Pratybų „Kibernetinis skydas PhishEx“ rezultatai: internetinių sukčių žinutės neatpažino beveik kas penktas darbuotojas

2023-10-10

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos spalio pradžioje organizavo antrąjį kibernetinio saugumo pratybų „Kibernetinis skydas PhishEx“ etapą. Jo metu buvo išsiųsta daugiau kaip 77 tūkstančių el. laiškų, imituojančių internetinių sukčių veiklą. Šiuos el. laiškus gavo darbuotojai iš 121 įstaigos, kurių dauguma yra Lietuvos ypatingos svarbos informacinės infrastruktūros ir valstybės informacinių išteklių valdytojai bei tvarkytojai.

Pratybų metu apie 18 proc. darbuotojų neatpažino pratybų tikslais sukurtų internetinių sukčių žinučių ir atliko potencialiai žalingus veiksmus aktyvavę el. laiške buvusius prikabintus dokumentus ar atidarę nuorodas. Pavasarį vykusių analogiškų pratybų metu imitacinių sukčių žinučių neatpažino apie 14 proc. darbuotojų.

„Pratybų rezultatai rodo, kad organizacijos turi skirti žymiau daugiau dėmesio savo darbuotojų mokymams ir kibernetinio atsparumo stiprinimui, nes vos vieno darbuotojo neatsakingas elgesys gali sukelti milžinišką žalą visoms organizacijos informacinėms sistemoms“, – sako NKSC direktorius Liudas Ališauskas.

Jo teigimu, socialinės inžinerijos (angl. phishing) žinučių keliama grėsmė šiuo metu tik didėja, nes jos vis dažniau yra išnaudojamos ne tik asmens duomenų vagystėms, bet ir daug sudėtingesnių įsilaužimų į vidinius organizacijos tinklus ir sistemas vykdymui. 2023 metų pirmą pusmetį NKSC fiksavo 265 tokio tipo atvejus ir tai sudarė beveik trečdalį (31 proc.) visų per pirmus šešis metų mėnesius fiksuotų kibernetinių incidentų.

„Siekiame didinti visuomenės atsparumą kibernetinėms grėsmėms. Šios pratybos atskleidžia, kad nemažai mūsų šalies piliečių vis dar yra neatsparūs apgaulingoms fišingo atakoms – tai veda ne tik į pavienių asmenų finansinius nuostolius, bet ir į duomenų saugumo pažeidimus, kurie gali būti itin žalingi organizacijoms bei visos šalies nacionaliniam saugumui. Organizacijos būtinai turi didinti savo darbuotojų švietimą kibernetinio saugumo srityje, investuoti į mokymus ir informuotumo didinimo programas“, – teigia krašto apsaugos viceministrė Greta Monika Tučkutė.

Kibernetinio saugumo pratybų „Kibernetinis skydas PhishEx“ antrojo etapo metu buvo naudojamos keturios skirtingos imitacinės žinutės. Dvi buvo mažiau įtikinamos, jas darbuotojai atpažino lengviau ir todėl žalingus veiksmus atliko vos 2 proc. ir 12 proc. Kitos dvi žinutės buvo sukurtos panaudojant dažniausiai darbuotojų kasdienėje veikloje naudojamus ir el. laiškais siunčiamus priedus, todėl tokių žinučių neatpažinusių ir žalingus veiksmus atlikusių darbuotojų dalis yra gerokai didesnė: siekė 28 proc. ir 20 proc.

Siekiant, kad kuo daugiau organizacijų galėtų patikrinti savo darbuotojų atsparumą socialinės inžinerijos žinutėms, NKSC šiais metais iš viso planuoja organizuoti tris kibernetinio saugumo pratybų „Kibernetinis skydas PhishEx“ etapus. Jau įvykusiuose pirmajame ir antrajame etapuose iš viso dalyvavo 235 įstaigos, kai kurios dalyvavo abiejuose pratybų etapuose. Trečiasis pratybų etapas bus surengtas šių metų pabaigoje.

Visi pranešimai