Više slojeva visokotehnoloških, sofisticiranih rješenja za cyber-sigurnost može spriječiti cyber-napadače da se snažno naoružaju na mreži vaše tvrtke i ukradu osjetljive podatke; Međutim, najbolji sigurnosni programi neće pomoći ako ih uđu kroz ulazna vrata.
Prema studiji Verizon iz 2017. godine, 43 posto kršenja podataka koristilo je neki oblik krađe identiteta. Nije tajna da povrede podataka koštaju tvrtke milijune dolara zbog zastoja mreže, popravka štete i potencijalnih parnica.
Lažno predstavljanje i lažno predstavljanje isprobana je metoda za hakere da dobiju pristup mreži i aplikacijama tvrtke, a sve pomoću jednostavnih tehnika hakiranja za dobivanje vjerodajnica ili zavaravanje zaposlenika u preuzimanju zlonamjernog priloga ili klikom na sumnjivu vezu. Prema SecurityIQ-u, 30 od 100 zaposlenika ne može prepoznati krađu identiteta.
Neki pokušaji krađe identiteta mogu se lako uočiti samo gledanjem e-adrese pošiljatelja. Neki su oštro lažni e-poštom otkriveni tragovima poput loše gramatike i pravopisa, nedostatka korporativnog logotipa ili grafike ili neobično postavljene grafike. Neki pokušaji traže zaposleničko korisničko ime, lozinku i druge vjerodajnice za koje tvrtka ne bi tražila. Inače, hakeri koriste sofisticiranije tehnike, poput podmetanja adresa e-pošte koja se podudara s URL-om tvrtke, grafikom tvrtke i osobnim podacima (imena, naslovi itd.) Zaposlenika koje su možda pronašli na mreži kako bi utvrdili vjerodostojnost. Pažljiva pažnja prema detaljima može biti dovoljna da zavarate zaposlenike u davanju osjetljivih podataka ili preuzimanju zlonamjernog softvera. [Zainteresirani za mrežne sigurnosne usluge ? Pogledajte naše najbolje izbore na sestrinoj web stranici Business.com.]
Osposobljavanje zaposlenika za otkrivanje i prijavljivanje lažnih e-poruka apsolutno je neophodno za izbjegavanje katastrofalnih kršenja; međutim, ponekad je potrebno tu obuku staviti na ispit.
Kao što je održavanje redovnih vatrogasnih vježbi radi pripreme zaposlenika za izvanredne situacije, mudro je simulirati pokušaje krađe identiteta kako bi zaposlenike držali na nogama, prepoznali ranjivosti u mreži i dodatno ih educirali o tim vrstama napada.
Izvođenje simulacije krađe identiteta
Ako se prevariš, nikad se ne osjeća dobro, a neki će se zaposlenici osjećati neugodno zbog pada zbog pokušaja krađe identiteta. Stoga se nikada javno ne sramite i ne kažnjavajte zaposlenike koji kliknu na linkove ili priloge za krađu identiteta ili daju osjetljive podatke. Ove bi vježbe trebale biti sredstvo učenja za cijelu tvrtku. Vaša namjera mora biti jasno navedena i prenijeti onima koje testirate.
Kao što je vatrogasna vježba, vježba potresa ili druga sigurnosna vježba, nije loše zamisliti zaposlenike da podignu glavu da ćete provoditi test cyber-sigurnosti kako bi imali veću svijest. Ne morate im reći kada će se i na koji način provoditi test - samo što će se izvesti u određenom vremenskom roku. Nakon simulacije obavijestite zaposlenike o tome kakav je bio test i kako se mogu poboljšati na rezultatima. Ponekad je od velike pomoći osoblju pokazati zaposlenicima šta je lažna e-pošta i koliko oni mogu biti varljivi.
Nakon što prikupite rezultate i otkrijete koliko je zaposlenika imalo negativne rezultate, možete odrediti što i koliko je obuke za cyber-sigurnost da bi bio vaš ured. Nakon ponovnog treninga i određenog vremena, testirajte ponovo. Ako zaposlenici pokažu poboljšanu budnost, možda je na redu uredska nagrada.
Alati za simulaciju krađe identiteta
Ako želite testirati svoje osoblje, postoji nekoliko načina kako to možete učiniti. Jedan od najjednostavnijih načina je angažirati vanjsku tvrtku da to učini. Mnoge mrežne sigurnosne usluge, kao što je Core Security, pružaju sveobuhvatno testiranje ranjivosti za tvrtke. Te procjene ne uključuju samo simulacije krađe identiteta - one testiraju sve aspekte vaše mrežne sigurnosti. Daju vam pregled trenutnog sigurnosnog modela i njegove dobrog učinka, kao i popis preporuka kako se možete poboljšati, uključujući ako vaš ured treba bolju trening za krađu identiteta.
Ovi testovi ranjivosti mogu biti skupi, tako da ako tražite jeftin način za lažiranje zaposlenika, na mreži postoji nekoliko besplatnih i isplativih alata koji će vam pomoći da to postignete. Gophish je besplatni alat za krađu identiteta otvorenog koda za postavljanje lažnih phishing kampanja. Možete prenijeti različite predloške kako biste testirali ranjivost zaposlenika na različite vrste pokušaja krađe identiteta, poput stjecanja vjerodajnica ili klikova zlonamjernih veza. No, Gophish i većina drugih alata otvorenog koda zahtijevaju određeno znanje HTML-a za stvaranje uvjerljive kampanje za krađu identiteta.
