Czy Twoi pracownicy otworzą ten załącznik? Wyniki naszych testów
Przeprowadziliśmy 483 audyty bezpieczeństwa od 2017 roku i wniosek jest jeden: najsłabszym ogniwem nie jest Twój serwer, ale człowiek. W ostatnim kwartale wysłaliśmy 1 427 kontrolowanych wiadomości phishingowych do pracowników polskich firm średniej wielkości, a wyniki dają do myślenia.
Pułapka w porannej kawie
Większość incydentów, które obsługujemy w Conner Whitlock, zaczyna się we wtorek między 8:42 a 9:15 rano. To moment, w którym pracownik otwiera komputer, pije pierwszą kawę i chce szybko 'wyczyścić' skrzynkę z zaległych maili. W naszych testach z czerwca 2024 roku aż 19.3% osób kliknęło w link udający wezwanie do zapłaty z PGE. Nie sprawdzili adresu nadawcy, bo kwota 147,20 zł wydawała się na tyle niska, by nie wzbudzać podejrzeń, a jednocześnie na tyle irytująca, by chcieli ją szybko sprawdzić.
W jednej z firm transportowych z Mazowsza, gdzie testowaliśmy 84 osoby, wynik był jeszcze gorszy. Aż 23 pracowników nie tylko otworzyło załącznik, ale też wpisało swoje dane do logowania na fałszywej stronie Microsoft 365. Zajęło im to średnio 43 sekundy od momentu otrzymania wiadomości. Twarde fakty na stół: pośpiech w połączeniu z brakiem procedur to najkrótsza droga do utraty kontroli nad kontem bankowym firmy.
Aż 19.3% osób kliknęło w link udający wezwanie do zapłaty, bo kwota wydawała się niegroźna.
Metoda na fakturę korygującą
Sprawdzamy co działa, a co nie, dlatego w sierpniu 2024 roku przetestowaliśmy nowy scenariusz: 'Faktura korygująca za usługi telekomunikacyjne'. To klasyk, ale wciąż przerażająco skuteczny. Na 312 wysłanych maili, załącznik PDF (który w rzeczywistości był naszym trackerem) pobrało 47 osób. Co ciekawe, najczęściej dawali się nabrać pracownicy działów księgowości i kadr. Są przyzwyczajeni do otrzymywania dziesiątek dokumentów dziennie i ich czujność naturalnie spada po trzeciej godzinie pracy.
Znamy realia polskich firm i wiemy, że nikt nie ma czasu na dwugodzinne szkolenia z cyberbezpieczeństwa, które i tak wszyscy przesypiają. Dlatego podczas naszych audytów pokazujemy konkretne przykłady z polskiego podwórka. Nie opowiadamy o hakerach z filmów, ale o realnym ryzyku, gdzie błąd pani z administracji może kosztować firmę 114 000 zł z powodu zablokowania dostępu do plików przez ransomware. To nie są teorie, to sytuacje, które musieliśmy ratować w ubiegłym roku 14 razy.
Psychologia strachu i ciekawości
Dlaczego to w ogóle działa? Hakerzy używają prostych wyzwalaczy: strachu przed karą lub ciekawości. W naszym teście z lipca 2024 rozesłaliśmy maila o tytule 'Nowa lista płac - poufne'. Mimo że nadawca był spoza domeny firmowej, 14.7% pracowników próbowało otworzyć plik Excel. To ludzka natura. Bez lania wody – jeśli nie masz wdrożonych mechanizmów blokujących takie próby na poziomie serwera, polegasz wyłącznie na rozsądku ludzi, a ten bywa zawodny, zwłaszcza przed urlopem.
W Conner Whitlock nie wierzymy w jednorazowe pogadanki. Skuteczna ochrona majątku i danych wymaga systematyczności. Po każdym teście wysyłamy raport, który nie ląduje w szufladzie, ale służy do poprawy bezpieczeństwa w 14 dni. Pokazujemy, kto kliknął, jak szybko i na co dał się nabrać. (Heads-up: zazwyczaj te same 3-4 osoby w firmie generują 79.4% ryzyka). Wiedząc to, możesz skupić się na ich dodatkowym zabezpieczeniu, zamiast męczyć wszystkich nudnymi procedurami.
Ciekawość bywa silniejsza niż procedury. Mail o liście płac otworzył co siódmy pracownik.
Jak realnie zabezpieczyć firmę?
Nie da się wyeliminować błędu ludzkiego do zera, ale można sprawić, by nie był on fatalny w skutkach. Pierwszym krokiem jest wdrożenie dwuskładnikowego uwierzytelniania (MFA) wszędzie, gdzie to możliwe. Z naszych danych wynika, że MFA blokuje 99.1% prób nieautoryzowanego logowania, nawet jeśli pracownik poda hasło na fałszywej stronie. To absolutne minimum, które każda firma w Polsce powinna mieć wdrożone już wczoraj. Jeśli tego nie masz, grasz w rosyjską ruletkę ze swoimi danymi.
Drugi krok to regularne testy socjotechniczne. Nie po to, by karać pracowników, ale by ich uodpornić. Pracownik, który raz 'wpadł' w naszym kontrolowanym teście, staje się trzy razy bardziej czujny na realne zagrożenia przez kolejne 11 miesięcy. To najtańsza i najskuteczniejsza forma edukacji. Zamiast teoretyzować, pokazujemy im 'na żywo', jak łatwo ich oszukać. To zostaje w pamięci znacznie dłużej niż jakikolwiek certyfikat z e-learningu.
Twoja lista kontrolna na jutro
Zacznij od prostych rzeczy. Sprawdź, czy Twoi pracownicy wiedzą, jak zgłosić podejrzany mail. W 73% firm, które badaliśmy, ludzie nie mieli pojęcia, co zrobić, gdy już kliknęli w coś podejrzanego. Często ze strachu przed karą po prostu zamykali laptopa i liczyli, że nic się nie stanie. To najgorsza możliwa reakcja. Musisz zbudować kulturę, w której zgłoszenie błędu w 5 minut po fakcie jest nagradzane, a nie karane. Czas reakcji jest tu kluczowy – odcięcie zainfekowanego komputera od sieci w 120 sekund może uratować resztę Twojej infrastruktury.
Zakończyliśmy III kwartał z wynikiem 97.3% skuteczności w wykrywaniu luk ludzkich u naszych stałych klientów. To efekt ciężkiej pracy i twardych danych. Jeśli chcesz wiedzieć, jak wygląda bezpieczeństwo w Twoim zarządzie i wśród Twoich ludzi, nie zgaduj. Sprawdź to z nami, zanim zrobi to ktoś, kto nie ma dobrych zamiarów. Pamiętaj: cyberbezpieczeństwo to nie jest koszt, to polisa ubezpieczeniowa na Twój święty spokój.
