy odesílatele. Místo kliknutí použije vyhrazené tlačítko „nahlásit phishing“ ve svém e-mailovém klientu. Bezpečnostní tým je okamžitě upozorněn, analyzuje hrozbu a zablokuje škodlivou doménu v celé organizaci, čímž zabrání možnému narušení. Tak vypadá cílový stav: vyškolený a uvědomělý zaměstnanec funguje jako kritický senzor ve vašem bezpečnostním aparátu.

Praktický postup

Vybudování udržitelného programu odolnosti vůči phishingu je systematický proces, nikoli jednorázová akce. Vyžaduje strukturovaný přístup kombinující posouzení, školení a průběžné upevňování. Rozdělením implementace do zvládnutelných fází můžete rychle získat dynamiku a doložit hodnotu. Tento postup zajistí, že program nebude pouhým formálním cvičením pro splnění požadavků, ale skutečným posílením vašeho bezpečnostního stavu. Náš implementační průvodce Zenith Blueprint poskytuje zastřešující rámec pro začlenění tohoto typu iniciativy zvyšování povědomí do vašeho systému řízení bezpečnosti informací (ISMS).¹

Fáze 1: Základ a posouzení výchozího stavu

Než začnete budovat odolnost, musíte porozumět výchozímu stavu. První fáze spočívá ve stanovení aktuální úrovně povědomí týmu a v identifikaci konkrétních kompetencí požadovaných pro jednotlivé role. Nejde pouze o předpoklad, že všichni potřebují stejné obecné školení. Finanční tým čelí jiným hrozbám než vaši softwaroví vývojáři. Důkladné posouzení vám pomůže přizpůsobit program tak, aby měl maximální dopad a aby byl obsah pro cílovou skupinu relevantní a přínosný. To je v souladu s kapitolou 7.2 ISO 27001, která vyžaduje, aby organizace zajistily kompetentnost osob na základě odpovídajícího vzdělávání a školení.

• Identifikujte požadované kompetence: Zmapujte konkrétní bezpečnostní znalosti potřebné pro různé role. Například pracovníci lidských zdrojů musí rozumět bezpečnému nakládání s osobními údaji, zatímco správci IT potřebují hlubokou znalost bezpečné konfigurace.
• Posuďte aktuální povědomí: Proveďte počáteční neohlášenou phishingovou simulaci za účelem stanovení výchozí míry prokliků. Získáte tím konkrétní metriku pro měření budoucího zlepšení.
• Definujte cíle programu: Stanovte jasné a měřitelné cíle. Například „Snížit míru prokliků v phishingových simulacích o 50 % do šesti měsíců“ nebo „Zvýšit míru hlášení phishingu na 75 % do jednoho roku.“
• Vyberte nástroje: Zvolte platformu pro realizaci školení a provádění simulací. Zajistěte, aby poskytovala podrobnou analytiku výkonnosti uživatelů a hlášení.

Fáze 2: Tvorba obsahu a úvodní školení

S jasným výchozím stavem a definovanými cíli je dalším krokem vytvoření a dodání hlavního školicího obsahu. Zde začínáte uzavírat znalostní mezery identifikované ve fázi 1. Klíčové je, aby školení bylo praktické, relevantní a průběžné. Jedno každoroční školení nestačí. Účinné programy začleňují bezpečnostní povědomí do celého životního cyklu zaměstnance, počínaje prvním dnem. Cílem je vybavit každého jednotlivce schopností identifikovat běžné hrozby, jako jsou phishing a malware, a vyhnout se jim.

• Vytvořte školicí moduly podle rolí: Připravte specifický obsah pro vysoce riziková oddělení. Finanční týmy musí absolvovat školení ke kompromitaci firemní e-mailové komunikace a fakturačním podvodům, zatímco vývojáři musí absolvovat školení k postupům bezpečného kódování.
• Spusťte základní školení: Zaveďte povinný modul bezpečnostního povědomí pro všechny zaměstnance. Musí pokrývat základy phishingu, hygieny hesel, sociálního inženýrství a postup hlášení bezpečnostního incidentu.
• Začleňte školení do onboardingu: Zajistěte, aby všichni noví zaměstnanci absolvovali školení bezpečnostního povědomí jako součást procesu onboardingu. Tím nastavíte jasná očekávání od prvního dne. Využijte tuto příležitost také k potvrzení seznámení s klíčovými politikami.

Fáze 3: Simulace, hlášení a zpětná vazba

Samotné školení nestačí; chování musí být testováno a upevňováno. Tato fáze se zaměřuje na pravidelné, řízené phishingové simulace, které zaměstnancům poskytují bezpečné prostředí pro procvičení dovedností. Stejně důležité je zavést bezproblémový proces pro hlášení podezřelých zpráv. Když zaměstnanec nahlásí potenciální hrozbu, poskytuje cenné informace o hrozbách v reálném čase. Vaše reakce na tato hlášení je rozhodující pro budování důvěry a podporu budoucího hlášení. Zde je nezbytný jasný a praktický plán reakce na incidenty.

• Plánujte pravidelné phishingové simulace: Přejděte od výchozího testu k pravidelné kadenci simulací, například měsíční nebo čtvrtletní. Obměňujte obtížnost a témata šablon, aby zaměstnanci zůstali ostražití.
• Zaveďte jednoduchý mechanismus hlášení: Implementujte do e-mailového klienta tlačítko „nahlásit phishing“. Uživatelé tak mohou jediným kliknutím hlásit podezřelé e-maily, bez překážek a nejistoty ohledně dalšího postupu.
• Poskytujte okamžitou zpětnou vazbu: Když uživatel klikne na odkaz v simulaci, poskytněte okamžitou, netrestající zpětnou vazbu vysvětlující varovné signály, které přehlédl. Pokud uživatel simulaci nahlásí, odešlete automatické „děkujeme“ pro posílení pozitivního chování.
• Analyzujte a sdílejte výsledky: Sledujte metriky, jako jsou míry prokliků, míry hlášení a doba do nahlášení. Sdílejte anonymizované souhrnné výsledky s vedením a širším týmem, abyste doložili pokrok a udrželi zapojení.

Politiky, které zajistí trvalost programu

Úspěšný program odolnosti vůči phishingu nemůže existovat ve vzduchoprázdnu. Musí být podpořen jasným a vymahatelným rámcem politik, který formalizuje očekávání, definuje odpovědnosti a začleňuje bezpečnostní povědomí do fungování organizace. Politiky převádějí strategické cíle do provozních pravidel, která řídí chování zaměstnanců a poskytují základ pro odpovědnost. Bez tohoto dokumentovaného základu mohou školicí aktivity působit jako volitelné a jejich dopad časem vyprchá. Ústředním dokumentem je Politika povědomí o bezpečnosti informací a školení.² Tato politika stanovuje mandát pro celý program, od onboardingu po průběžné vzdělávání.

Tato základní politika nesmí stát samostatně. Musí být propojena s dalšími klíčovými dokumenty správy a řízení, aby vznikla soudržná bezpečnostní kultura. Například vaše Politika přijatelného užívání³ stanovuje základní pravidla pro používání firemních technologií zaměstnanci, a je proto přirozeným místem pro ukotvení jejich odpovědnosti za ostražitost vůči phishingu. Když dojde k bezpečnostní události, Politika reakce na incidenty⁴ musí jasně definovat kroky, které má zaměstnanec provést při hlášení, aby informace získané z nahlášeného phishingového pokusu byly zpracovány rychle a účinně. Společně tyto politiky vytvářejí systém vzájemně provázaných opatření, která upevňují bezpečné chování.

Například během čtvrtletního přezkoumání ISMS vedením představí ředitel bezpečnosti informací nejnovější výsledky phishingových simulací. Ty ukážou mírný nárůst kliknutí u šablon fakturačních podvodů. Tým se rozhodne aktualizovat Politiku povědomí o bezpečnosti informací a školení tak, aby před dalším čtvrtletím vyžadovala specifické cílené školení pro finanční oddělení. Toto rozhodnutí je zdokumentováno a aktualizovaná politika je komunikována všem relevantním pracovníkům, čímž je zajištěno, že se program strukturovaně a auditovatelně přizpůsobuje nově vznikajícím rizikům.

Kontrolní seznamy

Aby byl program komplexní a účinný, pomáhá rozdělit práci do samostatných etap: vybudování základu, každodenní provoz a ověření dopadu. Tyto kontrolní seznamy poskytují praktický návod pro každou etapu, pomáhají udržet směr a zajistit splnění očekávání auditorů a regulatorních orgánů. Dobře zdokumentovaný program se při auditu obhajuje výrazně snáze.

Vybudovat: vybudování programu odolnosti vůči phishingu

Silný základ je kritický pro dlouhodobý úspěch. Tato počáteční fáze zahrnuje strategické plánování, zajištění zdrojů a návrh hlavních komponent programu. Uspěchané provedení této fáze často vede k obecnému a neúčinnému školení, které nezaujme zaměstnance ani neřeší konkrétní rizikový profil organizace. Investice času do správného vybudování programu se vrátí ve zlepšeném bezpečnostním stavu a odolnější pracovní síle.

• Definujte jasné cíle a klíčové ukazatele výkonnosti (KPI) programu.
• Zajistěte podporu vedení a odpovídající rozpočet na nástroje a zdroje.
• Proveďte výchozí phishingovou simulaci pro změření počáteční zranitelnosti.
• Identifikujte vysoce rizikové skupiny uživatelů a konkrétní hrozby, kterým čelí.
• Vytvořte nebo pořiďte základní a rolově specifický školicí obsah.
• Začleňte školení bezpečnostního povědomí do procesu onboardingu nových zaměstnanců.
• Zaveďte jednoduchý proces jedním kliknutím pro hlášení podezřelých e-mailů uživateli.

Provozovat: udržení dynamiky programu

Po spuštění vyžaduje program odolnosti vůči phishingu průběžné úsilí, aby zůstal účinný. Tato provozní fáze se zaměřuje na udržování pravidelné kadence aktivit, které u všech zaměstnanců udržují bezpečnost v popředí pozornosti. Zahrnuje provádění simulací, komunikaci výsledků a přizpůsobování programu na základě dat o výkonnosti a vyvíjejícího se prostředí hrozeb. Právě zde se jednorázový projekt mění v udržitelný podnikový proces.

• Plánujte a provádějte pravidelné phishingové simulace s různými šablonami a úrovněmi obtížnosti.
• Poskytujte okamžitou vzdělávací zpětnou vazbu uživatelům, kteří kliknou na odkazy v simulacích.
• Oceňujte uživatele, kteří správně nahlásí simulované i skutečné phishingové e-maily, a poděkujte jim.
• Pravidelně zveřejňujte anonymizované zprávy o výkonnosti programu pro zainteresované strany.
• Poskytujte průběžný obsah ke zvyšování povědomí prostřednictvím newsletterů, tipů nebo interní komunikace.
• Aktualizujte školicí moduly každoročně nebo při vzniku významných nových hrozeb.

Ověřit: audit účinnosti programu

Ověření znamená prokázat, že program funguje. Zahrnuje shromažďování a předkládání důkazů auditorům, regulatorním orgánům a vrcholovému vedení. Účinný program je založen na datech a měli byste být schopni doložit jasnou návratnost investice prostřednictvím sníženého rizika. Auditoři budou hledat objektivní důkazy, nikoli pouhá tvrzení. Použití strukturované knihovny cílů bezpečnostních opatření, jako jsou Zenith Controls, může pomoci zajistit, aby vaše důkazy odpovídaly normám, jako je ISO 27001.⁵

• Uchovávejte podrobné záznamy o všech školicích aktivitách, včetně harmonogramů a záznamů o účasti.
• Uchovávejte kopie všech použitých školicích materiálů a šablon phishingových simulací.
• Sledujte a dokumentujte míry prokliků a míry hlášení phishingových simulací v čase.
• Shromažďujte důkazy z přezkoumání po incidentech, kde byl phishing kořenovou příčinou.
• Provádějte pravidelná posouzení, například rozhovory nebo kvízy, pro ověření zapamatování znalostí.
• Buďte připraveni auditorům ukázat, jak program měřitelně snížil riziko související s lidským faktorem.

Časté chyby

I při nejlepších úmyslech nemusí programy odolnosti vůči phishingu přinášet výsledky. Vyhýbat se těmto častým chybám je stejně důležité jako dodržovat osvědčené postupy. Znalost těchto úskalí vám pomůže navrhnout program, který je poutavý, účinný a udržitelný.

• Považování školení za jednorázovou akci. Bezpečnostní povědomí není úkol typu „jednou a hotovo“. Vyžaduje průběžné upevňování. Každoroční školení se rychle zapomene a k vybudování trvalé bezpečnostní kultury přispívá jen málo.
• Vytváření kultury obviňování. Trestání uživatelů, kteří selžou v phishingových simulacích, je kontraproduktivní. Odrazuje od hlášení a vytváří strach, čímž zatlačuje bezpečnostní problémy do skrytu. Cílem je vzdělávání, nikoli disciplinární postih.
• Používání nerealistických nebo obecných simulací. Pokud jsou phishingové šablony zjevně falešné nebo nesouvisejí s kontextem vaší organizace, zaměstnanci se rychle naučí rozpoznávat simulace, nikoli skutečné útoky.
• Opomíjení vrcholového vedení. Útočníci často cílí na vrcholové vedoucí pracovníky vysoce personalizovanými spearphishingovými útoky. Vrcholové vedení a jeho asistenti musí být zahrnuti do školení i simulací.
• Ztěžování hlášení. Pokud zaměstnanec musí hledat pokyny, jak nahlásit podezřelý e-mail, pravděpodobnost hlášení klesá. Jednoduché tlačítko pro hlášení jedním kliknutím je nezbytné.
• Nečinnost po nahlášených incidentech. Když uživatelé hlásí skutečné phishingové e-maily, poskytují kritické informace o hrozbách. Pokud bezpečnostní tým tato hlášení nepotvrdí nebo na ně nereaguje, uživatelé je přestanou podávat.

Další kroky

Vybudování odolného lidského firewallu je nezbytnou součástí každé moderní bezpečnostní strategie. Implementací strukturovaného a průběžného programu povědomí o phishingu můžete významně snížit riziko narušení a doložit soulad s klíčovými předpisy.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Reference