⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
LV EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT MT NL PL PT RO SK SL SV
Compliance ISO 27001 NIS2 DORA

Kā izveidot pikšķerēšanas noturības programmu, kas patiešām darbojas

Igor Petreski
14 min read
#ISO 27001:2022 #Risku pārvaldība #Reaģēšana uz incidentiem #Datu aizsardzība #Atbilstība

Jūsu tehniskie drošības kontroles pasākumi var būt spēcīgi, taču darbinieki joprojām ir galvenais pikšķerēšanas uzbrukumu mērķis. Šis ceļvedis sniedz strukturētu, ar ISO 27001 saskaņotu pieeju pikšķerēšanas noturības programmas izveidei, kas pārvērš komandu no ievainojamības par spēcīgāko aizsardzības līniju, samazina cilvēkfaktora kļūdas un palīdz izpildīt regulatīvās prasības, ko nosaka tādi regulējumi kā NIS2 un DORA.

Kas ir apdraudēts

Tehniskā aizsardzība, piemēram, e-pasta filtri un galiekārtu aizsardzība, ir būtiska, taču tā nav nekļūdīga. Uzbrucēji zina, ka vienkāršākais ceļš drošā tīklā bieži ved caur cilvēku. Viens klikšķis uz ļaunprātīgas saites var apiet drošības tehnoloģijas miljonu mārciņu vērtībā. Lietotāju konti ir visbiežāk mērķētie ieejas punkti kiberuzbrukumos, un veiksmīga pikšķerēšanas kampaņa var izraisīt autentifikācijas datu zādzību, ļaunatūras infekciju un nesankcionētu piekļuvi. Sekas nav tikai tehniskas; tās tieši ietekmē uzņēmuma darbību. Kompromitēts konts var novest pie krāpnieciskiem bankas pārskaitījumiem, sensitīvu klientu datu izpaušanas un būtiskas darbības dīkstāves, kamēr sistēmas tiek attīrītas un atjaunotas.

Regulatīvā vide arī nepiedod paviršību. Tādi regulējumi kā GDPR, NIS2 un DORA tieši prasa organizācijām ieviest drošības pasākumus, kas ietver nepārtrauktu darbinieku apmācību un izpratnes veicināšanu. Piemēram, NIS2 direktīvas Article 21 būtiskajām un svarīgajām vienībām prasa nodrošināt kiberdrošības apmācību un veicināt kiberdrošības higiēnas pamatpraksi. Līdzīgi DORA Article 13 finanšu vienībām prasa izveidot visaptverošas apmācību programmas. Nespēja pierādīt stabilas izpratnes programmas esamību var novest pie būtiskiem sodiem, reputācijas kaitējuma un klientu uzticēšanās zaudēšanas. Risks nav abstrakts; tas ir tiešs apdraudējums finanšu stabilitātei un tiesiskajai pozīcijai. Cilvēkfaktora kļūdas ir būtisks riska avots, un regulatori sagaida, ka pret tām attieksieties ar tādu pašu nopietnību kā pret jebkuru tehnisku ievainojamību.

Apsveriet vidēja izmēra loģistikas uzņēmumu. Finanšu nodaļas darbinieks saņem pārliecinošu e-pastu, šķietami no zināma piegādātāja, ar lūgumu steidzami veikt maksājumu uz jaunu bankas kontu. E-pasta paraksts izskatās pareizs, un tonis ir pazīstams. Spiediena apstākļos ātri apstrādāt rēķinus darbinieks veic pārskaitījumu bez mutiska apstiprinājuma. Pēc dažām dienām īstais piegādātājs zvana par kavētu maksājumu. Uzņēmums ir zaudējis £50,000, un turpmākā izmeklēšana rada būtiskus darbības traucējumus. Šo incidentu pilnībā varēja novērst ar spēcīgu pikšķerēšanas noturības programmu, kas apmāca darbiniekus pamanīt brīdinājuma pazīmes un pārbaudīt neparastus pieprasījumus, izmantojot atsevišķu saziņas kanālu.

Kā izskatās labs rezultāts

Veiksmīga pikšķerēšanas noturības programma pārceļ organizāciju no reaktīva drošības stāvokļa uz proaktīvu. Tā veido drošības apzināšanās kultūru, kurā darbinieki nav tikai pasīvi apmācību saņēmēji, bet aktīvi uzņēmuma aizsardzības dalībnieki. Šādu stāvokli raksturo izmērāmi uzvedības uzlabojumi un taustāms ar cilvēkfaktoru saistītā riska samazinājums. Tas tieši aptver ISO/IEC 27001:2022 prasības, jo īpaši 7.3. punktu par izpratni un A pielikuma kontroles pasākumu A.6.3 par informācijas drošības izpratni, izglītošanu un apmācību. Labs rezultāts ir darbinieki, kuri izprot savus drošības pienākumus un ir kompetenti tos izpildīt.

Šādā vēlamajā stāvoklī darbinieki spēj pārliecinoši identificēt aizdomīgus e-pastus un ziņot par tiem, nevis tos ignorēt vai, vēl sliktāk, uz tiem noklikšķināt. Ziņošanas process ir vienkāršs, labi zināms un integrēts ikdienas darbplūsmā. Kad tiek veikta simulēta pikšķerēšanas kampaņa, klikšķu rādītāji ir zemi un konsekventi samazinās, bet ziņošanas biežums ir augsts un pieaug. Šie dati sniedz skaidrus pierādījumus auditoriem, vadībai un regulatoriem, ka programma ir efektīva. Vēl svarīgāk — tie parāda, ka jūsu darbinieki ir kļuvuši par cilvēka ugunsmūri, kas spēj atklāt apdraudējumus, kurus automatizētās sistēmas var nepamanīt. Šī modrības kultūra ir kiberdrošības higiēnas pamatelements — princips, kam ir centrāla nozīme mūsdienu regulējumos, piemēram, NIS2.

Iedomājieties programmatūras izstrādes MVU, kur izstrādātājs saņem rūpīgi sagatavotu mērķētu pikšķerēšanas e-pastu. E-pasts šķietami ir no projekta vadītāja un satur saiti uz dokumentu, kas aprakstīts kā “steidzamas projekta specifikācijas izmaiņas”. Izstrādātājs, kurš ir apmācīts kritiski vērtēt negaidītus steidzamus pieprasījumus, pamana, ka sūtītāja e-pasta adrese ir smalki nepareiza. Tā vietā, lai klikšķinātu, viņš e-pasta klientā izmanto īpaši paredzētu pogu “ziņot par pikšķerēšanu”. Informācijas drošības komanda nekavējoties saņem brīdinājumu, analizē apdraudējumu un bloķē ļaunprātīgo domēnu visā organizācijā, novēršot iespējamu drošības pārkāpumu. Tā izskatās labs rezultāts: apmācīts un informēts darbinieks darbojas kā kritisks sensors jūsu drošības mehānismā.

Praktiskā pieeja

Ilgtspējīgas pikšķerēšanas noturības programmas izveide ir sistemātisks process, nevis vienreizējs pasākums. Tam nepieciešama strukturēta pieeja, kas apvieno izvērtēšanu, apmācību un nepārtrauktu nostiprināšanu. Sadalot ieviešanu pārvaldāmos posmos, iespējams ātri iegūt virzību un pierādīt vērtību. Šī pieeja nodrošina, ka programma nav tikai formāls atbilstības uzdevums, bet reāls drošības stāvokļa uzlabojums. Mūsu ieviešanas ceļvedis Zenith Blueprint sniedz kopējo ietvaru šāda veida izpratnes iniciatīvas integrēšanai informācijas drošības pārvaldības sistēmā (ISMS).1

1. posms: pamatu izveide un sākotnējā izvērtēšana

Pirms varat veidot noturību, ir jāsaprot sākuma punkts. Pirmajā posmā jānosaka komandas pašreizējais izpratnes līmenis un jāidentificē konkrētās kompetences, kas nepieciešamas dažādām lomām. Tas nozīmē vairāk nekā pieņēmumu, ka visiem nepieciešama viena un tā pati vispārīgā apmācība. Finanšu komandai ir citi apdraudējumi nekā programmatūras izstrādātājiem. Rūpīga izvērtēšana palīdz pielāgot programmu maksimālai ietekmei, nodrošinot, ka saturs ir atbilstošs un iesaistošs mērķauditorijai. Tas atbilst ISO 27001 7.2. punktam, kas prasa organizācijām nodrošināt personu kompetenci, pamatojoties uz atbilstošu izglītību un apmācību.

  • Identificējiet nepieciešamās kompetences: kartējiet konkrētās drošības zināšanas, kas vajadzīgas dažādām lomām. Piemēram, personāla nodaļas darbiniekiem jāizprot, kā droši apstrādāt personas datus, savukārt IT administratoriem nepieciešamas padziļinātas zināšanas par drošu konfigurāciju.
  • Novērtējiet pašreizējo izpratni: veiciet sākotnēju, iepriekš neizziņotu pikšķerēšanas simulāciju, lai noteiktu sākotnējo klikšķu rādītāju. Tas sniedz konkrētu metriku, pret kuru mērīt turpmākos uzlabojumus.
  • Definējiet programmas mērķus: nosakiet skaidrus un izmērāmus mērķus. Piemēram: “Samazināt pikšķerēšanas simulāciju klikšķu rādītāju par 50% sešu mēnešu laikā” vai “Palielināt ziņošanas par pikšķerēšanu biežumu līdz 75% viena gada laikā.”
  • Izvēlieties rīkus: izvēlieties platformu apmācību nodrošināšanai un simulāciju veikšanai. Pārliecinieties, ka tā spēj sniegt detalizētu analītiku par lietotāju sniegumu un ziņošanu.

2. posms: satura izstrāde un sākotnējā apmācība

Kad sākotnējais līmenis ir skaidrs un mērķi definēti, nākamais solis ir izstrādāt un nodrošināt pamata apmācību saturu. Šeit sākas 1. posmā identificēto zināšanu trūkumu novēršana. Galvenais ir padarīt apmācību praktisku, atbilstošu un nepārtrauktu. Viena ikgadēja apmācību sesija nav pietiekama. Efektīvas programmas iestrādā drošības izpratni visā nodarbinātības dzīves ciklā, sākot no pirmās dienas. Mērķis ir nodrošināt katram darbiniekam spēju identificēt biežākos apdraudējumus, piemēram, pikšķerēšanu un ļaunatūru, un izvairīties no tiem.

  • Izstrādājiet uz lomām balstītus apmācību moduļus: izveidojiet konkrētu saturu augsta riska struktūrvienībām. Finanšu komandām jāsaņem apmācība par uzņēmuma e-pasta kompromitēšanu un rēķinu krāpšanu, savukārt izstrādātājiem — par drošas kodēšanas praksi.
  • Sāciet pamata apmācību: ieviesiet obligātu drošības izpratnes moduli visiem darbiniekiem. Tam jāaptver pikšķerēšanas pamati, paroļu higiēna, sociālā inženierija un kā ziņot par drošības incidentu.
  • Integrējiet ievadapmācībā: nodrošiniet, ka visi jaunie darbinieki pabeidz drošības izpratnes apmācību kā daļu no ievadapmācības procesa. Tas nosaka skaidras gaidas jau no pirmās dienas. Izmantojiet šo iespēju, lai darbinieki apliecinātu galveno politiku izpratni.

3. posms: simulācijas, ziņošana un atgriezeniskā saite

Ar apmācību vien nepietiek; rīcība ir jāpārbauda un jānostiprina. Šis posms ir vērsts uz regulāru, kontrolētu pikšķerēšanas simulāciju veikšanu, lai darbiniekiem nodrošinātu drošu vidi prasmju praktizēšanai. Tikpat svarīgi ir izveidot vienkāršu procesu ziņošanai par aizdomīgiem ziņojumiem. Kad darbinieks ziņo par iespējamu apdraudējumu, viņš sniedz vērtīgu draudu izlūkošanu reāllaikā. Jūsu reakcija uz šiem ziņojumiem ir kritiska uzticēšanās veidošanai un turpmākas ziņošanas veicināšanai. Šeit būtisks ir skaidrs un praktisks reaģēšanas uz incidentiem plāns.

  • Ieplānojiet regulāras pikšķerēšanas simulācijas: pārejiet no sākotnējā testa uz regulāru simulāciju ritmu, piemēram, reizi mēnesī vai ceturksnī. Mainiet veidņu sarežģītību un tēmas, lai uzturētu darbinieku modrību.
  • Izveidojiet vienkāršu ziņošanas mehānismu: ieviesiet e-pasta klientā pogu “ziņot par pikšķerēšanu”. Tas ļauj lietotājiem ar vienu klikšķi ziņot par aizdomīgiem e-pastiem, novēršot jebkādu berzi vai neskaidrību par rīcību.
  • Sniedziet tūlītēju atgriezenisko saiti: kad lietotājs noklikšķina uz simulācijas saites, nekavējoties sniedziet izglītojošu un nesodošu atgriezenisko saiti, paskaidrojot nepamanītās brīdinājuma pazīmes. Ja lietotājs ziņo par simulāciju, nosūtiet automatizētu “paldies”, lai nostiprinātu pozitīvo rīcību.
  • Analizējiet un kopīgojiet rezultātus: sekojiet tādiem rādītājiem kā klikšķu rādītāji, ziņošanas biežums un laiks līdz ziņošanai. Kopīgojiet anonimizētus, kopsavilkuma līmeņa rezultātus ar vadību un plašāku komandu, lai parādītu progresu un uzturētu iesaisti.

Politikas, kas nodrošina ilgtspēju

Veiksmīga pikšķerēšanas noturības programma nevar pastāvēt izolēti. Tai jābūt balstītai skaidrā un piemērojamā politiku ietvarā, kas formalizē gaidas, definē atbildības un integrē drošības izpratni organizācijas darbībā. Politikas pārvērš stratēģiskos mērķus operacionālos noteikumos, kas vada darbinieku rīcību un nodrošina pārskatatbildības pamatu. Bez šāda dokumentēta pamata apmācību pasākumi var šķist neobligāti, un to ietekme laika gaitā mazināsies. Centrālais dokuments šim nolūkam ir Informācijas drošības izpratnes un apmācību politika.2 Šī politika nosaka pilnvarojumu visai programmai — no ievadapmācības līdz nepārtrauktai izglītošanai.

Šai pamatpolitikai nevajadzētu pastāvēt atsevišķi. Tai jābūt sasaistītai ar citiem kritiskiem pārvaldības dokumentiem, lai izveidotu vienotu drošības kultūru. Piemēram, jūsu Pieļaujamās lietošanas politika3 nosaka pamatnoteikumus, kā darbinieki izmanto uzņēmuma tehnoloģijas, tāpēc tā ir dabiska vieta, kur atsaukties uz viņu pienākumu saglabāt modrību pret pikšķerēšanu. Kad notiek drošības notikums, Reaģēšanas uz incidentiem politikā4 skaidri jānosaka darbības, kas darbiniekam jāveic, lai par to ziņotu, nodrošinot, ka no paziņota pikšķerēšanas mēģinājuma iegūtā informācija tiek apstrādāta ātri un efektīvi. Kopā šīs politikas veido savstarpēji saistītu kontroles pasākumu sistēmu, kas nostiprina drošu rīcību.

Piemēram, ceturkšņa ISMS pārskatīšanas sanāksmē CISO prezentē jaunākos pikšķerēšanas simulāciju rezultātus. Tie rāda nelielu klikšķu pieaugumu uz rēķinu krāpšanas veidnēm. Komanda nolemj atjaunināt Informācijas drošības izpratnes un apmācību politiku, nosakot konkrētu, mērķtiecīgu apmācību finanšu nodaļai pirms nākamā ceturkšņa. Šis lēmums tiek dokumentēts, un atjauninātā politika tiek paziņota visiem attiecīgajiem darbiniekiem, nodrošinot, ka programma strukturētā un auditējamā veidā pielāgojas jauniem riskiem.

Kontrolsaraksti

Lai nodrošinātu, ka programma ir visaptveroša un efektīva, ir lietderīgi sadalīt darbu atsevišķos posmos: pamatu izveide, ikdienas darbība un ietekmes pārbaude. Šie kontrolsaraksti sniedz praktisku ceļvedi katram posmam, palīdz saglabāt virzību un nodrošina, ka tiek izpildītas auditoru un regulatoru gaidas. Labi dokumentētu programmu auditā ir daudz vieglāk pamatot.

Izveide: pikšķerēšanas noturības programmas izveide

Spēcīgs pamats ir kritisks ilgtermiņa panākumiem. Šis sākotnējais posms ietver stratēģisko plānošanu, resursu nodrošināšanu un programmas galveno komponentu projektēšanu. Sasteidzot šo posmu, bieži rodas vispārīga un neefektīva apmācība, kas neiesaista darbiniekus un neaptver konkrēto riska profilu. Laiks, kas ieguldīts pareizā pamata izveidē, atmaksāsies ar uzlabotu drošības stāvokli un noturīgākiem darbiniekiem.

  • Definējiet skaidrus programmas mērķus un galvenos snieguma rādītājus (KPI).
  • Nodrošiniet vadības atbalstu un pietiekamu budžetu rīkiem un resursiem.
  • Veiciet sākotnējo pikšķerēšanas simulāciju, lai izmērītu sākotnējo ievainojamību.
  • Identificējiet augsta riska lietotāju grupas un konkrētos apdraudējumus, ar kuriem tās saskaras.
  • Izstrādājiet vai iegādājieties pamata un lomām specifisku apmācību saturu.
  • Integrējiet drošības izpratnes apmācību jauno darbinieku ievadapmācības procesā.
  • Izveidojiet vienkāršu, ar vienu klikšķi veicamu procesu, lai lietotāji varētu ziņot par aizdomīgiem e-pastiem.

Darbība: programmas virzības uzturēšana

Pēc palaišanas pikšķerēšanas noturības programmai nepieciešams nepārtraukts darbs, lai tā saglabātu efektivitāti. Šis operacionālais posms ir vērsts uz regulāru aktivitāšu ritmu, kas visiem darbiniekiem uztur drošību uzmanības centrā. Tas ietver simulāciju veikšanu, rezultātu komunicēšanu un programmas pielāgošanu, pamatojoties uz snieguma datiem un mainīgo apdraudējumu vidi. Šajā brīdī vienreizējs projekts kļūst par ilgtspējīgu organizācijas procesu.

  • Plānojiet un veiciet regulāras pikšķerēšanas simulācijas ar dažādām veidnēm un sarežģītības līmeņiem.
  • Sniedziet tūlītēju, izglītojošu atgriezenisko saiti lietotājiem, kuri noklikšķina uz simulācijas saitēm.
  • Apstipriniet saņemšanu un pateicieties lietotājiem, kuri pareizi ziņo par simulētiem un reāliem pikšķerēšanas e-pastiem.
  • Regulāri publicējiet anonimizētus pārskatus par programmas sniegumu iesaistītajām pusēm.
  • Nodrošiniet nepārtrauktu izpratnes saturu, izmantojot drošības biļetenus, padomus vai iekšējo komunikāciju.
  • Atjauniniet apmācību moduļus reizi gadā vai tad, kad parādās būtiski jauni apdraudējumi.

Pārbaude: programmas efektivitātes auditēšana

Pārbaudes mērķis ir pierādīt, ka programma darbojas. Tas ietver pierādījumu apkopošanu un prezentēšanu auditoriem, regulatoriem un augstākajai vadībai. Efektīva programma ir balstīta datos, un tai jāspēj pierādīt skaidru ieguldījumu atdevi, samazinot risku. Auditori meklēs objektīvus pierādījumus, nevis tikai apgalvojumus. Strukturētas kontroles mērķu bibliotēkas, piemēram, Zenith Controls, izmantošana var palīdzēt nodrošināt, ka pierādījumi ir saskaņoti ar tādiem standartiem kā ISO 27001.5

  • Uzturiet detalizētus ierakstus par visām apmācību aktivitātēm, tostarp grafikus un apmeklējuma reģistrus.
  • Saglabājiet visu izmantoto apmācību materiālu un pikšķerēšanas simulāciju veidņu kopijas.
  • Laika gaitā izsekojiet un dokumentējiet pikšķerēšanas simulāciju klikšķu rādītājus un ziņošanas biežumu.
  • Apkopojiet pierādījumus par pārskatīšanām pēc incidentiem, kuros pikšķerēšana bija pamatcēlonis.
  • Veiciet periodisku izvērtēšanu, piemēram, intervijas vai testus, lai novērtētu zināšanu saglabāšanu.
  • Esiet gatavi auditoriem parādīt, kā programma izmērāmi samazinājusi ar cilvēkfaktoru saistīto risku.

Biežākās kļūdas

Pat ar labākajiem nodomiem pikšķerēšanas noturības programmas var nesniegt gaidītos rezultātus. Izvairīšanās no šīm biežajām kļūdām ir tikpat svarīga kā labākās prakses ievērošana. Apzinoties šos riskus, iespējams izveidot programmu, kas ir iesaistoša, efektīva un ilgtspējīga.

  • Apmācību uztveršana kā vienreizēju pasākumu. Drošības izpratne nav uzdevums, ko paveic vienreiz un aizmirst. Tai nepieciešama nepārtraukta nostiprināšana. Ikgadēja apmācību sesija ātri aizmirstas un maz palīdz veidot noturīgu drošības kultūru.
  • Vainošanas kultūras veidošana. Lietotāju sodīšana par neizturētu pikšķerēšanas simulāciju ir pretproduktīva. Tā attur no ziņošanas un rada bailes, novedot drošības problēmas ārpus redzamības. Mērķis ir izglītošana, nevis disciplinēšana.
  • Nereālistisku vai vispārīgu simulāciju izmantošana. Ja pikšķerēšanas veidnes ir acīmredzami viltotas vai neatbilstošas uzņēmuma kontekstam, darbinieki ātri iemācīsies atpazīt simulācijas, bet ne reālus uzbrukumus.
  • Augstākās vadības ignorēšana. Uzbrucēji bieži mērķē uz augstākajiem vadītājiem ar ļoti personalizētiem mērķētas pikšķerēšanas uzbrukumiem. Vadošie darbinieki un viņu asistenti jāiekļauj gan apmācībās, gan simulācijās.
  • Ziņošanas sarežģīšana. Ja darbiniekam jāmeklē instrukcijas, kā ziņot par aizdomīgu e-pastu, viņš to, visticamāk, nedarīs. Vienkārša ziņošanas poga ar vienu klikšķi ir obligāta prasība.
  • Nerīkošanās pēc paziņotiem incidentiem. Kad lietotāji ziņo par reāliem pikšķerēšanas e-pastiem, viņi sniedz kritisku draudu izlūkošanu. Ja drošības komanda šos ziņojumus neapstiprina vai nerīkojas, lietotāji pārstās tos iesniegt.

Nākamie soļi

Noturīga cilvēka ugunsmūra izveide ir būtiska jebkuras mūsdienīgas drošības stratēģijas daļa. Ieviešot strukturētu un nepārtrauktu pikšķerēšanas izpratnes programmu, iespējams būtiski samazināt drošības pārkāpuma risku un pierādīt atbilstību galvenajiem regulējumiem.

Atsauces

  1. Clarysec. (2025). Zenith ISMS Implementation Blueprint↩︎

  2. Clarysec. (2025). P8S Information Security Awareness and Training Policy↩︎

  3. Clarysec. (2025). P3S Acceptable Use Policy↩︎

  4. Clarysec. (2025). P30S Incident Response Policy↩︎

  5. Clarysec. (2025). Zenith Controls Library for ISO 27001:2022↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles