Stačí jeden neopatrný klik a firmu to může stát miliony. Jak se mění metody sociálního inženýrství, proč útočníci cílí právě na zaměstnance a jak včas předejít kyberútokům? Expertka na kyberbezpečnost Lucie Jahnová radí firmám, jak rozpoznat hrozby a vyhnout se drahým chybám.
1. Jaké jsou nejčastější typy útoků sociálního inženýrství, kterým dnes zaměstnanci čelí?
Nejčastější typy útoků se pořád točí kolem phishingu – to je taková nestárnoucí klasika. Útočníci se stále spoléhají na podvodné e-maily, protože je to nejjednodušší způsob, jak rychle oslovit velké množství lidí a vylákat z nich citlivé údaje.
Postupně se ale začínají objevovat i nové varianty, například vishing (hlasový phishing), kdy útočníci využívají telefonní hovory. Do toho jim už dnes vstupují technologie jako klonování hlasu nebo umělá inteligence, která může ten rozhovor vést a působit ještě důvěryhodněji.
Přesto ale phishing zůstává hlavní hrozbou, protože je snadno škálovatelný. A myslím, že to tak i nějakou dobu zůstane.
2. Máš vlastní zkušenost s útokem sociálního inženýrství?
Jednou mi přišel e-mail, který vypadal, že je od našeho generálního ředitele. Žádal urgentní zpracování a zaplacení faktury. Nic jsem nezaplatila ani nikam neklikla, ale odpověděla jsem – což byla chyba.
Skutečný problém jsem objevila až na poradě, když jsem se ředitele ptala na tu platbu a on nevěděl, o čem mluvím. Šlo o cílený spear-phishingový útok s využitím informací, které si útočník předem zjistil. Je důležité tyto zkušenosti sdílet – ukazuje to, že nikdo není imunní.
Co mě k tomu vedlo? Kombinace několika faktorů. Byla jsem v zahraničí, unavená po dlouhém dni, navíc s časovým posunem. E-mail jsem si zobrazila jen na mobilu – kde se nezobrazují celé adresy, jen jména. A tak jsem mu na chvíli uvěřila.
Je důležité tyto zkušenosti sdílet – ukazuje to, že nikdo není imunní.
Útočníci už nedělají gramatické chyby – jejich zprávy jsou dokonalé
3. Změnilo se sociální inženýrství s přechodem na práci na dálku? Na co by si firmy měly dít pozor?
S nástupem hybridní práce se metody útočníků zdokonalily. Největší boom sociálního inženýrství přinesl covid, kdy se lidé přesunuli na home office. Phishing je dnes chytřejší, mizí gramatické chyby a zprávy působí důvěryhodněji.
Útočníci také stále častěji využívají umělou inteligenci a klonování hlasu – během pár vteřin dokážou napodobit řeč oběti a zmanipulovat ji přes telefon.
Roste i útok přes dodavatelský řetězec – útočníci se dostanou k menší firmě a přes ni k větší společnosti. Automatizace a sběr dat ze sociálních sítí dělají útoky nebezpečnější než kdy dřív.
Na druhou stranu, stejné technologie se dají využít i pozitivně. Například díky klonování hlasu mohla vyjít audiokniha namluvená hlasem Karla Gotta, nebo pomáhá pacientům s onemocněním hlasivek uchovat jejich přirozený hlas. Nakonec záleží jen na tom, kdo je drží v rukou.
4. Co by měl zaměstnavatel udělat pro zvýšení odolnosti zaměstnanců vůči sociálnímu inženýrství?
Nejdůležitější je osvěta, pravidelná školení a především praktické tréninky přizpůsobené reálným hrozbám, se kterými se zaměstnanci v konkrétních oborech setkávají.
Účetní čelí jiným rizikům než vedení firmy, zdravotníci se potýkají s jinými hrozbami než zaměstnanci bank. Každá profese má svá slabá místa – a právě na ně by měla být školení zaměřena.
Důležitá je také realistická simulace útoků, například testovací phishingové kampaně, kdy zaměstnanci dostanou falešný podvodný e-mail. Pokud kliknou, ihned se dozvědí, kde udělali chybu a jak ji příště rozpoznat.
Velkou roli hraje i psychologie – zaměstnanci často chybují pod stresem. Důležité je proto vytvořit prostředí, kde se nebudou bát přiznat chybu. Když se někomu podaří kliknout na podezřelý odkaz, měl by se cítit bezpečně nahlásit problém, místo aby ho skrýval ze strachu z postihu. Včasné upozornění totiž může zabránit větším škodám.
Trestání za chyby vede k tichu. A ticho je v kyberbezpečnosti největší hrozba
5. Jaké jsou nejčastější chyby zaměstnavatelů při školení kybernetické bezpečnosti?
Firmy často sází na nudná a obecná školení, která lidem nic nedají. Zaměstnanci se nejlépe učí praxí – proto je lepší zapojit je do testovacích phishingových kampaní a dát jim okamžitou zpětnou vazbu. Pokud kliknou na falešný e-mail, hned by měli vidět upozornění: "Chycen! Čeho jste si měl/a všimnout?"
Další častou chybou je, že se neučí, co dělat po chybě. Mnoho lidí se bojí přiznat selhání, což může firmu stát čas i peníze. Místo trestání je potřeba zaměstnance vést k tomu, aby včas nahlásili problém – protože právě rychlá reakce může firmě zachránit miliony. Čas je v těchto situacích rozhodující faktor.
6. Jsou profese nebo sektory, které jsou zranitelnější vůči kyberútokům?
Nejčastějším terčem je zdravotnictví, banky a velké instituce s cennými daty. Útočníci se ale čím dál víc zaměřují i na menší firmy – které mohou být snažším cílem, jelikož nemají tak dobré zabezpečení jako korporace nebo velké společnosti.
Z profesí jsou nejvíc ohroženi lidé s rozhodovací pravomocí nebo zaměstnanci, kteří mají vyšší oprávnění než běžní uživatelé.
Pokud musíte rozhodnout teď hned, je to podezřelé
7. Jaké jsou nečastější varovné signály útoků sociálního inženýrství?
Útoky jsou stále sofistikovanější, ale určité varovné signály přetrvávají. Typická je časová tíseň – nabídka, která vyprší za pár hodin, nebo nečekané dědictví po vzdálené tetičce z Egypta.
Pozor na nátlak a požadavky osobních údajů po telefonu. Když vám volá někdo z banky, většinu údajů o vás už má – neměl by chtít číslo karty do telefonu. V nejistotě raději zavěste a kontaktujte instituci přes oficiální kanály.
8. Jak můžou firmy chránit svá data, ale přitom neomezovat zaměstnance v práci?
Firmy musí chránit data, ale zároveň nesmí zaměstnance zbytečně brzdit. Každé bezpečnostní opatření je určitým způsobem omezení, ale když dává smysl a dobře se vysvětlí, lidé ho přijmou stejně přirozeně jako helmu na stavbě.
Nové kroky, jako vícefaktorové ověřování nebo vědomé řízení přístupů, jsou nutné, ale nesmí zablokovat běžné procesy. Klíčem je vlastně najít rovnováhu mezi bezpečností a efektivitou.
Nejlepší prevence nestojí miliony. Stačí změnit přístup.
9. Může být prevence sociálního inženýrství efektivní i s omezeným rozpočtem?
Určitě ano. Peníze samozřejmě usnadňují zavádění bezpečnostních opatření, ale to neznamená, že bez velkého rozpočtu je firma zranitelná. Nejdůležitější je práce se zaměstnanci, protože právě oni bývají nejslabším článkem.
A edukace nemusí stát téměř nic – stačí pravidelně sdílet informace o hrozbách, využívat dostupná e-learningová školení nebo posílat zaměstnancům jednoduché tipy, jak rozpoznat phishing. A také otevřeně mluvit o reálných situacích, se kterými se zaměstnanci setkali, ať už v pracovním, nebo osobním životě.
Důležité je také mít jasná pravidla bezpečného chování, která neznamenají stostránkový dokument, ale srozumitelné zásady, které si zaměstnanci snadno osvojí.
10. Kdy by zaměstnavatel měl zvážit externího odborníka na kybernetickou bezpečnost?
Externí odborník dává smysl hlavně tehdy, když firma nemá vlastní kapacity, ale potřebuje nastavit základní bezpečnostní pravidla nebo splnit regulatorní požadavky. Může například pomoci s počátečním nastavením procesů, které pak interní tým jen udržuje.
Hodí se také na testování bezpečnosti, například při simulovaných útocích, scanech zranitelností nebo penetračních testech. Další situací, kdy externistu oceníte, je řešení kybernetického incidentu – když je firma napadena např. ransomwarem, je lepší mít po ruce někoho, kdo ví, jak postupovat.
Další možností, jak zlepšit vzdělávání v oblasti bezpečnosti, je zapojení externích školitelů. Ti mohou zpestřit běžná školení a zároveň přinést nový pohled – zaměstnanci často vnímají informace jinak, když je slyší od nezávislého odborníka. Někdy stačí i jednorázová konzultace, která firmě pomůže nastavit správný směr a posílit bezpečnostní strategii.
TIP: Seyfor, který se kyberbezpečnosti věnuje už od roku 2003, vám pomůže nastavit bezpečnostní opatření na míru – od prvotní analýzy až po ochranu proti kybernetickým útokům. Jejich odborníci vám poradí, jak zabezpečit data, minimalizovat rizika a zvýšit odolnost vaší firmy.