Czym się zajmujemy?

Program Podnoszenia Świadomości (Awareness Program) jest ważnym elementem strategii bezpieczeństwa IT każdej firmy. Celem takiego programu jest zwiększenie świadomości pracowników w obszarze potencjalnych zagrożeń w obszarze IT aby uniknąć ich wystąpienia w przyszłości. Musimy mieć pewność, że pracownicy naszych klientów są świadomi i potrafią chronić dane firmy wiedząc jak wykrywać groźne sytuacje i jak należy na nie reagować.

Aby program był skuteczny, ważne jest zapewnienie odpowiedniej różnorodności działań i ich regularność. Każdy program musi być przede wszystkim dopasowany do potrzeb danej organizacji w tym, jej struktury organizacyjnej. Wszystkie nasze działania, takie jak kampanie phishingowe, szkolenia, czy newsletery są dokładnie przemyślane i opracowane, aby zapewnić jak najlepsze rezultaty. Zawsze bierzemy pod uwagę fakt, że każda z tych aktywności jest bardzo „widoczna” w organizacji i oceniana przez pracowników każdego szczeblu, dlatego w żadnym wypadku nie można sobie tutaj pozwolić na brak jakości.

Tych aktywności jest na prawdę dużo i przybierają różne formy w zależności od kontekstu w którym aktualnie się znajdujemy i jakie największe ryzyka dla organizacji widzimy, ale mogę wymienić kilka najpopularniejszych i najczęściej stosowanych:

• • Szkolenia – Formy szkoleń różnią się między sobą, a każda z nich posiada swoje zalety i wady. Na przykład, coroczne ogólne szkolenie awarenessowe dla wszystkich pracowników w formie stacjonarnej, w przypadku dużych organizacji może okazać się nieefektywne. Ma to związek głównie z logistyką, skalą, geo-lokalizacją pracowników, dostępnością czasową i innymi tego typu czynnikami. W takim przypadku lepszym rozwiązaniem może być szkolenie w formie on-line, które jest łatwo skalowalne i dostępne dla pracowników w każdym momencie. Dzięki zastosowaniu odpowiednich narzędzi, możemy także zautomatyzować cały proces – automatycznie przypisywać szkolenia do konkretnych osób (lub całych zespołów), dopasować indywidualnie wersje językowe itp.Natomiast, w przypadku szkolenia dedykowanego dla konkretnego działu firmy, lepszą formą może być webinar prowadzony przez trenera na żywo, podczas którego uczestnicy będą mieć możliwość zadawania pytań na nurtujące ich tematy. Wszystko tak naprawdę zależy od konkretnego przypadku i potrzeb danej organizacji, dlatego coś takiego jak jeden prawidłowy model prowadzenia programu podnoszącego świadomość nie istnieje.

• • Kampanie Phishignowe – Jest to proces szkoleniowy polegający na symulacji ataku phishingowego, aby wyposażyć pracowników w niezbędne umiejętności do radzenia sobie z realnymi zagrożeniami w sieci. W tym celu wykorzystywane są różnorodne, realistyczne scenariusze, takie jak e-maile zawierające złośliwe linki lub prośby o ujawnianie wrażliwych informacji. Kampanie powinny być dostosowane do różnych poziomów trudności i różnych profili użytkowników.Niezwykle istotne jest, aby w trakcie tej kampanii wykorzystywać bezpieczne i autoryzowane narzędzia, które zapewnią ochronę wrażliwych danych i informacji. W przypadku naszych symulacji, zbierane są jedynie informacje dotyczące tego, czy użytkownik wykonał dane działanie, jednak bez gromadzenia konkretnie wprowadzonych przez niego wartości. Jest to świetny sposób, aby przygotować swoich pracowników do reagowania na potencjalne zagrożenia związane z phishingiem – który jest najtańszą, najprostszą, najlepiej skalowalną i jedną z najbardziej skutecznych technik ataku w obecnym czasie.

• • Kampanie Smishingowe – to symulacje polegające na wykorzystaniu wiadomości SMS, których celem jest zachęcenie użytkownika do wykonania określonej czynności, np. kliknięcia w link znajdujący się w treści wiadomości. Taki atak jest skierowany głównie do posiadaczy służbowych telefonów komórkowych i może prowadzić do utraty wrażliwych danych lub zainfekowania urządzenia złośliwym oprogramowaniem. Jest to technika ataku, która systematycznie zyskuje na popularności – jednym z najbardziej znanych przykładów jest SMS informujący użytkownika o tym, że jego paczka przekroczyła dopuszczalną masę i musi dopłacić dodatkowo kilka złotych. Oczywiście aby to zrobić, musi kliknąć w link znajdujący się w treści wiadomości.

• • Kampanie Vishingowe – Chyba każdego z nas dotknęła sytuacja w której otrzymywaliśmy połączenia od nieznanych nam numerów z róznego rodzaju propozycjami i ofertami (np. Pani Klara z fotowoltaiką). Mimo, że boty te są wciąż jeszcze dosyć prymitywne, to wraz z rozwojem sztucznej inteligencji coraz trudniej będzie nam stwierdzić, czy aktualnie rozmawiamy z prawdziwą osobą, czy też z automatycznym programem. To stwarza ogromne pole do wykorzystywania tej technologii w celu przeprowadzenia ataków typu Vishing. Jest to technika która podobnie jak Phishing i Smishing, zakłada zachęcenie ofiary do wykonania określonej czynności – np. ujawnienia wrażliwych informacji, odwiedzenia wybranej strony internetowej, uruchomienia konkretnego oprogramowania czy też wykonania jakiejś akcji na komputerze firmowym. W krajach, gdzie rozmowy z „dobrymi” botami są powszechne (np. USA), Vishing jest szczególnie niebezpieczny i skuteczny.

• • Kampanie socjotechniczne z wykorzystaniem urządzeń USB – ataki socjotechniczne z wykorzystaniem urządzeń podpinanych do portu USB stale zyskują na popularności (często są prezentowane w filmach/serialach z uwagi na ich dosyć widowiskowy sposób działania). Niestety, wiele osób wciąż nie jest świadomych, że urządzenia podłączone do naszego komputera, takie jak pendrive’y, mogą mieć ukryte funkcje, które stanowią zagrożenie dla naszej prywatności i bezpieczeństwa.Aby uświadomić uczestnikom programu awarenessowego jak duże jest to ryzyko, prowadzimy również kontrolowane kampanie socjotechniczne, w których wykorzystujemy różne urządzenia (np. pendrive’y, myszki, dyski zewnętrzne, itp.) pozostawione w ogólnodostępnych miejscach. Celem tych kampanii jest pokazanie pracownikom, że istnieje dużo więcej zagrożeń niż tylko spopularyzowany w ostatnich latach phishing, a atakujący mogą również przeprowadzić atak z wykorzystaniem „fizycznych” urządzeń.

To tylko kilka z przykładów najbardziej popularnych aktywności, które przeprowadzamy w ramach prowadzenia programu awarenessowego – cały proces jest dużo bardziej złożony i polega również na stałym monitorowaniu aktualnych trendów, weryfikacji poziomu świadomości pracowników i odpowiednim dostosowaniu prezentowanych technik, komunikatów i aktywności do potrzeb organizacji.

Można do tego podejść wielowarstwowo:

1. 1. Analiza i ocena: Przed rozpoczęciem programu analizujemy i oceniamy stan świadomości bezpieczeństwa w danej organizacji na moment startu (tzw. Baseline), co umożliwi określenie jego celów i kierunków działania a także wykorzystanie w przyszłości jako punkt odniesienia. W tym celu możemy przeprowadzić np. kampanie phishingową o niskim poziomie trudności i wyłapać jak dużo osób jest podatnych nawet na najprostsze możliwe ataki. Innym sposobem może być przygotowanie ankiety zawierającej pytania, które pomogą nam uzyskać szerszy obraz i powtórzenie jej np. po roku trwania programu.

1. 1. Kontrolowane kampanie testowe: każda kampania testowa która wykonujemy ma określony poziom trudności i skomplikowania – sam scenariusz ataku może się różnić, natomiast wykorzystywane są te same techniki. Dzięki takiemu podejściu jesteśmy w stanie porównać wyniki z dwóch kampanii na takim samym poziomie i zweryfikować progress. Z czasem należy podnosić poziom trudności co również daje nam konkretne informacje o kierunku rozwoju naszego programu (np. 70% prawidłowych zachowań przy kampanii o trudności 4/5 jest dużo lepszym wynikiem niż 90% prawidłowych zachowań przy poziomie trudności 1/5).

1. 1. Monitoring i analiza danych: Kolejną „twardą” statystyką świadczącą o tym, że program awarenessowy działa możemy wyciągnąć na podstawie liczb takich jak na przykład liczba zgłoszonych e-maili phishingowych przez uczestników programu (co warto również powiązać z ilością raportowanych incydentów), ocena treści i jakości programu przez pracowników, czy porównanie wyników organizacji naszego klienta do wyników innych, podobnych wielkościowo organizacji działających w tej samej branży.

1. 1. Szkolenia – w tym przypadku mamy możliwość wygenerowania raportu dotyczącego tego, ile osób wykonuje szkolenia, jak często, jaki jest ich feedback, jak zmieniały się ich reakcje na przeprowadzane przez nas aktywności w czasie.

1. 1. Kalkulacja ryzyka dla każdego uczestnika programu – wszystkie aktywności które realizujemy mają odzwierciedlenie w indywidualnym szacowaniu poziomu ryzyka dla każdego uczestnika programu. Oznacza to, że każda reakcja (lub jej brak) na wykonywane przez nas działania ma swoje odzwierciedlenie w tej metryce – dla przykładu, jeżeli użytkownik wykonuje wszystkie przypisane do niego szkolenia, ale mimo to daje się łapać na kampanie phishingowe, to jako osoby prowadzące otrzymamy informację, że musimy temu użytkownikowi poświęcić więcej uwagi, ponieważ z jakiegoś powodu nasze treści nie są przez niego przyswajane (podczas gdy reszta organizacji może nie mieć z tym zupełnie problemu). Dzięki stosowaniu specjalistycznych narzędzi możemy dotrzeć do takich osób bardzo szybko i zaproponować dodatkowe, inne formy edukacji, które będą miały większą szansę zadziałać. Jest to również bardzo przydatna opcja podczas typowania osób, które są tzw. najsłabszymi ogniwami naszego procesu bezpieczeństwa co daje nam możliwość wykrycia takiego zjawiska, wytypowania konkretnych osób i dostarczenia im dopasowanych do nich treści.

Budując zespół którego zadaniem będzie prowadzenie programu awarenessowego musimy zapewnić dostęp do kilku specyficznych kompetencji z obszaru bezpieczeństwa IT. Niezbędny jest doświadczony lider, który określi wizję wdrażanego programu, weźmie odpowiedzialność za koordynację, a także nadzór nad jego efektywną realizacją. Ponadto będziemy potrzebowali zaplecza w postaci ekspertów z zakresu bezpieczeństwa IT – ludzi, którzy swoim doświadczeniem wesprą zespół w zakresie budowania treści, tworzenia zaawansowanych scenariuszy testowych, konfiguracji urządzeń i narzędzi, itp. Żeby nasz program był skuteczny, potrzebujemy również specjalistów w zakresie komunikacji czyli osób, które będą odpowiedzialne za opracowanie i realizację odpowiedniej komunikacji, szkoleń, newsletterów czy wszelkich pozostałych treści.

Nasze podejście w tym zakresie jest bardzo elastyczne – jesteśmy w stanie działać w podejściu serwisowym, gdzie cała usługa jest wykonywana wyłącznie przez specjalistów po naszej stronie, ale równie popularnym rozwiązaniem jest współpraca w formie hybrydowej gdzie na przykład po naszej stronie znajduje się lider i eksperci z zakresu technicznego bezpieczeństwa IT, natomiast osoby odpowiedzialne za komunikacje pracują po stronie klienta.

Idealne z naszej perspektywy podejście do prowadzenia programu awarenessowego zakłada, że z czasem będzie on na tyle dojrzały aby klient mógł przejąć go całkowicie i prowadzić wyłącznie swoimi zasobami (często uczącymi się od nas w trakcie trwania współpracy), a my pozostajemy na ostatnim etapie jedynie wsparciem merytorycznym, lub kiedy zajdzie taka potrzeba, wspieramy klienta w zakresie tworzenia nowych treści (np. szkoleń), czy opracowywania specjalistycznych i nietypowych scenariuszy.

Koszty są zależne od bardzo wielu czynników takich jak np. rozmiar organizacji, liczba pracowników, poziom zaawansowania technologicznego, zakres programu, rodzaj narzędzi i typ ich licencjonowania. Zanim będziemy w stanie oszacować musimy dogłębnie zrozumieć te wszystkie aspekty. Żeby natomiast pokazać rząd wielkości to mogę posłużyć się przykładem przyjmując następujące założenia:

• • Średniej wielkości firma ok. 1000 pracowników

• • Program ma w swoim założeniu opierać się o przeprowadzanie szkoleń online kilka razy do roku, kampanii phishingowych, poprowadzenie kilku webinarów na żywo, obsługa zgłaszanych maili phishinowych, kwartalne raportowanie progresu, przeprowadzanie dodatkowych bardziej zaawansowanych scenariuszy ataków, ogólnodostępną platformę e-learningową zawierającą bazę opcjonalnych szkoleń z różnych obszarów dotyczących bezpieczeństwa IT.

• • Kupujemy topowe narzędzia z licencjami dla wszystkich pracowników firmy

• • Program jest w całości outsource’owany do nas – narzędzia, zespół, obsługa, itp.

• • Do prowadzenia programu awarenessowego zaangażowany jest Lider Techniczny (ok 10h/tyg), eskpert techniczny z obszaru cyber-bezpieczeństa (ok 20h/tyg) i osoba odpowiedzialna za komunikację + obsługę narzędzia (ok 30h/tyg).

W powyższym przykładzie cena powinna oscylować w granicach 250 000 – 300 000 tysięcy złotych rocznie. Oczywiście jest to tylko szacunkowa wartość wynikająca z przyjętych powyżej założeń. Budżet ten jest często optymalizowany poprzez podzielenie odpowiedzialności między zespół nasz i zespół klienta za niektóre obszary, czy wybór tańszych (ale oferujących mniej udogodnień i funkcjonalności) narzędzi. Duży wpływ na cenę ma również liczba pracowników, ponieważ zdecydowana większość narzędzi opiera właśnie na niej swój model licencjonowania.