Phishing není žádnou novinkou. Tato taktika sociálního inženýrství se mezi nástroji útočníků objevuje již desítky let a podle nejnovějších výzkumů si udržuje první příčku mezi způsoby doručování ransomwaru. O efektivitě phishingu přitom existuje mnoho exaktně doložených údajů. Podle studie Fortinet 2023 Global Ransomware Report je phishing nejčastější taktikou (56 %), kterou útočníci užívají k infiltraci do sítě a úspěšnému spuštění ransomwaru. Pomůže vzdělávat zaměstnance?
Phishing spočívá v tom, že se útočník vydává za důvěryhodnou osobu nebo subjekt a prostřednictvím e-mailů nebo textových zpráv se snaží z nic netušící oběti vylákat citlivé údaje. Počítačoví zločinci se vždy snaží vytvořit legitimně vypadající phishingovou komunikaci, ale někteří jsou v tomto směru zdatnější než jiní. V minulosti bylo často snadné phishingové zprávy odhalit, protože psány nedbale, s mnoha jazykovými i pravopisnými chybami.
Stále snadněji dostupné bezplatné nástroje pro tvorbu obsahu založené na umělé inteligenci umožňují kyberzločincům své útoky zdokonalovat. Jedním ze způsobů, jak toho dosahují, je využití umělé inteligence k formulaci podvodných e-mailů a textových zpráv, aby působily realističtěji a tím pádem byla vyšší šance, že se podaří přesvědčit nic netušící oběť, aby klikla na škodlivý odkaz.
S nástupem nové éry komunikace formulované s pomocí umělé inteligence hrají zaměstnanci ještě důležitější roli při ochraně svých podniků před pokusy o narušení bezpečnosti. Pouhé doporučení zaměstnancům, aby si všímali „tradičních“ atributů phishingu, však již nestačí. Vedle investic do správných technologií, jako jsou filtry nevyžádané pošty nebo vícefaktorové ověřování, může být vzdělávání zaměstnanců rozhodujícím faktorem ochrany podniků před phishingem a ransomwarem.
Phishing zůstává nejběžnější metodou šíření ransomwaru
Je snadné pochopit, proč se jedná o tak oblíbenou taktiku – útočníci s ní stále zaznamenávají úspěchy. Podle údajů ze studie zaměřené na phishing, kterou zpracovala Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury, u 80 % subjektů alespoň jeden zaměstnanec podlehl simulovanému pokusu o phishing.
Ransomware má i nadále dopad na podniky všech velikostí ve všech odvětvích a zeměpisných oblastech. A přestože většina manažerů věří, že jsou jejich firmy na obranu proti ransomwaru připraveny (78 % tvrdí, že jsou na zmírnění hrozby „velmi dobře“ nebo „extrémně dobře“ připraveni), polovina z nich se v posledních 12 měsících stala obětí ransomwarového útoku.
Vzdělávání zaměstnanců v oblasti ochrany před phishingem
Vzhledem k tomu, že většina ransomwaru se šíří prostřednictvím phishingu, má pro ochranu podniků před těmito hrozbami zásadní význam vzdělávání zaměstnanců. Neexistuje však žádný univerzální vzdělávací program, který by vyhovoval všem. Školení by měla být přizpůsobena specifickým potřebám a podmínkám daného podniku. Níže uvádíme několik typů služeb a programů, které jsou koncipované tak, aby uživatelům pomohly pochopit a odhalit phishing a další kybernetické hrozby, a které mohou sloužit jako skvělý výchozí bod pro vytvoření komplexního programu zvyšování povědomí zaměstnanců o počítačové bezpečnosti.
Vzdělávání v oblasti počítačové bezpečnosti: Zaměstnanci jsou pro kyberzločince vysoce cennými cíli. Zavedení průběžného vzdělávacího programu v oblasti kybernetických hrozeb, který bude pravidelně vyhodnocován a aktualizován s ohledem na měnící se povahu útoků, je důležitou součástí zajištění bezpečnosti podniku. Služba Fortinet Security Awareness and Training Service poskytovaná formou SaaS nabízí včasné školení o aktuálních a relevantních bezpečnostních hrozbách. Služba pomáhá vedoucím pracovníkům v oblasti IT, bezpečnosti a compliance budovat kulturu informovanosti a opatrnosti, kde zaměstnanci s větší pravděpodobností rozpoznají útoky a vyhnou se jim. Jako bonus pro organizace, které potřebují zajistit soulad s předpisy, pomáhá tato služba také splnit požadavky na školení v oblasti dodržování zákonů, předpisů a norem.
Služby simulace phishingu: Zasílání simulovaných phishingových e-mailů zaměstnancům jim umožňuje procvičit si rozpoznávání škodlivých zpráv a naučit se správně zachovat v případě reálné hrozby. Služba FortiPhish Phishing Simulation Service pracuje s realistickými simulacemi, které pomáhají prověřit informovanost a ostražitost uživatelů vůči phishingovým hrozbám, a školí uživatele, jaké kroky mají podniknout v případě podezření, že by se mohli stát terčem phishingového útoku.
Bezplatné školení v oblasti síťové bezpečnosti Fortinet Network Security Expert (NSE): Vzdělávací institut Fortinet Training Institute nabízí bezplatné moduly online školení v oblasti síťové bezpečnosti, kde si uživatelé sami řídí postup a kde se mohou naučit jak rozpoznávat různé typy hrozeb, včetně phishingových útoků, tak jak se proti nim chránit. Tyto moduly lze snadno začlenit do stávajících interních školicích programů a posílit tak povědomí o klíčových konceptech. Autorizovaná školicí střediska (ATC) společnosti Fortinet navíc poskytují školení pod vedením instruktorů, které usnadňují přístup k učebním osnovám NSE po celém světě.
Vzdělávací programy v oblasti počítačové bezpečnosti pomáhají podnikům si udržet náskok před útočníky
Stejně jako podniky zavádí nové technologie, kyberzločinci neustále hledají způsoby, jak využít nové nástroje k nekalým účelům. To vyžaduje, aby se bezpečnostní týmy a všichni zaměstnanci ještě důsledněji chránili před hrozbami. Proto je zapotřebí, aby podniky vyhodnocovaly a rozvíjely své stávající programy kyberbezpečnostní informovanosti a zajistily, že účastníci školení a zaměstnanci budou mít co nejaktuálnější a nejrelevantnější znalosti, které jim (a podnikovým datům) zajistí bezpečnost.
Chcete-li se dozvědět více o řešeních společnosti Fortinet nebo se spojit s lokálním týmem, prosím kontaktujte csr_sales@fortinet.com.