Kas antras perskaitęs sukčiavimo laišką pakibtų ant kabliuko

Didelė dalis Lietuvos įmonių darbuotojų neatpažįsta sukčiavimo el. paštu. Net 54 % fišingo laišką perskaičiusių asmenų neatpažino klastos ir paspaudė ant tariamai žalingos nuorodos, o 31 % tai padarė greičiau nei per minutę, rodo „Responsu“ atlikta tiriamoji socialinės inžinerijos simuliacija.

Ar tikrai žinome, kaip sumažinti rizikas ir apsisaugoti nuo sukčiavimo el. paštu?

Atakų sparčiai daugėja

Sukčiavimas el. paštu (fišingas) nėra nauja problema, tačiau pastarųjų metų įvykiai – darbas iš namų ir sparti skaitmenizacija ją ypač paaštrino. Per 2020 metus fišingo atakų skaičius išaugo 600 %, o vartotojų, negalinčių atpažinti sukčiavimo laiško skaičius pasiekė 97 %.

Ši situacija baugina ir stambias organizacijas, ir valstybines įmones, ir smulkųjį verslą. Juk niekas nėra apsaugotas nuo sukčių. Kibernetiniams nusikaltėliams nėra svarbus įmonės dydis, ar sektorius – dauguma atakų vykdomos automatizuotai. Net ir vienas neatsargus veiksmas, pvz., paspaudimas ant užkrėstos nuorodos, gali reikšti prarastą klientų pasitikėjimą, sutrikdytą veiklą ir nuostolius.

Sunerimti verčia ir tai, kad įprastos priemonės darbuotojų IT saugumo suvokimui ugdyti gali būti ne tokios veiksmingos. Atakų vektoriai tobulėja, o išoriniai veiksniai (nuotolinis darbas) toliau silpnina darbuotojų gebėjimą atpažinti grėsmes.

Siekiant padėti įmonėms įvertinti, ar jų IT saugumo suvokimo skatinimo politika veikia ir jų darbuotojai geba atpažinti sukčiavimą el. paštu, „Responsu“ inicijavo tiriamąją socialinės inžinerijos kampaniją.

Pažeidžiamiausios smulkios įmonės

Itin mažose įmonėse (iki 5 asmenų) vis dar skiriama nepakankamai žmogiškųjų ir techninių išteklių IT saugai užtikrinti. Tai lemia, jog įprastai didesnėse organizacijose skiriama daugiau dėmesio saugumo politikos formavimui ir įgyvendinimui bei atitikties reikalavimų užtikrinimui.

IT saugumo suvokimo mokymų tikslas įprastai apima ne tik informavimą apie kibernetines grėsmes el. erdvėje, tačiau ir įgūdžių, kaip į šias grėsmes reaguoti, ugdymą. Tyrimo metu  daugiau nei pusė dalyvavusių įmonių pranešė, kad iš visų sukčiavimo laišką perskaičiusių asmenų, atsirado bent vienas darbuotojas, kuris informavo atsakingus asmenis apie gautą įtartiną laišką.

Žmogiškasis faktorius išlieka itin aktualus. Nesunku įsivaizduoti pasekmes, bet kurios įmonės darbuotojui paspaudus ant iš tikrųjų žalingos nuorodos – nuorodoje galėtų slėptis kenksmingas programinis kodas arba tai leistų nutekinti konfidencialius duomenis. Yra daug scenarijų, kaip tai tarnautų nusikaltėliams.

Todėl tiek smulkiajam verslui, tiek stambioms organizacijoms svarbu nelikti nuošalyje ir nuolat stengtis mažinti žmogiškojo faktoriaus rizikas.

Pagal BNS inf.