Az amerikai pénzügyi vállalatoknál egyre gyakoribb, hogy az adathalász teszteken megbukó alkalmazottakat kirúgják a cégtől. Szerintünk ehelyett valamivel több türelemre és oktatásra lenne szükség.
A legtöbb sikeres informatikai támadás egy adathalász e-maillel kezdődik. A Symantec Threat Report 2019 adatai szerint a magyarországi e-mailek 5,9 százaléka hordoz valamilyen káros tartalmat, legyen az egy fertőzött csatolmány vagy egy fertőzött weboldalra mutató link.
Mindezek alapján nem meglepő, hogy több cég foglalkozik azzal, hogy egy adathalász támadást szimulálva teszteli a kollégák éberségét. Ilyenkor a gyanútlan felhasználónak egy teszt e-mail küldenek ki, melyben arra kérik például, hogy nyisson ki egy csatolmányt vagy látogasson el egy weboldalra, ahol aztán megpróbálják rávenni a vállalati jelszó és felhasználónév megadására.
Az USA-ban több pénzintézetnél pedig annyira komolyan veszik az IT biztonság kérdését, hogy a szabályzatuk kimondja: ha az alkalmazott nem megy át az adathalász teszten, akkor megválnak tőle, és így megszüntetik a foglalkoztatásával járó kockázatot.
Az ehhez hasonló drákói szigort nem tarja célravezetőnek John LaCour az adathalászat elleni felkészítéssel foglalkozó Phishlabs alapítója. A szakember szerint ha egy alkalmazott elbukja az első tesztet, akkor online tanítás helyett a fizikai jelenlétet igénylő osztálytermes oktatásban részesülhet. Ha ezután is megbukna, akkor a hálózati jogok megvonásával izolálhatják őt. A vállalat alapítója szerint az adathalászat elleni felkészülést oktató szoftverek nem azért születtek meg, hogy jól kitoljunk kollégáinkkal, hanem azért, hogy megtanítsuk őket az adathalász támadások felismerésére és kivédésére. Ha rosszul használjuk őket, az emberek demotiváltak lesznek, és nem tanulnak semmit.
A negatív következményekkel járó adathalász tesztek valóban csak arra jók, hogy feszültségek okozzon az alkalmazottak és a vállalat biztonsági csapata között – véli Rohyt Belani, egy másik adathalászat elleni cég, a Cofense ügyvezető igazgatója.
Mi ezen szakemberek véleményét osztjuk: nem célszerű a felkészülést fenyegetéssel párosítani.
Nyilvánvaló, hogy oktatással kell segíteni a hamis e-mailek felismerését, és az is, hogy a felkészült alkalmazottak jelentősen tudják csökkenteni a vállalat informatikai kockázatát. De az informatikai munkatársakra jobb, ha barátként tekintenek a többiek.
A cikk forrása: KrebsonSecurity