Kaip parodė praėjusiais metais atlikta tiriamosios socialinės inžinerijos simuliacija, kas antras darbuotojas, perskaitęs sukčiavimo laišką, „pakibtų ant kabliuko“. Įvertinus šiemet įvykdyto tokio tyrimo rezultatus paaiškėjo, kad situacija geresnė, tačiau Lietuvos įmonėms vis dar trūksta žinių ir skaitmeninės higienos kibernetinio saugumo srityje.Kaip parodė praėjusiais metais „Responsu“ atlikta tiriamosios socialinės inžinerijos simuliacija, kas antras darbuotojas, perskaitęs sukčiavimo laišką, „pakibtų ant kabliuko“. Įvertinus šiemet įvykdyto tokio tyrimo rezultatus paaiškėjo, kad situacija geresnė, tačiau Lietuvos įmonėms vis dar trūksta žinių ir skaitmeninės higienos kibernetinio saugumo srityje - 37 % laišką perskaičiusių asmenų paspaudė ant tariamai žalingos nuorodos, o iš jų 30 % dalyvių ant nuorodos paspaudė nepraėjus nė minutei. Šią situaciją sąlygoja ne tik neapgalvoti bei skuboti asmenų veiksmai, bet ir teorinių žinių trūkumas.
Asociatyvi „Pixabay“ nuotr.
Pasaulyje vykstantys kariniai konfliktai, tebesitęsianti pandemija, ekonominiai pokyčiai ir prisitaikymas gyventi skaitmenizuotame pasaulyje lemia greitą kibernetinių atakų populiarėjimą. Visgi, atliktos apklausos rodo, jog būtent sukčiavimas el. paštu, arba kitaip vadinamas fišingas (angl. Phishing), šiuo metu labiausiai neramina kibernetinio saugumo profesionalus, o el. paštas įvardijamas kaip sėkmingiausias įsilaužėlių atakų įrankis.
Sukčiams įdomus ne tik stambus verslas – smulkiojo ir vidutinio verslo įmonėse bei valstybinėse organizacijose neretai aptinkama netgi daugiau kibernetinio saugumo spragų, nes dažnu atveju jose kibernetinio saugumo užtikrinimui skiriama mažiau dėmesio ir finansinių išteklių. Tuo tarpu įmonių darbuotojai yra vienas dažniausių šių kibernetinių atakų vektorių, tampantis tiesiausiu keliu pasiekti svarbiausius organizacijos duomenis.
Kibernetinio saugumo kultūra organizacijoje jau seniai nebėra privalumas, tai – būtinybė. Svarbu suvokti, jog šiai kultūrai užtikrinti reikalinga sprendimus ir patarimus nukreipti ne tik į su saugumo klausimais dirbančius ekspertus, bet ir į visus darbuotojus.
„Responsu“ atliktas tyrimas, kurio tikslas – padėti įmonėms įsivertinti, kaip veikia jų kibernetinio saugumo suvokimo skatinimo politika ir pamatyti, ar darbuotojai geba atpažinti sukčiavimą el. paštu bei tinkamai reaguoti, dar kart parodė, kad privalu ugdyti darbuotojus kibernetinio saugumo srityje, jog šie netaptų pagrindine rizika sukčiams lengvai ir greitai gauti reikiamą informaciją.
Kaip viskas vyko?
Tiriamoji socialinės inžinerijos simuliacija vyko keturis mėnesius: 2022 metų kovo – birželio mėnesiais. Tyrime fiksuoti rezultatai 9989 asmenų iš 78 skirtingų organizacijų ir 13 sektorių. Fišingo atakai inscenizuoti buvo pasirinktas „Sophos Phish Threat“ socialinės inžinerijos simuliacijų įrankis, kuris leido išsiųsti identiško turinio el. laiškus lietuvių ir anglų kalbomis su tariamai užkrėsta nuoroda bei fiksuoti gavėjų veiksmus – el. laiško atidarymą, paspaudimą ant nuorodos, laiką bei naudojamą įrenginį.
Rezultatai
Akivaizdu, kad IT saugumo suvokimo ugdymo programos veiksmingos, tačiau kibernetinio saugumo žinių vis dar trūksta
Tyrimo metu paaiškėjo, jog 41 % dalyvių perskaitė sukčiavimo laišką, o tokio el. laiško Lietuvoje neatpažintų ir paspaustų ant žalingos nuorodos 16 % darbuotojų. Tai šiek tiek mažiau nei praėjusiais metais (19 %). Ir nors bendras rezultatas geresnis nei praėjusiais metais, reikia suprasti, kad tokių sukčiavimo atvejų pasekmės gali būti itin skaudžios, pradedant asmeninių duomenų praradimu, baigiant milžiniškais finansiniais nuostoliais įmonėje ar visišku veiklos stabdymu.
Tyrime dalis įmonių dalyvavo nebe pirmą kartą ir jau buvo ėmęsi veiksmų darbuotojų kibernetinio saugumo ugdyme, todėl dalis rezultatų yra geresni. Džiugina ir tai, kad beveik visos dalyvavusios organizacijos (87 %) informavo, jog bent vienas jų darbuotojas pranešė atsakingiems asmenims įmonėje apie gautą įtartiną el. laišką.
Svarbu suvokti, jog el. laiškus, kuriais siekiama išvilioti duomenis, neabejotinai gausite ir ateityje, todėl reguliariai vykdomi darbuotojų teorinių žinių bei praktinių užduočių kibernetinio saugumo mokymai yra būtini kiekvienoje organizacijoje. Tai padeda suprasti informacijos, su kuria dirbama svarbą, rizikas ir tinkamų veiksmų užtikrinimą.
Pažeidžiamiausios ir toliau išlieka smulkiojo verslo įmonės
Stebint viešai skelbiamą informaciją apie kibernetines atakas, gali susidaryti įspūdis, jog kibernetinių nusikaltimų atveju dažniau nukenčia didelės ar valstybinės įmonės. Vis dėlto, smulkusis verslas taip pat nėra užmirštas nusikaltėlių, o priemonės jo saugumui užtikrinti - nepakankamos.
Kaip ir praėjusių metų „Responsu“ tyrime, labai mažose ir mažose įmonėse paspaudimų vidurkis didžiausias (84 %). Užkirsti kelią virtualiems nusikaltėliams įmanoma iš anksto tam ruošiantis ir laikantis svarbiausių saugumo taisyklių: įvertinant įmonės kibernetinio saugumo rizikas ir paruošiant rekomendacijas siekiant jų išvengti, užtikrinant technines priemones el. pašto ir kitų kibernetinių grėsmių apsaugai bei reguliariai vykdant kibernetinio saugumo mokymus.
Informacinių technologij ų sektorius – ir šiemet raštingiausias kibernetinio saugumo srityje
Informacinių technologijų sektoriuje išryškėja gerokai mažesnis (6 %) nei vidutinis paspaudimų ant nuorodos vidurkis (16 %). Nuo jo nedaug atsilieka švietimo (7 %), turizmo paslaugų (8 %) bei konsultavimo (9 %) sektoriai. Tiek „Responsu“ atliktas tyrimas, tiek pasauliniai rezultatai rodo, kad darbuotojų informavimas bei ugdymas kibernetinio saugumo srityje yra naudingas, nes gali sumažinti paspaudimų skaičių vidutiniškai 85 %. Įvertinus įmonių, kurios dalyvavo šiame tyrime šiais bei praėjusiais metais rezultatus, po mokymų jose sumažėjo galimų sėkmingų sukčiavimo atvejų: nuo maždaug 32 % iki 11 % (draudimas/finansinės paslaugos), nuo 39 % iki 7 % (turizmas), nuo 27 % iki 7 % (švietimas). Akivaizdu, jog investicija į darbuotojų ugdymą atsiperka.
Mobilieji įrenginiai tampa vis populiaresniu ne tik darbuotojų, bet ir sukčių įrankiu
Sukčių pinklėms nuolat tobulėjant ir keičiantis bei taikantis į verslus, nusikaltimo atvejai gali būti nepastebėti net ir budriausių vartotojų. Riziką ypač padidina dažnesnis mobiliųjų telefonų naudojimas darbo reikmėms.
Skirtingai nei praėjusias metais, daugiau greičiausių paspaudimų užfiksuota darbuotojams naudojant mobilųjį telefoną (55 %), o ne kompiuterį. Tai paskatinti galėjo įmonių mobiliuosiuose telefonuose diegiami sprendimai patogesniam darbui. Vis dėlto, juose sunkiau pastebėti sukčiavimo atvejus dėl kelių priežasčių: vaizdiniai elementai mobiliuosiuose įrenginiuose yra daug mažesni nei kompiuteryje bei šie įrenginiai dažniau naudojami norint greitai pažiūrėti informaciją, pavyzdžiui patikrinti, ar nėra svarbių el. pašto laiškų. Siekiant apsaugoti įmones nuo finansinių nuostolių, įvairių duomenų ar prisijungimų praradimo, svarbu žinoti ir supažindinti darbuotojus kaip šios atakos veikia bei kaip nuo jų apsisaugoti.
Ko galime iš to pasimokyti?
Nereikia būti ekspertu – pagrindinių saugumo elgesio priemonių gali ir turi išmokti kiekvienas organizacijos darbuotojas. Vien moderniausia saugumo įranga nebus veiksminga, jei darbuotojai nebus supažindinti ir nesilaikys pagrindinių kibernetinio saugumo taisyklių.
Tiek verslo atstovai, tiek valstybinės organizacijos privalo investuoti į kibernetinį saugumą. Atsainus požiūris į grėsmes ar manymas, jog įmonė nėra potencialus nusikaltėlių taikinys, dažnai lemia didelius nuostolius.
Kartojimas – mokslų motina. Ši taisyklė puikiai veikia visose situacijose, taip pat ir kibernetinio saugumo srityje. Tuo remiantis, įmonių vadovai turi suprasti, kad apmokyti darbuotojus vieną kartą neužtenka. Reguliarus žinių atnaujinimas, aktualios informacijos stebėjimas, dalinimasis patirtimi padeda suprasti internetinių sukčių pinkles ir užtikrinti kibernetinį saugumą.
Jei norite gauti bendrinę tyrimo ataskaitą, kviečiame susisiekti su „Hermitage Solutions“ atstovais: info@responsu.com.
