De ce este necesară prevenția contra atacurilor de phishing?
Cu siguranță termenul de „phishing” nu vă este necunoscut, având în vedere numărul mare de campanii lansate doar în ultimul an. Iată și o serie de cifre și statistici care dovedesc nivelul crescut de popularitate al acestui tip de atac:
- Conform statisticilor, 57% dintre organizații se confruntă cu încercări de phishing săptămânal sau aproape zilnic.
- Aproape 1,2% din toate e-mailurile trimise sunt rău intenționate, însumând aproximativ 3,4 miliarde de e-mailuri de phishing în fiecare zi.
- În 74% dintre breșele de securitate, factorul uman a jucat un rol important (fie ca vorbim de tactici de inginerie socială, simple greșeli sau abuzuri).
- IBM identifică phishing-ul drept principalul vector de atac inițial, responsabil pentru 41% din incidente.
- CSO Online notează că peste 80% dintre incidentele de securitate raportate se datorează phishing-ului.
- CSO Online raportează, de asemenea, o pierdere de 17.700 USD în fiecare minut din cauza atacurilor de phishing.
Într-un astfel de context, revenim la ideea principală că prevenția este măsura cea mai importantă în ceea ce privește atacurile de tip phishing. Este cel mai sănătos să ai în vedere cursuri de instruire pentru conștientizarea securității cibernetice pentru angajații tăi decât să te confrunți cu un atac și să ai nevoie de servicii de specialitate complexe.
Mai departe vom detalia un studiu de caz al unui client din România cu peste 4.000 de angajați din domeniul retail care și-a dorit o soluție automatizată pentru a antrena angajații să identifice eficient și să raporteze corect atacurile de tip phishing.
Provocarea pentru o companie ce activează în industria de retail la nivel național
Cele mai eficiente atacuri cibernetice necesită resurse tehnice minime tocmai pentru că se bazează mai mult pe eroarea umană decât pe lipsa soluțiilor de securitate cibernetică de ultimă generație în companii. Sub presiune puternică, oamenii sunt mai predispuși să facă greșeli, ceea ce reprezintă principalul motiv pentru care majoritatea breșelor de date și securitate reușesc.
Pe piața în care operează clientul nostru – și anume cea de retail, au avut loc o serie de incidente de tip phishing care au cauzat pierderi devastatoare de date și breșe de securitate. Consecințele au fost severe, afacerile din retail suferind pierderi financiare semnificative, daune de reputație și o erodare a încrederii clienților.
Clientul nostru a înțeles că investiția în instruirea resursei umane este probabil cea mai bună și eficientă investiție pe care o poate face pentru apărarea sa cibernetică.
Pentru a crește gradul de conștientizare cu privire la securitatea cibernetică în întreaga lor rețea, clientul nostru din retail a ales să implementeze Phish Enterprise, o soluție dezvoltată de specialiștii de securitate de la Bit Sentinel, ca o platformă automatizată utilizată pentru exerciții practice de instruire axate pe securitatea cibernetică și tacticile de inginerie socială, care ajută organizațiile să își dezvolte cultura cibernetică și să fie conform cu regulile în vigoare.
Unele dintre activitățile companiei se încadrează în sfera Directivei privind Securitatea Rețelelor și a Sistemelor de Informații, cunoscută sub numele de Directiva NIS și care impune măsuri tehnice și organizatorice ce acoperă, printre altele, conștientizarea și instruirea utilizatorilor, asigurând în același timp securitatea personalului. De aceea, Phish Enterprise s-a dovedit a fi extrem de bine adaptată pentru a răspunde nevoilor clientului nostru în acest sens.
Abordarea, procesul și implementarea
Clientul nostru a optat pentru versiunea „Auto-Pilot” a Phish Enterprise pentru a-și instrui angajații. În această versiune, echipa poate folosi un set de peste 50 de atacuri de phishing disponibile într-un model „set-and-forget”; practic, clientul nostru programa scenariile și apoi primea rapoartele ca un serviciu de tip “managed” (gestionat). În acest fel, nu a fost nevoie ca firma să aloce timp suplimentar și resurse interne pentru a-și atinge eficient obiectivele de conștientizare în domeniul securității cibernetice. Totul a necesitat un timp minim de implementare.
Pentru campania internă de conștientizare în domeniul securității cibernetice, clientul nostru din retail a stabilit următoarea strategie de instruire și testare folosind platforma Phish Enterprise:
- În primele 2-3 săptămâni de training, angajații au învățat informații de bază despre: phishing, spear phishing, whaling, smishing, vishing, malware, ransomware, viruși informatici sau securitatea și gestionarea parolelor. Faza de studiu a fost urmată de un test cu întrebări din temele menționate mai sus.
- Apoi, echipa Phish Enterprise a elaborat un plan pentru lansarea simulărilor de campanii de phishing care să testeze cunoștințele dobândite în partea teoretică a instruirii. Simulările de phishing au luat în considerare procesele interne ale companiei, tehnologiile utilizate pentru partajarea documentelor și instrumentele utilizate de toate departamentele companiei (de exemplu: marketing, HR, administrativ, vânzări, achiziții etc.)
- Ultima etapă a presupus implementarea campaniilor de phishing stabilite în intervalul de timp și pentru echipele aprobate de clientul nostru. Scenariile de phishing au variat, de la mesaje care păreau a fi trimise de platforme utilizate pe scară largă (de exemplu: Microsoft SharePoint, Google Drive, Office 365) la mesaje care simulau procese interne (primirea CV-urilor, solicitări de propuneri, facturi de la furnizori, cereri de resetare a parolelor).
- După cele 3 etape de mai sus, echipa Phish Enterprise a colectat și analizat datele, a oferit rapoarte de analiză și a propus recomandări de îmbunătățire.
Rezultate și impact
Ca urmare a fiecărui pas al campaniei de conștientizare în domeniul securității cibernetice și desfășurarea simulărilor oferite prin Phish Enterprise, clientul nostru a înregistrat următoarele rezultate:
- angajați mai vigilenți, care se așteaptă deja la campanii similare, ceea ce înseamnă că devin mai atenți atunci când vine vorba de mesaje malițioase provenite din surse necunoscute;
- angajați mai implicați, dispuși să discute și să împărtășească informații despre astfel de campanii, sporind astfel reziliența cibernetică în cadrul echipelor;
- rata vulnerabilității angajaților la încercările de phishing a scăzut cu până la 80%, ceea ce înseamnă o securitate mai bună la nivel organizațional.
Pași următori și concluzii
După implementarea strategiei inițiale de instruire și testare utilizând platforma Phish Enterprise, clientul nostru și-a dorit să continue și să dezvolte colaborarea cu echipele Phish Enterprise și Bit Sentinel la următoarele nivele care asigură o postură mai bună în materie de securitate cibernetică pentru compania lor, după cum urmează:
- efectuarea unor testări lunare, urmate de o reevaluare trimestrială;
- clientul dorește scenarii din ce în ce mai complexe, implicând desfășurarea unor atacuri simulate de tip ransomware, infecții malware sau pagini care par să solicite credențiale de autentificare;
- ca dovadă a satisfacției lor, compania continuă să utilizeze serviciile noastre și și-a extins colaborarea pentru a include și alte oferte din gama oferită de Bit Sentinel, cum ar fi SOC (Security Operations Center) și Pentest (Penetration Testing).
Nu uita…
Conștientizarea în securitatea cibernetică este un prim pas către o cultură organizațională sănătoasă și mai ales către o securitate informatică sporită. Este important să avem grijă de echipa noastră și să o formăm astfel încât să fie pregătită pentru lumea digitală în care trăim.
Tu ai implementat astfel de inițiativă în compania ta?
