Praktyczny Trening Antyphishingowy

Symulacja ataków phishingowych

Jak powszechnie wiadomo ponad 90% ataków hakerskich zaczyna się od phishingu.

Bardziej niż kiedykolwiek kluczowe jest położenie nacisku na szkolenie pracowników w zakresie rozpoznawania fałszywych wiadomości. Tylko świadomość bezpieczeństwa wśród wszystkich zatrudnionych osób może zmniejszyć prawdopodobieństwo cyberataku w Twojej organizacji.

Jeśli chcesz, żeby Twoi pracownicy uczyli się w praktyce jak rozpoznawać phishing, poznawali jego mechanizmy, kształtowali w sobie świadomość, że atak może nastąpić w najmniej oczekiwanym momencie i potrafili zastosować tę wiedzę w swojej codziennej pracy ‒ rozpocznij Praktyczny Trening Antyphishingowy w organizacji.

Na czym polega trening?

Praktyczny Trening Antyphishingowy polega na przesyłaniu pracownikom symulacji phishingowych wiadomości e-mail zgodnych z określonymi przez nas podatnościami w organizacji.

Atak (oczywiście bezpieczny) następuje kiedy pracownik jest najmniej czujny, pochłonięty codziennymi, firmowymi obowiązkami. Fałszywy e-mail zachęca do kliknięcia w link, przekazania danych lub na przykład pobrania pliku. Zadaniem kursanta jest wykazanie się czujnością i rozpoznanie próby phishingu.

Jeśli pracownik nabierze się na symulowaną wiadomość phishingową, to natychmiast otrzyma informację zwrotną ‒ NANOSZKOLENIE. Jest to niewielka porcja wiedzy (w formie krótkiego tekstu) adekwatna do sytuacji. Pracownik dowiaduje się jaki błąd popełnił i jak może go uniknąć w przyszłości, po czym od razu może wracać do swoich obowiązków.

Platforma treningowa

Praktyczny Trening Antyphishingowy jest realizowany z wykorzystaniem zaawansowanego oprogramowania. Odbywa się na platformie treningowej dostępnej w modelu SaaS, z której wysyłane są symulacje wiadomości phishingowych. W zależności od potrzeb Twojej organizacji ‒ można wyznaczyć spośród pracowników administratora odpowiedzialnego za jej obsługę, bądź przekazać to całkowicie nam.

Platforma treningowa posiada wiele szablonów wiadomości phishingowych ‒ można wybrać takie, które dokładnie odwzorowują programy, systemy i strony, z których korzystają pracownicy Twojej organizacji. Dzięki temu, symulowane wiadomości phishingowe będą trudniejsze do rozpoznania, a nauka bardziej efektywna.

Efekty treningu

Statystyki treningu są na bieżąco zapisywane na platformie oraz w bazie danych systemu. Dzięki temu, można mieć pełną kontrolę nad wynikami Treningu Antyphishingowego ‒ mierzyć liczbę wysłanych symulacji i osób, które odparły atak, albo dały się złapać. Przykładowy wykres:

W przypadku, kiedy platformę obsługuje administrator, może on w każdym momencie zalogować się do Praktycznego Treningu Antyphishingowego i na bieżąco mieć wgląd we wszystkie statystyki dotyczące przebiegu szkolenia.

Etapy treningu

Teoria połączona z praktyką – oto przepis na doskonały, niezwykle wydajny i skuteczny proces dydaktyczny. Najwyższą skuteczność mają treningi prowadzone wg poniższego schematu.

PLANowanie poprzedza wszelkie działania. Dobrze zaplanowany trening spełnia oczekiwania organizacji oraz realizuje jej cele w zakresie bezpieczeństwa cybernetycznego.

Kolejny etap to dodanie kursantów, ataki PHISHINGowe oraz nanoszkolenia – pigułki wiedzy trafiające do kursantów; o sztuczkach hakerów oraz technikach obrony przed nimi.

RAPORTowanie to ocena postępów kursantów oraz poziomu realizacji założeń, rekomendacje do innych działań oraz kolejnych treningów.

Praktyczny Trening Antyphishingowy, planowanie i przebieg

Cele treningu

Świadomość bezpieczeństwa

Chcąc poprawić poziom bezpieczeństwa należy mieć świadomość zagrożeń. Każdy pracownik, który ma stanowić w organizacji czynny element systemu bezpieczeństwa powinien wiedzieć jakie zagrożenia ze strony cyberprzestępców mogą go spotkać i jak powinien się przed nimi bronić.

Kultura bezpieczeństwa

Kultura jest cechą społeczności i każdy członek danej społeczności musi żyć w zgodzie z nią. Każda organizacja, która chce zwiększyć odporność na ataki cybernetyczne powinna wykształcić kulturę bezpieczeństwa oraz doprowadzić do zmiany postawy pracowników w tej kwestii.

Bezpieczne zachowania

Najskuteczniejszym sposobem zmiany zachowań na bezpieczne oraz zbudowania świadomości jest ciągłe przypominanie i trenowanie. Bardzo ważne jest zapoznanie pracowników z aktualnymi atakami hakerów oraz zmiana zachowań pracowników na bezpieczniejsze.

Testy odporności na phishing

Testy dostarczą Twojej organizacji bieżących informacji o poziomie wiedzy i kompetencji pracowników w zakresie radzenia sobie z atakami cybernetycznymi. Mogą być też potwierdzeniem podejmowanych działań w zakresie przeciwdziałania incydentom.

Atuty treningu antyphishingowego

Trening On-The-Job

Treningi i krótkie szkolenia są wplecione w codzienny rytm i środowisko pracy, odbywają się w służbowej poczcie e-mail pracownika. Dzięki temu, na czas nauki nie trzeba odrywać się od obowiązków na dłużej niż kilkadziesiąt sekund.

Realne ataki

Fałszywe wiadomości, które otrzymują pracownicy są bardzo podobne do tych, które pracownicy znają z życia, np. wiadomość z LinkedIn. Są też zgodne z kontekstem, w którym znajduje się pracownik.

Dynamiczny przebieg

Trening zaczyna się nagle ‒ pracownik się go nie spodziewa i trwa tyle, co otwarcie maila, czyli ok. kilkudziesięciu sekund. To Ty decydujesz, jak intensywnie Twoi pracownicy będą ćwiczyć.

Efektywność nauki

Edukacja w formie NANOSZKOLEŃ dociera do kursantów tuż po tym, jak popełnią błąd. Emocje i bliskość zdarzenia gwarantują zwiększenie efektywności nauki.

Inteligentne algorytmy

O intensywności oraz przebiegu treningu możesz decydować osobiście, ale mogą to też robić za Ciebie algorytmy platformy, które elastycznie dostosują prowadzone działania do potrzeb Twojej organizacji.

Liczne scenariusze

Nieustannie rozbudowujemy i aktualizujemy biblioteki ataków na platformie treningowej. Odwzorowujemy najnowsze działania hakerów i prezentujemy całe spektrum socjotechnik.

Bezobsługowe szkolenie

Obsługę treningu antyphishingowego możesz pozostawić zespołowi SECAWA. Dzięki temu nikt z Twojej organizacji nie będzie musiał angażować się w prowadzenie szkoleń antyphishingowych.

Intuicyjny interfejs

Platforma treningowa integruje wszystkie funkcje w jednym, łatwym w użyciu interfejsie. Gdy będzie obsługiwał ją administrator z Twojej organizacji, nie będzie mu sprawiać to problemu.

Więcej atutów

Raporty i rozbudowane statystyki, certyfikaty dla organizacji i pracowników po przebytych treningach, pełne wsparcie polskojęzycznego zespołu, dostęp do zespołu ekspertów i inne.

Testy na platformie

Jeśli zależy Ci na ocenie poziomu świadomości bezpieczeństwa pracowników w Twojej organizacji możesz zdecydować się na Testy. Tak samo, jak w przypadku Praktycznego Treningu Antyphishingowego, kursanci będą otrzymywać e-maile phishingowe wysłane za pomocą platformy treningowej, ale w przypadku popełnienia błędu, nie otrzymają nanoszkoleń. Dzięki testom dowiesz się ilu pracowników jest odpornych na phishing. Będziesz mógł również określić, które działy bądź pracownicy są najbardziej podatni.

Tym samym, zmierzysz i przeanalizujesz poziom kultury bezpieczeństwa w Twojej organizacji oraz poznasz najsłabsze ogniwa. Dowiesz się także czy potrzebne jest ulepszenie lub podjęcie działań mających na celu jej poprawę.

Dla kogo jest trening?

W symulacji ataku phishingowego regularnie powinien brać udział każdy zatrudniony, który posiadaj dostęp do Internetu w organizacji (bez względu na rodzaj wykonywanej pracy i stanowisko). Hakerowi, do popełnienia przestępstwa może wystarczyć zmanipulowanie zaledwie jednej osoby. Dlatego ważne jest, żeby wszyscy pracownicy rozwijali swoją świadomość bezpieczeństwa.

Dbamy o to, żeby symulacje wysyłane w Praktycznym Treningu Antyphishingowym były jak najbardziej prawdopodobne, dlatego można dostosować je tematycznie pod kątem specyfikacji programów albo systemów, z których korzysta dany dział organizacji ‒ na przykład Dział Finansów, HR, IT bądź Magazyn.

Ile trwa trening?

Intensywność i częstotliwość symulacji ataków jest elastycznie dostosowana do Twoich potrzeb, na które jesteśmy nieustannie otwarci. Przed wdrożeniem platformy treningowej w organizacji, możliwy jest miesięczny pilotaż, a potem umowa na dowolny czas. Wszystko zależy od Ciebie.