Posted inCyberBezpieczeństwo

Jak przeprowadzić skuteczny test phishingowy w małej i średniej firmie

Brak komentarzy.
skuteczne testy phishingowe w firmie

Testy phishingowe w małych i średnich firmach bardzo często są robione źle. Nie dlatego, że ktoś ma złe intencje. Po prostu nikt wcześniej nie pokazał, jak zrobić to sensownie. W praktyce wygląda to tak: ktoś kupuje narzędzie, klika „wyślij kampanię”, wybiera pierwszy lepszy szablon maila o fakturze albo paczce i wysyła do wszystkich pracowników jednocześnie. Po kilku dniach powstaje raport, kilka osób „oblało”, kilka „zdało”, temat się zamyka.

Problem w tym, że taki test nie uczy niczego. Nie poprawia bezpieczeństwa. Nie zmniejsza ryzyka. A już na pewno nie przygotowuje firmy na prawdziwy atak.

Przez ostatnie lata prowadziłem testy w firmach produkcyjnych, usługowych, handlowych i w organizacjach, gdzie IT to był jeden admin na pół etatu. I wniosek jest zawsze ten sam: skuteczny test to nie jest wysłany mail. To proces. I w MŚP ten proces musi być prosty, ale przemyślany.

Po co w ogóle robić phishing testy w MŚP

W małych i średnich firmach phishing nadal jest główną drogą wejścia. Nie zero-daye, nie skomplikowane exploity. Zwykły mail, kliknięcie, czasem wpisanie hasła. Widziałem firmy, gdzie jeden klik kończył się dostępem do skrzynki księgowej, potem do SharePointa.

Symulacja phishingowa nie ma służyć do łapania ludzi na błędach. On ma odpowiedzieć na bardzo konkretne pytania:

  • czy pracownicy rozpoznają podejrzany mail,
  • czy wiedzą, co zrobić po kliknięciu,
  • czy IT w ogóle widzi, że coś się wydarzyło.

Jeśli test nie daje odpowiedzi na te pytania, to jest stratą czasu.

Najczęstsze błędy, które widzę na starcie

Pierwszy błąd to myślenie, że test to wydarzenie jednorazowe. Robimy raz w roku, bo audyt, bo certyfikat, bo ktoś kazał. To nie działa. Pracownicy szybko zapominają, a atakujący nie robią przerw.

Drugi błąd to robienie testu „na zaskoczenie”, bez żadnej komunikacji. Zarząd i IT wiedzą, reszta nie. Efekt? Ludzie czują się oszukani, wkurzeni, a część zaczyna ukrywać kliknięcia, bo boją się konsekwencji. To zabija sens całego ćwiczenia.

Trzeci błąd to używanie skrajnych scenariuszy. Mail tak ewidentny, że nawet praktykant go rozpozna, albo odwrotnie, scenariusz tak zaawansowany, że poległby na nim każdy poza osobami zajmującymi się cyberbezpieczeństwem. W MŚP trzeba trafić w realne sytuacje, takie, które faktycznie się zdarzają.

Jak przygotować firmę, zanim wyślesz pierwszego maila

Zanim jakikolwiek testowy mail poleci do skrzynek, trzeba zrobić jedną, bardzo ważną rzecz. Ustalić zasady. Nie regulamin na dziesięć stron, tylko jasny komunikat: po co to robimy i co się stanie, jeśli ktoś kliknie.

Ja zawsze mówię wprost: to nie jest test pracowników, tylko test organizacji. Jeśli ktoś kliknie, to znaczy, że my jako firma mamy jeszcze coś do poprawy. Takie podejście zmienia nastawienie ludzi. Zamiast kombinować, zaczynają zgłaszać podejrzane maile.

Druga sprawa to kanał zgłoszeń. Jeśli pracownik zobaczy podejrzany mail, musi wiedzieć, gdzie to zgłosić. Przycisk w kliencie poczty, dedykowany adres, ticket w systemie. Cokolwiek, byle było proste. Bez tego test traci połowę wartości.

Jak dobrać scenariusz phishingowy, który ma sens

W MŚP nie testujemy teorii. Testujemy codzienność. Dlatego najlepsze scenariusze to te, które ludzie już widzieli albo mogli widzieć.

  • Mail od „księgowości” z informacją o korekcie faktury.
  • Powiadomienie z narzędzia, którego firma faktycznie używa, CRM, system do faktur, platforma HR.
  • Prośba o szybkie zatwierdzenie przelewu albo zmiany numeru konta.

To są rzeczy, które naprawdę się dzieją. I właśnie dlatego działają na atakujących.

Unikam scenariuszy typu „wygrałeś iPhone’a” albo „Twoje konto Netflix zostanie zablokowane”, jeśli firma nie korzysta z takich usług. Test ma być realistyczny, a nie filmowy.

Techniczna strona testu, czyli co faktycznie mierzyć

Kliknięcie w link to tylko jeden z elementów. Ważniejsza jest reakcja po kliknięciu. Czy ktoś wpisał hasło. Czy ktoś zgłosił incydent. Jak szybko IT się o tym dowiedziało.

Dobra symulacja phishingowa w MŚP mierzy czas reakcji. Od momentu wysłania maila do pierwszego zgłoszenia. Od kliknięcia do podjęcia działań przez IT. To pokazuje realną odporność firmy, a nie tylko statystyki do prezentacji.

Jeśli po teście IT dowiaduje się o kliknięciach dopiero z raportu narzędzia, to znaczy, że proces reagowania praktycznie nie istnieje.

Co zrobić po teście phishingowym

Najgorsze, co można zrobić, to wysłać maila „wyniki testu” i zamknąć temat. Najlepsze firmy, z którymi pracowałem, zawsze robiły krótkie podsumowanie. Bez wytykania palcami. Bez nazwisk.

Pokazujemy przykład maila, tłumaczymy, na co zwrócić uwagę. Mówimy, co było dobre, a co trzeba poprawić. Jeśli ktoś wpisał hasło, to nie kara, tylko szybka zmiana hasła i rozmowa, co zmyliło.

Tu bardzo dobrze sprawdzają się krótkie materiały edukacyjne albo follow-upowe mini szkolenia. Nie godzinny webinar, tylko konkret. 15 minut, jeden temat, jeden przykład.

Jak często robić testy w małej i średniej firmie

Raz w roku to za mało. Raz w miesiącu to często za dużo. Z mojego doświadczenia najlepszy model dla MŚP to testy kwartalne, z różnymi scenariuszami i różnymi grupami odbiorców.

Nie wysyłamy wszystkiego do wszystkich. Testujemy działy, role, nowe osoby. Nowy pracownik po 30 dniach pracy to idealny moment na test. Tak samo osoby z dostępem do finansów czy systemów krytycznych.

Regularność buduje nawyki. A nawyki są ważniejsze niż wiedza teoretyczna.

Dlaczego phishing test to nie wszystko

W wielu firmach, które testowałem, test ujawniał wiele innych niedociągnięć w firmie. Najczęstsze problemy to:

  • Brak MFA na poczcie
  • Brak alertów o logowaniu z nowych lokalizacji
  • Brak procedury po wycieku hasła
  • Brak procedury zgłaszania problemów

To są rzeczy, które trzeba poprawić równolegle, możliwie jak najszybciej. Warto dodać, że nie są to skomplikowane zmiany.

Wnioski z praktyki

Skuteczny test phishingowy w MŚP to nie narzędzie i nie raport. To sposób myślenia o bezpieczeństwie. Jeśli test ma straszyć pracowników, to się nie uda. Jeśli ma poprawić odporność firmy, to zaczyna działać bardzo szybko.

Najlepsze efekty widziałem tam, gdzie IT traktowało test jak element normalnej pracy, a nie jednorazową akcję. Bez polowania na błędy, za to z realną analizą i poprawkami po drodze.

Jeśli firma potrafi wyciągać wnioski z prostego testu, to zwykle radzi sobie też z większymi incydentami. A o to w tym wszystkim chodzi.

Chciałbyś przeprowadzić test phishingowy w swojej firmie?

Pomagamy firmom dbać o cyberbezpieczeństwo. Przeprowadzimy kampanię phishingową i szkolenie dla pracowników

Sprawdź, czy Twoja organizacja jest odporna!

Odezwij się do nas!
Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *