A1 ICT Distribucija

IT varnostne rešitve

Test osveščenosti uporabnikov

Test varnostne osveščenosti uporabnikov

Test varnostne osveščenosti uporabnikov se izvaja s tehnikami zavajanja uporabnikov. 

Praviloma se pri tem uporabi elektronska pošta, po dogovoru z naročnikom, pa lahko izvedemo tudi teste z drugačnimi mehanizmi (telefonski klic, fizičen pristop na lokaciji, ipd.).

Names testa je večkratni. Na eni strani s testom dejansko (statistično) izmerimo trenutno stanje osveščenosti uporabnikov. Na drugi strani pa s samim testom v resnici izvedemo kvalitetno in prepričljivo “izobraževanje” uporabnikov.

Kaj test varnostne osveščenosti vsebuje in kako poteka?

  • Kakšen je predlagan način izvedbe testa?

Osnovni način izvedbe je z uporabo elektronske pošte. Ta način izvedbe na eni strani naslavlja najbolj realne grožnje, saj v 99% primerih ta način izberejo tudi napadalci. Hkrati pa je ta način tudi najbolj enostaven in najbolj primeren način za izvedbo testa. Sicer so na voljo tudi drugačni načini (USB ključki, telefonski klici, ipd.). Tovrstni testi se izvajajo po dogovoru in šele po tem, ko testi z elektronsko pošto niso več primerni

  • Kateri uporabniki so vključeni v test?

Priporočeno je, da so v test vključeni vsi uporabniki oz. vsaj velika večina. To je pomembno, ker bodo zgolj uporabniki, ki so neposredno vključeni deležni prave izkušnje, hkrati pa je pomembno da so testi čim bolj anomizirani in čim manj personalizirani.

  • Kdo določi vsebino zlonamernih elektronskih sporočil in kaj vse je pri tem možno določiti?

A1 Slovenija d.d. pri izvajanju testov uporablja lastno programsko opremo, ki je bila razvita ravno za izvedbo tovrstnih testov. To nam daje svobodo, da pri izvajanju testov uporabimo kakršnokoli vsebino in kakršno koli metodologijo.

Glede metodologije oz. tipa zlorabe, ki jo v testu izvajamo tako pride v poštev:

– zavajanje uporabnikov za obisk lažnega portala ter vpisovanje svojih gesel oz. drugih podatkov v portal

– zavajanje uporabnikov z macro datotekami

– zavajanje uporabnikov z različnimi URL povezavami na lažne zlonamerne portale, ki jih ustvarimo

Pri tem se meri (ne nujno vse naenkrat – odvisno od vsebine testa)

– koliko uporabnikov odprte lažno elektronsko pošto

– koliko uporabnikov obišče lažni spletni portal

– koliko uporabnikov v lažni spletni portal vpiše svoje podatke

– koliko uporabnikov uporablja lahko uganljiva gesla

– koliko uporabnikov izvede download zlonamerne datoteke iz URL povezave v elektronski pošti

– koliko uporabnikov odpre/zažene EXE datoteko

– koliko uporabnikov odpre Macro datoteko in v office okolju aktivira Macro funkcijo

-…

Pri določanju vsebine lahko naročnik sodeluje, lahko pa celotno vsebino pripravmo sami

  • Koliko časa traja test?

Ker test vključuje vse (večino) uporabnikov, je “življenjska doba” testa omejena. V relativno kratkem času bodo namreč uporabniki med seboj spoznali, da gre za test in klikanje ter odpiranje elektronskih sporočil se bo končalo. V primeru večjih organizacij ali organizacij, ki imajo uporabnike na večih lokacijah tako lahko test traja do 24 ur, sicer pa test traja en delovni dan oz. 8 ur.

  • Kaj je poleg testa za uporabnike še vključeno?

Kljub temu, da že v osnovi namen testa ni dejanska izvedba vdora, je vseeno koristno, da se test izvede v realnem okolju. Torej brez predhodnih prekonfiguracij sistema za elektronsko pošto ali česa podobnega.

Zato pred izvedbo testa izvedemo tudi test robustnosti sistema za elektronsko pošto. Pripravimo nekaj (med 20 in 30) različnih tipov zlonamernih sporočil in jih testno pošljemo skrbnikom oz. osebam, ki imajo informacijo o prihajajočem testu osveščenosti. Na ta način naročnik spozna katere in kakšna zlonamerna sporočila njihov sistem elektronske pošte prepušča in katere ne.

  • Kako je poskrbljeno za tajnost osebnih podatkov uporabnikov?

Izvedba testa osveščenosti neizbežno vsebuje tudi izziv varovanja osebnih podatkov uporabnikov. Nenapovedana izvedba testa je lahko za uporabnika sporna, če pri tem niso v popolnosti spoštovane “pravice” uporabnikov.

Pri testu zato poskrbimo, da se vpisana gesla in podobni osebni podatki ne beležijo (kljub temu lahko z našo programsko opremo preverjamo ali so vpisana gesla dejansko prava gesla in kakšna je njihova jakost).

Prav tako pri testu poskrbimo, da se akcije posameznih uporabnikov ne izpostavljajo. Naročnik tako v osnovi dobi le statistične podatke o posameznih akcijah in meritvah. Akcije posameznikov pa so naročniku posredovane zgolj s posebnim dogovorom in pod pogojem, da so pri tem osebni podatki (kako se je uporabnik odzval na test štejemo kot “osebni podatek”) strogo varovani

Zakaj so testi varnostne osveščenosti uporabnikov pomembni?

  • Uporabniki so pomemben del varnosti

Uporabniki so vedno željena tarča napadalcev. Uporabniki imajo gesla, uporabniki imajo dostope, uporabniki poznajo informacije in vse to so stvari, ki jih napadalci želijo in potrebujejo. S tehničnimi sredstvi lahko sicer omejimo “ranljivosti” uporabnikov, čisto izničiti pa njihov vpliv na varnost ne moremo. Varnostna osveščenost uporabnikov je tako, kljub vedno bolj naprednim varnostnim sistemom, še vedno zelo pomembna.

  • S testom se izvede pristno in učinkovito "izobraževanje" uporabnikov

Varnostna osveščenost uporabnikov se dviguje z izobraževanjem in informacijami. Seveda so priporočljiva predavanja in podobni načini izobraževanja. Še najbolj učinkovit način izobraževanja pa je test “v živo”. S takšnim testom uporabniki “na lastni” koži občutijo nevarnost zavajanja. Marsikateri uporabnik ne upošteva  nasvetov, saj je pri sebi prepričan, da napadi z zavajanjem pri njemu ne bodo uspešni. Test pokaže, da temu ni tako in uporabniki postanejo za nasvete in izobraževanja bistveno bolj dovzetni

  • Uporabniki se s testom pričnejo zavedati svoij "ranljivosti"

Test osveščenosti pokaže uporabnikom, da so vsi lahko žrtve takšnih napadov. S tem se uporabniki bolj pravilno odzivajo na tovrstne napade, hkrati pa postanejo uporabniki bolj pozorni na varnost tudi na sploh. Torej uporabniki pričnejo bolj razumeti (in tudi upoštevati) pravila IT oddelkov, bolj razumejo nova pravila, bolj razumejo zakaj je potrebno uvesti nova pravila, bolj razumejo zakaj morajo imeti dobra gesla, bolj razumejo zakaj je potrebno na določenem vstopnem oknu uporabljati dvonivojsko avtentikacijo, ipd.

Vsak test je unikatna storitev in ima svoje posebnosti.

Zato za vsako stranko posebej prilagodimo tudi našo ponudbo!
Pokličite 040 440 373 ali oddajte povpraševanje.

POŠLJI POVPRAŠEVANJE

Kaj so rezultati varnostnega pregleda?

Konkreten rezultat varnostnega pregleda je varnostno poročilo. Varnostno poročilo je sicer odvisno od konkretne vsebine varnostnega pregleda in se v tem kontekstu malenkostno razlikuje od pregleda do pregleda. Vedno pa za varnostno poročilo velja:

  • naročniku se preda v elektronski obliki
  • poročilu pripada tudi tehnična delavnica, kjer se podrobnosti poročila podrobneje predstavijo in obrazložijo naročniku
  • po dogovoru z naročnikom se lahko izvede tudi predstavitev poročila pri vodstvu in/ali predstavitev poročila pri uporabnikih

Sicer pa varnostno poročilo vedno vsebuje:

  • vodstveni povzetek
  • opis izvedenega testa
  • statistični pregled uporabniških odzivov na posamezne točke v testu
  • rezultat pregleda robustnosti sistem za varovanje elektronske pošte

Zakaj je A1 Slovenija idealen partner za izvedbo varnostnega pregleda?

  • Izvajalci varnostnih pregledov imajo ustrezen certifikat – CEHv10
  • Izvajalci varnostnih pregledov so zelo izkušeni. Izvedli so že več kot 50 različnih varnostnih pregledov
  • Izvajalci varnostnih pregledov so neodvisni
Pomakni se na vrh