Provedení testu uživatelů zadavatele na „odolnost“ phishingového útoku, jednoho z nejčastějších útoků současnosti. Zadavatel si ověřuje, nakolik představuje tento útok skutečnou hrozbu a nakolik jsou jeho systémy zranitelné.
Profil zákazníka
Nad soutokem hlavních řek Opavska, Opavy a Moravice, se nachází město Opava. Včetně městských částí má cca 58 tisíc obyvatel a jeho katastrální území má rozlohu 9 061 ha. První písemná zmínka o Opavě jako o městě pochází z roku 1224.
Realizace 2015
Jsme si dobře vědomi hrozeb a rizik, která jsou spojena s dnes tak častými phishing útoky. Pouze připravená organizace dokáže odolat dnešním sofistikovaným útokům.
Ing. Zdenka Galgonková
Vedoucí odboru informatiky Magistrátu města Opavy
Výchozí situace a cíle projektu
Bezpečnost je základní premisou pro fungování každého informačního systému. V současné době je možné sledovat nebývalý rozmach útoků na jednotlivé uživatele prostřednictvím sociálních manipulací - phishing. Tento typ útoků je pro potenciální útočníky jednoduchý a nebývale efektivní. Pro oběť má však na druhou stranu katastrofické dopady. Oběť může přijít o svoji identitu a peníze. Organizace pak může být vyřazena z činnosti nebo může být připravena o své know-how, zakázky nebo může dojít i k průniku na její bankovní účty.
Odbor informatiky Magistrátu města Opavy si je velmi dobře vědom těchto hrozeb a rizik a jeho cílem je jim čelit. Jedním ze základních kroků je znát své slabiny, vědět co může útočník zneužít. To je důvod proč se statutární město Opava rozhodlo provést tzv. phishing test (neboli také PST), který ověřuje, nakolik jsou jednotliví uživatelé manipulovatelní prostřednictvím e-mailů a nakolik tedy představují zásadní hrozbu. Cílem bylo ověřit, na jaké typy e-mailů uživatelé reagují a jestli má budování bezpečnostního povědomí odpovídající efekt.
Přínosy
- Jasná představa o tom, jaké mají zaměstnanci bezpečnostní povědomí
- Získání cenných informací o tom, jak budou uživatelé odolní phishingu
- Zjištění, zdali je nutné implementovat další bezpečnostní opatření
- Opakování provedení phishing testu pro ověření efektivity školení uživatelů
Popis řešení
Uživatelé zákazníka jsou testováni na odolnost vůči phishingu (cílenému útoku prostřednictvím e-mailu). Je připraven jeden nebo více e-mailů, které předstírají, že jsou legálními, legitimními e-maily a ty jsou rozeslány na vybrané uživatele zákazníka. E-maily obsahují v těle odkaz (tak, jak je tomu u skutečných phishing e-mailů) a pokud uživatel na odkaz klikne, je zaregistrován pro další vyhodnocení. E-maily, pro hodnověrnost, mohou falšovat libovolného odesílatele včetně vizuálního stylu.
Zákazník získá představu, nakolik jsou jeho uživatelé zranitelní phishing útokem. Na základě testu může zákazník přijmout odpovídající opatření.