Sukčiavimas el. paštu, dar kitaip vadinamas fišingas, nėra nauja problema IT saugos srityje. Tačiau pastarųjų metų įvykiai, tokie kaip neišvengiamas darbas iš namų ir sparti skaitmenizacija, šią problemą ypač paaštrino – per 2020 metus fišingo atakų skaičius išaugo 600 proc., o vartotojų, negalinčių atpažinti sudėtingo sukčiavimo laiško, skaičius pasiekė 97 proc.
Ši situacija baugina ir stambias organizacijas, ir valstybines įmones, ir smulkųjį verslą. Juk niekas nėra apsaugotas nuo sukčių. Kibernetiniams nusikaltėliams nėra svarbus įmonės dydis, ar sektorius – dauguma atakų vykdomos automatizuotai. Net ir vienas neatsargus veiksmas, pvz., paspaudimas ant užkrėstos nuorodos, gali reikšti prarastą klientų pasitikėjimą, sutrikdytą veiklą ir finansinius nuostolius.
Šiandien organizacijas sunerimti verčia ir tai, kad įprastos priemonės darbuotojų IT saugumo suvokimui ugdyti gali būti ne tokios veiksmingos. Atakų vektoriai sparčiai tobulėja, o išoriniai veiksniai, tokie kaip nuotolinis darbas, ir toliau silpnina darbuotojų gebėjimą atpažinti grėsmes.
Siekiant padėti įmonėms įvertinti, ar jų IT saugumo suvokimo skatinimo politika veikia ir jų darbuotojai geba atpažinti sukčiavimą el. paštu, „Responsu“ inicijavo tiriamąją socialinės inžinerijos kampaniją. Projekto metu kartu su dalyvaujančiomis įmonėmis buvo vykdoma fišingo atakos simuliacija, išsiunčiant identiško turinio sukčiavimo el. laišką. Dalyvių paspaudimai ant tariamai žalingos nuorodos buvo fiksuojami, o gauti duomenys panaudoti analizei, kurioje paspaudimų rodikliai lyginami pagal įmonės sektorių ir dydį.
Kaip viskas vyko?
Tiriamoji socialinės inžinerijos simuliacija vyko penkias savaites: 2021 metų gegužės – birželio mėnesiais. Projekte dalyvavo 5510 asmenų iš 70 skirtingų organizacijų ir 13 sektorių. Fišingo atakai inscenizuoti buvo pasitelktas Sophos Phish Threat socialinės inžinerijos simuliacijų įrankis, kuris leido išsiųsti identiško turinio el. laiškus su tariamai užkrėsta nuoroda bei fiksuoti gavėjų veiksmus – el. laiško atidarymą, paspaudimą ant nuorodos, laiką ir naudojamą įrenginį.
Rezultatai
Globalūs skaičiai beveik sutampa, tačiau vieniems trūksta žinių, o kitiems – praktikos
Iš visų tyrime dalyvavusių įmonių darbuotojų, ant tariamai kenksmingos nuorodos paspaudė 19 proc., o likę 81 proc. ant kabliuko nepakibo. Pagal globalią 2020 metų statistiką, 20 proc. darbuotojų neatpažintų sukčiavimo laiško ir paspaustų ant žalingos nuorodos. Iš pirmo žvilgsnio, ši situacija gali pasirodyti ne tokia ir bloga, tačiau svarbu suprasti, kad ir vienas neapdairus paspaudimas gali sukelti nesugrąžinamus nuostolius.
Kita vertus, techninės IT saugumo priemonės ir jų nustatymai taip pat gali turėti įtakos darbuotojų elgesiui. Jos gali neleisti įtartiniems laiškams patekti į el. pašto dėžutę arba įspėti apie pavojų. Pastaruoju atveju, asmuo neperskaitys laiško ir niekada nesužinos apie įvykusią ataką. Todėl bendras paspaudimų rodiklis, kuris apskaičiuojamas nuo visų išsiųstų laiškų skaičiaus, tinkamas atvaizduoti kompleksinį saugumo lygį. Tuo tarpu žmogiškojo faktoriaus riziką geriau iliustruoja perskaitytų laiškų paspaudimų rodiklis, kai vertinami tik laišką perskaitę asmenys ir jų elgesys.
„Responsu” tyrime 35 proc. dalyvių perskaitė sukčiavimo laišką, o iš jų kas antras asmuo paspaudė ant nuorodos (54 proc.). Tai, rodo, kad daugiau nei pusei el. laišką perskaičiusių darbuotojų trūko praktinių įgūdžių atpažinti sukčiavimą.
Taip pat pastebimas neapdairus ir skubotas darbuotojų elgesys – 31 proc. dalyvių ant nuorodos laiške paspaudė greičiau nei per minutę. Tai įspėja, kad šie asmenys neturi pakankamai informacijos ir teorinių žinių, kad galėtų kritiškai įvertinti gaunamus laiškus.
Ši situacija signalizuoja ir tai, kad IT saugumo suvokimo skatinimas nėra pakankamai integruotas į organizacijų kultūrą, todėl darbuotojai rečiau pagalvoja apie kibernetinius pavojus, atlikdami kasdienines užduotis. Vienas iš paprasčiausių būdų įskiepyti požiūrį, kad IT sauga yra visų atsakomybė – reguliariai dalytis naujienomis apie kibernetinius išpuolius, jų mastus ir pasekmes.
Pažeidžiamiausios išlieka itin smulkios verslo įmonės
Smulkiausio verslo segmente paspaudimų vidurkis didžiausias (33 proc.). Tai rodo, kad itin mažose įmonėse (iki 5 asmenų) vis dar skiriama nepakankamai žmogiškųjų ir techninių išteklių IT saugai užtikrinti. Stambiose organizacijose darbuotojai linkę spausti ant nuorodos dvigubai rečiau (16 proc.).
Tai lemia, jog įprastai didesnėse organizacijose skiriama daugiau dėmesio saugumo politikos formavimui ir įgyvendinimui bei atitikties reikalavimų užtikrinimui.
Raštingiausios kibernetinio saugos srityje išlieka IT įmonės
Žymiai didesnis nei vidutinis paspaudimų vidurkis fiksuojamas keturiuose sektoriuose – turizmo paslaugų (39 proc.), sveikatos priežiūros (33 proc.), nekilnojamo turto ir nuomos (60 proc.), bei energetikos, dujų ir vandens tiekimo srityse (33 proc.). Dvigubai mažesnis nei vidutinis paspaudimų ant nuorodos vidurkis išryškėja informacinių technologijų srityje (8 proc.).
Vertinant organizacijas pagal sektorių, reikia atkreipti dėmesį, kad kiekvienas sektorius susiduria su skirtingais iššūkiais, kurie turi įtakos paspaudimų ant nuorodos skaičiui. Pagrindinė priežastis, lemianti pastebimai didesnį rodiklį tam tikruose sektoriuose, gali būti paaiškinama sparčia kasdienių operacijų skaitmenizacija, kai siekiant sukurti didesnę vertę ir geresnę patirtį klientui, nepakankamai dėmesio skiriama darbuotojų IT saugumo suvokimo skatinimui.
Mobilieji įrenginiai ne visada pavojingesni, o ugdymo programos veikia
Įvertinus įrenginio tipą, kuriuo naudojosi asmenys gavę sukčiavimo laišką, paaiškėjo, kad dažniau ir greičiau ant tariamai kenksmingos nuorodos paspaudė kompiuteriu besinaudojantys vartotojai, o ne tie, kurie el. paštą tikrino mobiliajame įrenginyje, todėl teigti, kad mobilieji įrenginiai mažiau pavojingi, nebūtų visiškai tikslu. Įprastai pastebėti apgaulingus el. laiškus mobiliajame telefone sudėtingiau nei kompiuteryje, kadangi sukčiavimą atpažinti leidžiantys elementai vizualiai sumažėja. Taip pat šio tyrimo rezultatus paveikti galėjo ir daug kitų veiksnių, pvz., tai, kad ne visi darbuotojai naudoja mobiliuosius įrenginius ar juose turi prieigą prie el. pašto, taip pat susitikimų ar komandiruočių ribojimai bei darbas iš namų.
IT saugumo suvokimo mokymų tikslas įprastai apima ne tik informavimą apie kibernetines grėsmes el. erdvėje, tačiau ir įgūdžių, kaip į šias grėsmes reaguoti, ugdymą. Tyrimo metu daugiau nei pusė dalyvavusių įmonių pranešė, kad iš visų sukčiavimo laišką perskaičiusių asmenų, atsirado bent vienas darbuotojas, kuris informavo atsakingus asmenis apie gautą įtartiną laišką.
Ko galime pasimokyti?
Žmogiškasis faktorius išlieka itin aktualus ne tik globaliu mastu, bet ir Lietuvoje. Nesunku įsivaizduoti pasekmes, bet kurios įmonės darbuotojui paspaudus ant iš tikrųjų žalingos nuorodos – nuorodoje galėtų slėptis kenksmingas programinis kodas arba tai leistų nutekinti konfidencialius duomenis. Yra daug scenarijų, kaip tai toliau „tarnautų” nusikaltėliams, pvz., prieigai prie svarbios vidinės korespondencijos gauti ar surinkus informaciją, ją panaudoti vėlesnėms ir sudėtingesnėms atakoms rengti.
Todėl tiek smulkiojo verslo atstovams, tiek stambioms organizacijoms svarbu nelikti nuošalyje ir nuolat stengtis mažinti žmogiškojo faktoriaus rizikas. Tačiau prieš imantis veiksmų, būtina suprasti, kodėl darbuotojai elgiasi taip, kaip elgiasi – ar tai teorinių, ar praktinių žinių trūkumas, kodėl darbuotojai tampa mažiau budrūs, ar tikrai prisimena praėjusių mokymų informaciją. Tik išsiaiškinus esamą situaciją, galima paruošti optimalią mokymų programą.
Taip pat verta įsidėmėti, kad tik visapusiškas darbuotojų IT saugumo suvokimo ugdymas, apimantis teorines užduotis, atvejo simuliacijas ir reguliarų žinių kartojimą, gali užtikrinti sėkmingą darbuotojų parengimą atpažinti kibernetinius pavojus. Galiausiai, aukščiausią saugumo lygį pasiekti padėtų ir organizacijos kultūros puoselėjimas, kai IT saugumas nėra tik IT skyriaus, tačiau ir visų darbuotojų atsakomybė.