4 Minutės
Nacionalinio kibernetinio saugumo centras (NKSC) šių metų rudenį vykdytose kibernetinėse pratybose „Kibernetinis skydas – PhishEx“ aiškiai parodė, kaip darbuotojai Lietuvoje reaguoja į elektroninio sukčiavimo atakas. Rugsėjo 29–spalio 3 d. pratybose dalyvavo 193 organizacijos, išsiųsta daugiau nei 120 tūkst. imituotų el. laiškų. Svarbu pažymėti, kad daugiau darbuotojų pranešė apie įtartinus laiškus (8 417), nei pateikė jautrius duomenis (8 029) — tai rodo gerėjantį budrumą, bet vis dar esantį rizikos lygį Lietuvos rinkoje.
Pagrindiniai sukčiavimo scenarijai ir rezultatai
„Microsoft/Office 365“ imitacija
Vienas iš labiausiai apgaulingų scenarijų imitavo „Office 365“ dokumentų bendrinimą — darbuotojams atsiųstas „vadovo“ kvietimas peržiūrėti dokumentą debesyje. Šis scenarijus įtikino 8,5 % dalyvių pateikti prisijungimo duomenis, o tik 3,9 % pranešė apie įtartiną laišką — tai parodo, kad net pažangiose Lietuvos įmonėse, pavyzdžiui, Vilniuje ar Kaune, socialinės inžinerijos atakos gali būti sėkmingos.
.avif)
„SignDoks“ el. parašų imitacija
Antras scenarijus imitavo dokumentų pasirašymo platformą „SignDoks“ — sukčiai prašė patvirtinti tapatybę įvedant telefono numerį ir paskutinius keturis asmens kodo skaitmenis. Tik 6 % darbuotojų pateikė prisijungimo duomenis, o 11,8 % pranešė apie laišką — tai rodo, kad tiesioginė vartotojų švietimo investicija duoda rezultatų, ypač tarp lietuvišką darbo aplinką naudojančių komandų.
Šantažo (ransomware) imitacija
Pirmą kartą įtrauktas šantažo scenarijus, kuriame buvo rodomas pranešimas apie tariamai užšifruotus failus ir reikalaujamas slaptažodis. Tik 1 % darbuotojų pateikė duomenis — dauguma ne tik atpažino grėsmę, bet ir pranešė savo organizacijos kibernetinio saugumo kolegoms. Tai ypač svarbu Lietuvos smulkiojo ir vidutinio verslo (MVĮ) sektoriui, kuriame duomenų praradimo pasekmės gali būti reikšmingos.
Kaip tai susiję su Lietuvos rinka ir vartotojais
PhishEx pratybos parodo, kad technologijų priėmimas Lietuvoje — pvz., Office 365, el. parašai ir debesų sprendimai — didina ir pavojų. Lietuviams svarbu, kad sprendimai būtų prieinami lietuvių kalba ir pritaikyti vietos verslui. Daug įmonių Vilniuje ir Kaune jau diegia daugiasluoksnį saugumą: daugiafaktorinį autentifikavimą (MFA), pažangias el. pašto filtravimo sistemas ir vartotojų mokymus. Tokie įrankiai ženkliai mažina sėkmingų sukčiavimų riziką.
Produktų ypatybės, palyginimas ir privalumai
Rekomenduojamos priemonės Lietuvos rinkai:
- MFA ir SSO – mažina riziką net jei slaptažodžiai nutekėtų;
- Phishing simuliacijos (pvz., PhishEx tipo) – leidžia realiai išbandyti darbuotojų atsparumą ir tiksliai orientuoti mokymus;
- El. pašto filtrai ir ATP (advanced threat protection) – automatiškai blokuoja žinomus atakų vektorius;
- Vartotojų mokymai lietuvių kalba – didina pranešimų skaičių ir mažina klaidų riziką.
Palankus palyginimas: vietinės pamokos ir simuliacijos, pritaikytos Lietuvos įmonių scenarijams (pvz., valstybės institucijoms, fintech sektoriui), dažnai būna efektyvesnės nei bendros tarptautinės programos, nes atsižvelgia į kalbą ir vietinius procesus.
Išvados ir rekomendacijos
NKSC PhishEx rodo, kad Lietuvos organizacijos juda teisinga kryptimi — pranešimų skaičius viršija duomenų pateikimo atvejus. Tačiau įmonėms Vilniuje, Kaune ir kituose miestuose rekomenduojama investuoti į nuolatinį darbuotojų mokymą, technines apsaugos priemones ir reguliuojamas simuliacijas per KSIS. PhishEx pratybos, skirtos Kibernetinio saugumo subjektams, yra svarbi priemonė stiprinti Lietuvos kibernetinį atsparumą bei prisitaikyti prie globalių grėsmių.
Šaltinis: delfi
Palikite komentarą