Phishing-testit voivat olla tehokas tapa parantaa tietoisuutta tietoturvasta, antaa työntekijöille valtaa ja puolustautua verkkohyökkäyksiä vastaan.
Tietojenkalastelusta on nyt tullut maailman suurin verkkouhka, ja viime vuoden aikana huijaukset ovat lisääntyneet 350 prosenttia , kun verkkorikolliset käyttävät hyväkseen koronaviruspandemian aiheuttamaa pelkoa ja kaaosta. Sosiaalisen suunnittelun hyökkäykset, kuten tietojenkalasteluhyökkäykset, perustuvat hyökkääjän kykyyn hyödyntää ihmisten haavoittuvuuksia ja tunteita tavoitteidensa saavuttamiseksi.
Koska suuri osa työvoimasta työskentelee edelleen kotoa käsin, on elintärkeää, että työntekijät tunnistavat kehittyneet phishing-uhat postilaatikoissaan ja osaavat käsitellä niitä asianmukaisesti.
Mikä on phishing-testi?
phishing-testi, tai phishing-simulaatio kuten se muuten tunnetaan, organisaatioiden tarkoituksena on määrittää, kuinka alttiita niiden työntekijät ovat phishing-hyökkäyksille. Käyttämällä turvallista ja valvottua ympäristöä organisaatiot voivat lähettää työntekijöille realistisia phishing-sähköpostiviestejä mitatakseen heidän tietoisuuttaan hyökkäysmenetelmistä ja selvittääkseen, miten he reagoisivat, jos uhka olisi todellinen.
Nämä simuloidut hyökkäykset auttavat työntekijöitä tunnistamaan nykyiset uhat ja antavat ajoissa tietoa siitä, miten he voivat parantaa turvallisuuskäyttäytymistään. Jos työntekijä napsauttaa phish-tietokonetta, hänelle esitetään välittömästi tarpeeseen sopiva oppimiskokemus, joka auttaa häntä tunnistamaan merkit phishing-hyökkäys ja kannustamaan heitä ilmoittamaan phishing-yrityksistä.
Organisaatiot voivat puolestaan käyttää näitä tietoja heikkouksien tunnistamiseen, koulutuksen räätälöimiseen tietoisuudessa olevien puutteiden korjaamiseksi ja edistymisen kartoittamiseen ajan mittaan.
Tehokkaan phishing-testin suorittaminen
Perustason määrittäminen
Ennen phishing-tietoisuusohjelman käynnistämistä sinun on määritettävä perustaso. Tämä auttaa määrittämään, kuinka altis yrityksesi on vilpillisille phishing-sähköpostiviesteille ja kuinka suuri osa työntekijöistäsi olisi mennyt lankaan, jos hyökkäys olisi ollut todellinen.
Voit joko ilmoittaa työntekijöille, että teet phishing-testin, ja selittää, mitkä ovat tavoitteesi ja mitä toivot saavuttavasi, tai voit tehdä yllättävän phishing-testin ilman ennakkokoulutusta.
Tämä päätös on täysin organisaatiosi päätettävissä, vaikka jälkimmäinen tarjoaa selkeimmän kuvan siitä, kuinka haavoittuvainen henkilökuntasi on todellisille phishing-hyökkäyksille. Kun olet tallentanut perustason, voit käyttää näitä tuloksia vertailukohtana seurataksesi tulevien phishing-simulaatiotestien tehokkuutta.
Suunnittelephishing-testi
Kun olet määrittänyt perustason, voit alkaa suunnitella tulevan vuoden phishing-kampanjaa. Tässä vaiheessa työntekijöille olisi ilmoitettava ja heidät olisi koulutettava siitä, miten he tunnistavat epäilyttävän sähköpostin ja miten toimia, jos he saavat sellaisen.
Kaikissa phishing-kampanjoissa on parasta aloittaa pienestä ja sitten lisätä. Alkuvaiheen phishing-testeissä pitäisi olla suhteellisen helppo havaita, ja niiden pitäisi sisältää phishing-sähköpostin klassisia merkkejä, kuten yleinen tervehdys, kirjoitusvirheitä ja huonoa kielioppia.
Kampanjan edetessä vaikeusastetta olisi kuitenkin nostettava, jotta se vastaisi todellisia hyökkäyksiä, joita voitaisiin kohdistaa henkilöstöön.
Phishing-testin julkaisun porrastaminen
Ajoitus on avainasemassa phishing-testin onnistumisen kannalta. Yleinen virhe on, että koko organisaatiolle lähetetään samaan aikaan yleinen phishing-testi. Tämä vain herättää epäilyksiä, ja työntekijät, jotka ovat tunnistaneet sähköpostiviestin huijaussähköpostiksi, alkavat hälyttää kollegojaan.
Jos et halua saada vääristyneitä tuloksia, sinun kannattaa porrastaa phishing-testi eri aikaväleille tarkemman raportoinnin varmistamiseksi.
Johtavat johtajat mukaanphishing-testeihin
Kaikki käyttäjät ovat alttiita phishing-hyökkäyksille, mutta tietyillä työntekijöillä on muita suurempi riskiprofiili. Toimitusjohtajat, talousjohtajat ja ylemmät johtajat ovat suosituimpia phishing-kohteita, koska heillä on korkeatasoiset oikeudet arvokkaisiin yritystietoihin.
On erittäin tärkeää, että nämä työntekijät otetaan mukaan kaikkiin phishing-testeihin, ei ainoastaan riskien näkökulmasta vaan myös osoittaakseen muille työntekijöille, että he ottavat tietoturvan vakavasti.
Käytä erilaisia menetelmiä
Phishing-simulaatiotestien tulisi kuvastaa tarkasti erilaisia uhkia, joita työntekijäsi kohtaavat päivittäin. Tietoverkkorikollisten hyökkäysmenetelmät ovat muuttumassa entistä ovelammiksi, joten phishing-testeissä on otettava tämä huomioon. Vaikka monet työntekijät ovat varuillaan ulkoisten hyökkäysten varalta, he saattavat olla tyytyväisempiä sähköposteihin, jotka näyttävät tulevan organisaation sisältä.
Henkilöstöosastoksi tekeytyviä sähköpostiviestejä, joissa henkilöstölle ilmoitetaan lomarahoista tai palkanmaksusta. Sekoittamalla testin tyylejä ja tekniikoita saat paremman käsityksen työntekijöiden tietoisuudesta.
Analysoi tietoja
Phishing-testeistä saadut tiedot ovat ratkaisevia, kun haluat selvittää, onko kampanjasi onnistunut. Se auttaa sinua tunnistamaan suuntauksia, haavoittuvia työntekijöitä ja koulutustarpeita sekä auttaa sinua suunnittelemaan tulevia phishing-testejä.
Kertomuksissa olisi analysoitava:
- Klikanneiden määrä.
- Arkaluonteisia tietoja toimittaneiden henkilöiden määrä.
- Niiden henkilöiden määrä, jotka ilmoittivat phishing-sähköpostista.
Ajan myötä kahden ensimmäisen luokan pitäisi vähentyä ja raportoinnin lisääntyä. Työntekijöiden, jotka ovat napsauttaneet phishing-sähköpostia ja/tai antaneet arkaluonteisia tietoja, olisi saatava lisäkoulutusta turvallisuuskäyttäytymisen parantamiseksi.
Henkilöstön on ymmärrettävä phishing-hyökkäyksen todelliset seuraukset ja se, miksi on niin tärkeää, että he pystyvät tehokkaasti tunnistamaan epäillyn phishing-hyökkäyksen. Kyse ei ole siitä, että ihmiset jäävät kiinni, vaan siitä, että tietoisuutta mitataan ja tunnistetaan alat, joita voitaisiin parantaa.
Samoin työntekijät, jotka ovat osoittaneet hyvää turvallisuuskäyttäytymistä tunnistamalla phishing-sähköpostit ja ilmoittamalla niistä IT-henkilöstölle, ansaitsevat kiitosta.
Phishing-koulutus osana laajempaatietoisuuden lisäämiseen tähtääväätietoverkkoturvallisuusohjelmaa.
Jotta phishing-testit olisivat todella tehokkaita, ne olisi otettava käyttöön osana laajempaa tietoverkkoturvallisuustietoisuusohjelmaa. Tämä on paras tapa kouluttaa henkilöstöä, parantaa tietoturvakäyttäytymistä ja luoda kyberturvallisempaa työvoimaa. Voit valita aiheet, jotka vastaavat organisaatiosi riskejä, ja käyttää yhdistettyä lähestymistapaa henkilöstön sitouttamiseksi ja tietoisuuden lisäämiseksi.
Phishing-testausten lisäksi voidaan käyttää kohdennettua verkko-opetusta, blogeja, julisteita ja infografiikkaa vahvistamaan keskeisiä viestejä.
Lopulliset ajatukset
Kun olet luonut phishing-tietoisuusohjelman, on tärkeää pitää yllä vauhtia. Tietoisuuskulttuurin luominen vie aikaa, eikä sitä voida saavuttaa kertaluonteisella vuosittaisella harjoituksella.
Säännölliset phishing-testit auttavat lisäämään työntekijöiden valppautta, parantamaan tietoisuutta ja tunnistamaan kaikki heikkoudet, jotka voivat aiheuttaa riskin organisaatiosi turvallisuudelle.