Jak skutecznie edukować pracowników w zakresie cyberbezpieczeństwa? Czy symulacja ataków phishinowych zwiększa świadomość pracowników przed zagrożeniami? Czy warto korzystać z sandboxingu w chmurze?
W drugiej części wywiadu z Piotrem Kulikiem Product Managerem w Veracomp, rozmawiamy o tym, jak kompleksowo zabezpieczyć się przed atakami phishingowymi.
VIDA: Rozwiązania służące do ochrony poczty elektronicznej coraz częściej opierają się na tzw. sandboxingu w chmurze. Na pewno budzi to pewne obawy potencjalnych klientów. Czy treść wiadomości mailowych jest w jakiś sposób odczytywana przez Proofpoint?
Piotr Kulik: Rozwiązania chmurowe zyskują na popularności, a dostawcy dbają o podnoszenie poziomu dostępności, jakości świadczonych usług i standardów zabezpieczeń. To przekonuje klientów, że można zapewniać ochronę przy użyciu chmury. W przypadku Proofpoint wszystkie wiadomości są przekazywane w formie zaszyfrowanej, a więc niemożliwej do odczytania w locie. Dzięki temu przepływ informacji jest całkowicie bezpieczny. Producent nie ma też możliwości wydobycia danych biznesowych z wiadomości. Analiza prowadzi do wykrycia złośliwego oprogramowania w załącznikach lub URL-ach i w żadnym wypadku nie polega na przeglądaniu treści e-maila.
Proszę potraktować to spostrzeżenie z przymrużeniem oka, ale lubię stwierdzenie, że w zasadzie nie istnieje coś takiego, jak chmura. To po prostu komputer kogoś innego. Przesyłanie naszych danych do firmy, która posiada wykwalifikowany zespół specjalistów z precyzyjnie określonymi procedurami, jest o wiele bardziej bezpieczne, niż wymiana maili wewnątrz organizacji.
Oczywiście nie bagatelizuję obaw związanych z przeniesieniem usług do chmury. Dla wielu organizacji to duży krok. Widać jednak, że usługi takie jak Office 365 są coraz częściej implementowane, a klienci wynoszą z tego modelu wymierne korzyści.
Dla wielu małych i średnich przedsiębiorstw sandboxing w chmurze jest świetnym i nierzadko jedynym rozwiązaniem. Dzieje się tak z kilku powodów. Po pierwsze, poziom usług nie odbiega od rozwiązań dla klientów enterprise. Po drugie, oferowana cena jest dostosowana do możliwości organizacji. Rozwiązanie chmurowe nie wymaga obsługi i nadzoru ze strony użytkownika końcowego, nie obarcza klienta kosztami wdrożenia, serwisowania HW, przeprowadzenia aktualizacji lub rachunkami za energię elektryczną. Biorąc pod uwagę całkowity koszt posiadania (TCO) i to, co otrzymujemy względem tradycyjnego modelu implementacji to postawienie na chmurę jest bardzo rozsądne.
Najsłabszym ogniwem, nawet najlepiej zabezpieczonego systemu informatycznego jest zazwyczaj człowiek. Jak zminimalizować ryzyko ludzkiego błędu w organizacji? Czy istnieją systemowe rozwiązania, które zwiększają świadomość użytkowników?
Zgadzam się całkowicie z tym stwierdzeniem. Każdy nieprzeszkolony pracownik jest potencjalną luką w zabezpieczeniach organizacji. Rozwiązanie wydaje się proste – trzeba edukować użytkowników. Niestety zapoznanie ich z tematyką cyberbezpieczeństwa może być problematyczne. Niemal każda firma jest wielopokoleniowa, więc bywa, że różnica wieku pracowników sięga nawet 40 lat. Mają oni także zupełnie inne przyzwyczajenia technologiczne w życiu codziennym i nie do każdego dotrzemy w ten sam sposób. Kolejną barierą jest brak znajomości języka polskiego wśród zatrudnionych obcokrajowców, rotacja pracowników oraz praca zdalna, zwłaszcza gdy przedsiębiorstwo jest rozproszone geograficznie.
Jak sobie z tym wszystkim poradzić? Najtańszą i najszerzej dostępną opcją są szkolenia prowadzone przez wyspecjalizowane firmy. Takie rozwiązanie ma wiele zalet – treść szkolenia może być skrojona na miarę organizacji, zaprezentowanie na żywo przykładów phishingu niejednokrotnie elektryzuje uczestników i na długo pozostaje w ich pamięci. Wartością dodaną jest także bezpośredni kontakt z prowadzącym. Jednak nawet najlepiej przygotowane szkolenia nie rozwiążą problemów organizacyjnych wewnątrz firmy.
Proofpoint proponuje rozwiązanie systemowe nastawione na zmianę zachowania użytkowników. To proces, na który składa się ocena, edukacja, utrwalenie wiedzy i mierzenie efektów. Na wstępie badamy stan wiedzy w organizacji za pomocą wstępnego testu. Następnie poszczególnych pracowników, w zależności od wyniku, kierujemy na wybrane moduły szkoleniowe. W pełni spolonizowanych i edytowalnych modułów jest ponad 30.
Należy pamiętać, że osoby dorosłe przyswajają wiedzę inaczej niż dzieci, dlatego moduły szkoleniowe zostały zaprojektowane we współpracy z ekspertami od andragogiki. Nie jest więc możliwe, aby rekomendowane filmy edukacyjne zostały zignorowane przez użytkownika, który w najgorszym wypadku otworzyłby je w kolejnej zakładce i zajął się wykonywaniem dotychczasowej pracy. Filmy wymagają ciągłej interakcji, która pomaga w przyswajaniu wiedzy. Po ukończeniu poszczególnych modułów uczestnik szkolenia jest nagradzany certyfikatem.
Co niezwykle istotne, moduły szkoleniowe nie wpływają na efektywność pracownika. Trwają zazwyczaj około 10 minut, co pozwala odbyć trening w dowolnym momencie dnia. Możliwe jest również przygotowanie specjalnej ścieżki szkoleń dla nowych pracowników, która pozwoli na osiągnięcie podstawowego poziomu wiedzy już na początku pracy, bo przecież wtedy pracownicy są szczególnie narażeni na ataki phishingowe.
Kolejną wartością, jaką daje nam rozwiązanie systemowe, jest raportowanie wyników poszczególnych użytkowników – z łatwością sprawdzimy poziom przeszkolenia organizacji i w razie zwiększonej aktywności kampanii phishingowych, z dnia na dzień, możemy zadecydować o dodatkowych szkoleniach.
Czym są symulacje ataków phishingowych i jakie przynoszą korzyści?
Symulacje ataków phishingowych polegają na rozesłaniu do pracowników firmy wiadomości wyglądających jak phishing, ale nie zawierających złośliwej zawartości.
Celem takiego zabiegu jest zmylenie użytkownika wiarygodną treścią i nakłonienie do otwarcia załącznika lub adresu URL. W drugim wariancie przekonujemy pracownika samą treścią do wykonania ściśle określonej akcji. Dobrze zaprojektowana symulacja powinna wzmacniać świadomość użytkowników na temat czyhających zagrożeń. Takie kampanie można przygotowywać metodą chałupniczą, ale jest to czasochłonne i trudne do analizy.
W celu zmaksymalizowania skuteczności kampanii warto rozważyć kolejne rozwiązanie systemowe od Proofpoint. Producent udostępnia gotowe narzędzie na platformie PSAT. Dzięki niemu działy IT otrzymują bazę kilkuset szablonów, z których większość jest oparta na prawdziwych kampaniach phishingowych.
Zaletą rozwiązania systemowego jest włączenie go we wspomnianą przeze mnie pętlę szkoleniową. Po otrzymaniu spreparowanej wiadomości użytkownik staje przed ważnym wyborem. Jeśli wiadomość wyda mu się podejrzana, może ją zgłosić za pomocą przycisku PhishAlarm, a przygotowany wcześniej komunikat podziękuje pracownikowi za odpowiednią postawę i utrwali dobre wzorce. Jeżeli jednak pracownik nie zachowa należytej czujności, to zostaje przekierowany na stronę internetową, gdzie będzie mógł zapoznać się z elementami, na które nie zwrócił uwagi, przez co mógł narazić organizację na straty finansowe. Taki obraz jest cenną nauczką i znacznie wzmaga czujność użytkowników, co przekłada się na mniejsze ryzyko dla firmy w czasie rzeczywistego ataku. Po oblanym teście możemy też zapisać pracownika na dodatkowy moduł szkoleniowy, który pomoże mu w przyszłości rozpoznać złośliwe wiadomości.
Niezwykle interesująca jest symulacja ataków za pomocą nośników USB. Słyszałem o eksperymencie społecznym, który polegał na rozrzucaniu pendrive’ów na parkingu i uniwersyteckim kampusie. Wyniki tych badań były niepokojące – ponad połowa użytkowników bez zastanowienia podłączyła niezidentyfikowane pendrive’y do swoich stacji roboczych, ale kto by się powstrzymał przed wpięciem pendrive’a zostawionego obok biurowej drukarki niech pierwszy rzuci kamień.
