Kaip sukurti iš tiesų veikiančią atsparumo fišingui programą

Jūsų techninės kontrolės priemonės gali būti stiprios, tačiau darbuotojai išlieka pagrindiniu fišingo atakų taikiniu. Šiame vadove pateikiamas struktūruotas, su ISO 27001 suderintas kelias, kaip sukurti atsparumo fišingui programą, kuri paverčia komandą iš pažeidžiamumo stipriausia gynybos linija, mažina žmogiškosios klaidos riziką ir padeda atitikti reguliacinius reikalavimus, kylančius iš tokių sistemų kaip NIS2 ir DORA.

Kuo rizikuojama

Techninės apsaugos priemonės, tokios kaip el. pašto filtrai ir galinių įrenginių apsauga, yra būtinos, tačiau jos nėra neklystančios. Atakuotojai žino, kad paprasčiausias kelias į saugų tinklą dažnai eina per žmogų. Vienas paspaudimas ant kenkėjiškos nuorodos gali apeiti milijonų svarų vertės saugumo technologijas. Naudotojų paskyros yra vieni dažniausių kibernetinių atakų pradinių prieigos taškų, o sėkminga fišingo kampanija gali lemti prisijungimo duomenų vagystę, užkrėtimą kenkėjiška programine įranga ir neteisėtą prieigą. Pasekmės nėra vien techninės; jos turi tiesioginį poveikį verslui. Kompromituota paskyra gali lemti apgaulingus bankinius pavedimus, jautrių klientų duomenų atskleidimą ir reikšmingą veiklos prastovą, kol sistemos valomos ir atkuriamos.

Reguliacinė aplinka taip pat yra griežta. Tokie reguliavimo aktai ir sistemos kaip GDPR, NIS2 ir DORA aiškiai reikalauja, kad organizacijos įgyvendintų saugumo priemones, apimančias nuolatinius darbuotojų mokymus ir informuotumo didinimą. Pavyzdžiui, NIS2 direktyvos Article 21 reikalauja, kad esminiai ir svarbūs subjektai užtikrintų kibernetinio saugumo mokymus ir skatintų bazinę kibernetinę higieną. Panašiai DORA Article 13 reikalauja, kad finansų subjektai nustatytų išsamias mokymo programas. Nesugebėjimas pagrįsti patikimos informuotumo didinimo programos gali lemti dideles sankcijas, reputacijos žalą ir klientų pasitikėjimo praradimą. Rizika nėra abstrakti; tai tiesioginė grėsmė finansiniam stabilumui ir teisinei padėčiai. Žmogiškoji klaida yra pagrindinis rizikos šaltinis, todėl reguliuotojai tikisi, kad ją valdysite taip pat rimtai kaip bet kurį techninį pažeidžiamumą.

Įsivaizduokite vidutinio dydžio logistikos įmonę. Finansų skyriaus darbuotojas gauna įtikinamą el. laišką, tariamai iš žinomo tiekėjo, kuriame prašoma skubiai atlikti mokėjimą į naują banko sąskaitą. El. pašto parašas atrodo teisingas, o tonas – pažįstamas. Spaudžiamas greitai apdoroti sąskaitas faktūras, darbuotojas atlieka pavedimą be žodinio patvirtinimo. Po kelių dienų tikrasis tiekėjas paskambina dėl pavėluoto mokėjimo. Įmonė praranda £50,000, o vėlesnis tyrimas sukelia reikšmingų trikdžių. Šio incidento buvo galima visiškai išvengti taikant stiprią atsparumo fišingui programą, kuri moko darbuotojus atpažinti įspėjamuosius požymius ir patikrinti neįprastus prašymus atskiru komunikacijos kanalu.

Kaip atrodo gera praktika

Sėkminga atsparumo fišingui programa perkelia organizaciją iš reaktyvios pozicijos į proaktyvią. Ji ugdo informacijos saugumo kultūrą, kurioje darbuotojai nėra vien pasyvūs mokymų gavėjai, bet aktyvūs įmonės gynybos dalyviai. Šią būseną apibrėžia išmatuojami elgsenos pagerėjimai ir apčiuopiamas su žmogiškuoju veiksniu susijusios rizikos sumažėjimas. Ji tiesiogiai atitinka ISO/IEC 27001:2022 reikalavimus, ypač 7.3 punktą dėl informuotumo ir A priedo kontrolės priemonę A.6.3 dėl informuotumo apie informacijos saugumą, mokymo ir ugdymo. Gera praktika reiškia darbuotojus, kurie supranta savo saugumo atsakomybes ir turi kompetenciją jas vykdyti.

Tokioje būsenoje darbuotojai geba užtikrintai identifikuoti įtartinus el. laiškus ir apie juos pranešti, o ne juos ignoruoti arba, dar blogiau, spausti juose esančias nuorodas. Pranešimo procesas yra paprastas, gerai žinomas ir integruotas į kasdienę darbo eigą. Vykdant simuliuotą fišingo kampaniją, paspaudimų dažnis yra žemas ir nuosekliai mažėja, o pranešimų teikimo dažnis – aukštas ir didėja. Šie duomenys auditoriams, vadovybei ir reguliuotojams suteikia aiškius įrodymus, kad programa yra veiksminga. Dar svarbiau – jie rodo, kad jūsų darbuotojai tapo žmogiškąja ugniasiene, galinčia aptikti grėsmes, kurių automatizuotos sistemos gali nepastebėti. Tokia budrumo kultūra yra esminė kibernetinės higienos dalis – principas, užimantis svarbią vietą šiuolaikiniuose reguliavimo aktuose, tokiuose kaip NIS2.

Įsivaizduokite programinės įrangos kūrimo MVĮ, kurioje kūrėjas gauna sudėtingą tikslinio fišingo el. laišką. Laiškas atrodo atsiųstas projekto vadovo ir jame yra nuoroda į dokumentą, apibūdintą kaip „skubūs projekto specifikacijos pakeitimai“. Kūrėjas, išmokytas kritiškai vertinti netikėtus skubius prašymus, pastebi, kad siuntėjo el. pašto adresas šiek tiek netikslus. Užuot paspaudęs nuorodą, jis naudoja el. pašto kliente esantį specialų mygtuką „pranešti apie fišingą“. Saugumo komanda nedelsdama gauna įspėjimą, analizuoja grėsmę ir blokuoja kenkėjišką domeną visoje organizacijoje, taip užkirsdama kelią galimam pažeidimui. Štai kaip atrodo gera praktika: apmokytas ir sąmoningas darbuotojas veikia kaip kritinis jutiklis jūsų saugumo kontrolės sistemoje.

Praktinis kelias

Tvarios atsparumo fišingui programos kūrimas yra sistemingas procesas, o ne vienkartinis veiksmas. Tam reikia struktūruoto požiūrio, apimančio vertinimą, mokymus ir nuolatinį stiprinimą. Suskaidę įgyvendinimą į valdomus etapus, galite greitai sukurti pagreitį ir parodyti vertę. Šis kelias užtikrina, kad programa nebūtų vien formalus atitikties langelio pažymėjimas, bet realus saugumo būklės pagerinimas. Mūsų įgyvendinimo vadovas Zenith Blueprint pateikia bendrą sistemą, kaip tokio tipo informuotumo didinimo iniciatyvą integruoti į jūsų informacijos saugumo valdymo sistemą (ISVS).¹

1 etapas: pagrindo sukūrimas ir bazinis vertinimas

Prieš stiprinant atsparumą, reikia suprasti pradinę padėtį. Pirmasis etapas skirtas nustatyti bazinį komandos esamo informuotumo lygį ir identifikuoti konkrečias kompetencijas, reikalingas skirtingiems vaidmenims. Tai reiškia daugiau nei prielaidą, kad visiems reikia vienodų bendrinių mokymų. Finansų komanda susiduria su kitokiomis grėsmėmis nei programinės įrangos kūrėjai. Išsamus vertinimas padeda pritaikyti programą didžiausiam poveikiui, užtikrinant, kad turinys auditorijai būtų aktualus ir įtraukiantis. Tai atitinka ISO 27001 7.2 punktą, pagal kurį organizacijos turi užtikrinti, kad žmonės būtų kompetentingi remiantis tinkamu išsilavinimu ir mokymu.

• Identifikuokite reikalingas kompetencijas: Susiekite konkrečias saugumo žinias su skirtingais vaidmenimis. Pavyzdžiui, žmogiškųjų išteklių skyriaus darbuotojai turi suprasti, kaip saugiai tvarkyti asmens duomenis, o IT administratoriams reikia gilių žinių apie saugų konfigūravimą.
• Įvertinkite esamą informuotumą: Atlikite pradinę, iš anksto neskelbtą fišingo simuliaciją, kad nustatytumėte bazinį paspaudimų dažnį. Tai suteikia konkretų rodiklį, pagal kurį galima matuoti būsimą pažangą.
• Apibrėžkite programos tikslus: Nustatykite aiškius ir išmatuojamus tikslus. Pavyzdžiui: „Per šešis mėnesius sumažinti fišingo simuliacijų paspaudimų dažnį 50 %“ arba „Per vienus metus padidinti pranešimų apie fišingą teikimo dažnį iki 75 %“.
• Pasirinkite priemones: Pasirinkite platformą mokymams teikti ir simuliacijoms vykdyti. Įsitikinkite, kad ji gali pateikti išsamią analitiką apie naudotojų rezultatus ir pranešimų teikimą.

2 etapas: turinio rengimas ir pradiniai mokymai

Turint aiškų bazinį lygį ir apibrėžtus tikslus, kitas žingsnis yra parengti ir pateikti pagrindinį mokymų turinį. Čia pradedamos šalinti 1 etape nustatytos žinių spragos. Svarbiausia, kad mokymai būtų praktiški, aktualūs ir tęstiniai. Vienos metinės mokymų sesijos nepakanka. Veiksmingos programos įtraukia informuotumą apie saugumą į visą darbuotojų gyvavimo ciklą nuo pirmos dienos. Tikslas – suteikti kiekvienam asmeniui gebėjimą atpažinti ir išvengti bendrų grėsmių, tokių kaip fišingas ir kenkėjiška programinė įranga.

• Parenkite vaidmenimis pagrįstus mokymo modulius: Sukurkite konkretų turinį didelės rizikos padaliniams. Finansų komandos turi gauti mokymus apie verslo el. pašto paskyrų kompromitavimą ir sąskaitų faktūrų sukčiavimą, o kūrėjai – apie saugaus programavimo praktikas.
• Pradėkite bazinius mokymus: Įdiekite privalomą informuotumo apie saugumą modulį visiems darbuotojams. Jame turi būti aptariami fišingo pagrindai, slaptažodžių higiena, socialinė inžinerija ir tai, kaip pranešti apie saugumo incidentą.
• Integruokite į įvedimo į darbą procesą: Užtikrinkite, kad visi nauji darbuotojai baigtų informuotumo apie saugumą mokymus kaip įvedimo į darbą proceso dalį. Tai nustato aiškius lūkesčius nuo pirmosios jų darbo dienos. Pasinaudokite šia galimybe, kad jie patvirtintų pagrindines politikas.

3 etapas: simuliacijos, pranešimų teikimas ir grįžtamasis ryšys

Vien mokymų nepakanka; elgsena turi būti testuojama ir stiprinama. Šiame etape dėmesys skiriamas reguliarioms, kontroliuojamoms fišingo simuliacijoms, suteikiančioms darbuotojams saugią aplinką praktikuoti įgūdžius. Ne mažiau svarbu nustatyti sklandų procesą, kaip pranešti apie įtartinus pranešimus. Kai darbuotojas praneša apie galimą grėsmę, jis suteikia vertingos realiojo laiko grėsmių žvalgybos informacijos. Jūsų reakcija į tokius pranešimus yra kritiškai svarbi pasitikėjimui kurti ir būsimam pranešimų teikimui skatinti. Čia būtinas aiškus ir praktiškas reagavimo į incidentus planas.

• Suplanuokite reguliarias fišingo simuliacijas: Nuo bazinio testo pereikite prie reguliaraus simuliacijų ritmo, pavyzdžiui, kas mėnesį arba kas ketvirtį. Keiskite šablonų sudėtingumą ir temas, kad darbuotojai išliktų budrūs.
• Nustatykite paprastą pranešimo mechanizmą: Įdiekite el. pašto kliente mygtuką „pranešti apie fišingą“. Tai leidžia naudotojams vienu paspaudimu pranešti apie įtartinus el. laiškus, pašalinant trintį ir neapibrėžtumą, ką daryti.
• Teikite nedelsiamą grįžtamąjį ryšį: Kai naudotojas paspaudžia simuliacijos nuorodą, iš karto pateikite nebaudžiamąjį grįžtamąjį ryšį, paaiškinantį nepastebėtus įspėjamuosius požymius. Jei naudotojas praneša apie simuliaciją, išsiųskite automatinę padėką, kad sustiprintumėte teigiamą elgesį.
• Analizuokite ir dalykitės rezultatais: Stebėkite tokius rodiklius kaip paspaudimų dažnis, pranešimų teikimo dažnis ir pranešimo pateikimo laikas. Su vadovybe ir platesne komanda dalykitės anonimizuotais aukšto lygio rezultatais, kad parodytumėte pažangą ir išlaikytumėte įsitraukimą.

Politikos, kurios įtvirtina rezultatą

Sėkminga atsparumo fišingui programa negali veikti vakuume. Ją turi palaikyti aiški ir įgyvendinama politikų sistema, kuri formalizuoja lūkesčius, apibrėžia atsakomybes ir integruoja informuotumą apie saugumą į organizacijos veiklos pagrindą. Politikos paverčia strateginius tikslus veiklos taisyklėmis, kurios nukreipia darbuotojų elgseną ir suteikia pagrindą atskaitomybei. Be šio dokumentuoto pagrindo mokymai gali atrodyti neprivalomi, o jų poveikis ilgainiui sumažės. Pagrindinis dokumentas šiuo klausimu yra Informuotumo apie informacijos saugumą ir mokymo politika.² Ši politika nustato visos programos privalomąjį pagrindą – nuo įvedimo į darbą iki tęstinio mokymo.

Ši pagrindinė politika neturi būti atskirta. Ji turi būti susieta su kitais kritiniais valdysenos dokumentais, kad būtų sukurta nuosekli saugumo kultūra. Pavyzdžiui, jūsų Priimtino naudojimo politika³ nustato pagrindines taisykles, kaip darbuotojai naudoja įmonės technologijas, todėl tai natūrali vieta nurodyti jų atsakomybę išlikti budriems dėl fišingo. Kai įvyksta saugumo įvykis, Reagavimo į incidentus politika⁴ turi aiškiai apibrėžti veiksmus, kuriuos darbuotojas privalo atlikti norėdamas apie jį pranešti, kad iš pranešto fišingo bandymo gauta žvalgybinė informacija būtų greitai ir veiksmingai tvarkoma. Kartu šios politikos sukuria tarpusavyje susietų kontrolės priemonių sistemą, kuri stiprina saugią elgseną.

Pavyzdžiui, per ketvirtinį ISVS peržiūros susitikimą vyriausiasis informacijos saugumo pareigūnas (CISO) pristato naujausius fišingo simuliacijų rezultatus. Jie rodo nedidelį paspaudimų padidėjimą sąskaitų faktūrų sukčiavimo šablonuose. Komanda nusprendžia atnaujinti Informuotumo apie informacijos saugumą ir mokymo politiką, kad iki kito ketvirčio finansų skyriui būtų privalomi konkretūs tiksliniai mokymai. Šis sprendimas dokumentuojamas, o atnaujinta politika komunikuojama visiems susijusiems darbuotojams, užtikrinant, kad programa struktūruotai ir audituojamai prisitaikytų prie kylančių rizikų.

Patikros sąrašai

Siekiant užtikrinti, kad programa būtų išsami ir veiksminga, naudinga darbus suskirstyti į aiškius etapus: pagrindo kūrimą, kasdienį veikimą ir poveikio patikrinimą. Šie patikros sąrašai pateikia praktines gaires kiekvienam etapui, padeda išlaikyti kryptį ir užtikrinti, kad atitiktumėte auditorių bei reguliuotojų lūkesčius. Gerai dokumentuotą programą daug lengviau apginti audito metu.

Kurti: atsparumo fišingui programos kūrimas

Tvirtas pagrindas yra kritiškai svarbus ilgalaikei sėkmei. Šis pradinis etapas apima strateginį planavimą, išteklių užtikrinimą ir pagrindinių programos komponentų projektavimą. Skubėjimas šiame etape dažnai lemia bendrinius, neveiksmingus mokymus, kurie neįtraukia darbuotojų ir neatliepia konkretaus rizikos profilio. Skyrus laiko tinkamam pagrindui sukurti, tai atsipirks geresne saugumo būkle ir atsparesne darbo jėga.

• Apibrėžkite aiškius programos tikslus ir pagrindinius veiklos rodiklius (KPI).
• Užtikrinkite vadovybės palaikymą ir pakankamą biudžetą priemonėms bei ištekliams.
• Atlikite bazinę fišingo simuliaciją pradiniam pažeidžiamumui išmatuoti.
• Identifikuokite didelės rizikos naudotojų grupes ir konkrečias grėsmes, su kuriomis jos susiduria.
• Parenkite arba įsigykite bazinį ir vaidmenims pritaikytą mokymų turinį.
• Integruokite informuotumo apie saugumą mokymus į naujų darbuotojų įvedimo į darbą procesą.
• Nustatykite paprastą vieno paspaudimo procesą, kuriuo naudotojai galėtų pranešti apie įtartinus el. laiškus.

Vykdyti: programos ritmo palaikymas

Pradėjus veikti, atsparumo fišingui programa reikalauja nuolatinių pastangų, kad išliktų veiksminga. Šis veiklos etapas skirtas palaikyti reguliarų veiklų ritmą, kad saugumas išliktų visų darbuotojų dėmesio centre. Jis apima simuliacijų vykdymą, rezultatų komunikavimą ir programos pritaikymą pagal veiklos duomenis bei kintantį grėsmių kraštovaizdį. Čia vienkartinis projektas paverčiamas tvariu verslo procesu.

• Planuokite ir vykdykite reguliarias fišingo simuliacijas, naudodami įvairius šablonus ir sudėtingumo lygius.
• Teikite nedelsiamą mokomąjį grįžtamąjį ryšį naudotojams, kurie paspaudžia simuliacijos nuorodas.
• Patvirtinkite pranešimus ir padėkokite naudotojams, kurie teisingai praneša apie simuliuotus ir realius fišingo el. laiškus.
• Reguliariai skelbkite anonimizuotas programos veiksmingumo ataskaitas suinteresuotosioms šalims.
• Teikite tęstinį informuotumo didinimo turinį per naujienlaiškius, patarimus arba vidinę komunikaciją.
• Kasmet arba atsiradus reikšmingoms naujoms grėsmėms atnaujinkite mokymo modulius.

Tikrinti: programos veiksmingumo auditas

Tikrinimas reiškia įrodymą, kad programa veikia. Tai apima įrodymų rinkimą ir pateikimą auditoriams, reguliuotojams ir aukščiausiajai vadovybei. Veiksminga programa yra grindžiama duomenimis, todėl turite gebėti parodyti aiškią investicijų grąžą per sumažintą riziką. Auditoriai ieškos objektyvių įrodymų, o ne vien teiginių. Struktūruotos kontrolės tikslų bibliotekos, tokios kaip Zenith Controls, naudojimas gali padėti užtikrinti, kad jūsų įrodymai būtų suderinti su tokiais standartais kaip ISO 27001.⁵

• Tvarkykite išsamius visų mokymo veiklų įrašus, įskaitant grafikus ir dalyvavimo žurnalus.
• Saugokite visų naudotų mokymo medžiagų ir fišingo simuliacijų šablonų kopijas.
• Laikui bėgant stebėkite ir dokumentuokite fišingo simuliacijų paspaudimų dažnį ir pranešimų teikimo dažnį.
• Rinkite peržiūrų po incidento įrodymus, kai pagrindinė priežastis buvo fišingas.
• Periodiškai atlikite vertinimus, pvz., interviu ar testus, kad įvertintumėte žinių išlaikymą.
• Būkite pasirengę auditoriams parodyti, kaip programa išmatuojamai sumažino su žmogiškuoju veiksniu susijusią riziką.

Dažnos klaidos

Net ir turint gerų ketinimų, atsparumo fišingui programos gali nepasiekti rezultatų. Šių dažnų klaidų vengimas yra toks pat svarbus kaip geriausiųjų praktikų taikymas. Žinodami šiuos spąstus, galite sukurti įtraukiančią, veiksmingą ir tvarią programą.

• Mokymų traktavimas kaip vienkartinio veiksmo. Informuotumas apie saugumą nėra vieną kartą atlikta ir pamiršta užduotis. Jam reikia nuolatinio stiprinimo. Metinė mokymų sesija greitai pamirštama ir mažai prisideda prie ilgalaikės saugumo kultūros kūrimo.
• Kaltinimo kultūros kūrimas. Naudotojų baudimas už neišlaikytas fišingo simuliacijas duoda priešingą rezultatą. Tai atgraso nuo pranešimų teikimo ir kuria baimę, todėl saugumo problemos slepiamos. Tikslas yra mokymas, o ne drausminės priemonės.
• Nerealistiškų arba bendrinių simuliacijų naudojimas. Jei fišingo šablonai akivaizdžiai netikri arba nesusiję su jūsų verslo kontekstu, darbuotojai greitai išmoks atpažinti simuliacijas, bet ne realias atakas.
• Aukščiausiosios vadovybės ignoravimas. Atakuotojai dažnai taikosi į aukščiausiuosius vadovus naudodami itin personalizuotas tikslinio fišingo atakas. Vykdomieji vadovai ir jų asistentai privalo būti įtraukti į mokymus ir simuliacijas.
• Sudėtingas pranešimų teikimas. Jei darbuotojui reikia ieškoti instrukcijų, kaip pranešti apie įtartiną el. laišką, tikimybė, kad jis tai padarys, sumažėja. Paprastas vieno paspaudimo pranešimo mygtukas yra privalomas reikalavimas.
• Neveikimas pagal praneštus incidentus. Kai naudotojai praneša apie realius fišingo el. laiškus, jie pateikia kritinę grėsmių žvalgybos informaciją. Jei saugumo komanda šių pranešimų nepatvirtina arba nesiima veiksmų, naudotojai nustos stengtis.

Tolesni veiksmai

Atsparios žmogiškosios ugniasienės kūrimas yra būtina bet kurios šiuolaikinės saugumo strategijos dalis. Įgyvendindami struktūruotą, tęstinę informuotumo apie fišingą programą, galite reikšmingai sumažinti pažeidimo riziką ir pagrįsti atitiktį pagrindiniams reguliavimo reikalavimams.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Nuorodos