Test osveščenosti uporabnikov

Test varnostne osveščenosti uporabnikov

Test varnostne osveščenosti uporabnikov se izvaja s tehnikami zavajanja uporabnikov. 

Praviloma se pri tem uporabi elektronska pošta, po dogovoru z naročnikom, pa lahko izvedemo tudi teste z drugačnimi mehanizmi (telefonski klic, fizičen pristop na lokaciji, ipd.).

Names testa je večkratni. Na eni strani s testom dejansko (statistično) izmerimo trenutno stanje osveščenosti uporabnikov. Na drugi strani pa s samim testom v resnici izvedemo kvalitetno in prepričljivo “izobraževanje” uporabnikov.

Kaj test varnostne osveščenosti vsebuje in kako poteka?

Osnovni način izvedbe je z uporabo elektronske pošte. Ta način izvedbe na eni strani naslavlja najbolj realne grožnje, saj v 99% primerih ta način izberejo tudi napadalci. Hkrati pa je ta način tudi najbolj enostaven in najbolj primeren način za izvedbo testa. Sicer so na voljo tudi drugačni načini (USB ključki, telefonski klici, ipd.). Tovrstni testi se izvajajo po dogovoru in šele po tem, ko testi z elektronsko pošto niso več primerni

Priporočeno je, da so v test vključeni vsi uporabniki oz. vsaj velika večina. To je pomembno, ker bodo zgolj uporabniki, ki so neposredno vključeni deležni prave izkušnje, hkrati pa je pomembno da so testi čim bolj anomizirani in čim manj personalizirani.

A1 Slovenija d.d. pri izvajanju testov uporablja lastno programsko opremo, ki je bila razvita ravno za izvedbo tovrstnih testov. To nam daje svobodo, da pri izvajanju testov uporabimo kakršnokoli vsebino in kakršno koli metodologijo.

Glede metodologije oz. tipa zlorabe, ki jo v testu izvajamo tako pride v poštev:

– zavajanje uporabnikov za obisk lažnega portala ter vpisovanje svojih gesel oz. drugih podatkov v portal

– zavajanje uporabnikov z macro datotekami

– zavajanje uporabnikov z različnimi URL povezavami na lažne zlonamerne portale, ki jih ustvarimo

Pri tem se meri (ne nujno vse naenkrat – odvisno od vsebine testa)

– koliko uporabnikov odprte lažno elektronsko pošto

– koliko uporabnikov obišče lažni spletni portal

– koliko uporabnikov v lažni spletni portal vpiše svoje podatke

– koliko uporabnikov uporablja lahko uganljiva gesla

– koliko uporabnikov izvede download zlonamerne datoteke iz URL povezave v elektronski pošti

– koliko uporabnikov odpre/zažene EXE datoteko

– koliko uporabnikov odpre Macro datoteko in v office okolju aktivira Macro funkcijo

-…

Pri določanju vsebine lahko naročnik sodeluje, lahko pa celotno vsebino pripravmo sami

Ker test vključuje vse (večino) uporabnikov, je “življenjska doba” testa omejena. V relativno kratkem času bodo namreč uporabniki med seboj spoznali, da gre za test in klikanje ter odpiranje elektronskih sporočil se bo končalo. V primeru večjih organizacij ali organizacij, ki imajo uporabnike na večih lokacijah tako lahko test traja do 24 ur, sicer pa test traja en delovni dan oz. 8 ur.

Kljub temu, da že v osnovi namen testa ni dejanska izvedba vdora, je vseeno koristno, da se test izvede v realnem okolju. Torej brez predhodnih prekonfiguracij sistema za elektronsko pošto ali česa podobnega.

Zato pred izvedbo testa izvedemo tudi test robustnosti sistema za elektronsko pošto. Pripravimo nekaj (med 20 in 30) različnih tipov zlonamernih sporočil in jih testno pošljemo skrbnikom oz. osebam, ki imajo informacijo o prihajajočem testu osveščenosti. Na ta način naročnik spozna katere in kakšna zlonamerna sporočila njihov sistem elektronske pošte prepušča in katere ne.

Izvedba testa osveščenosti neizbežno vsebuje tudi izziv varovanja osebnih podatkov uporabnikov. Nenapovedana izvedba testa je lahko za uporabnika sporna, če pri tem niso v popolnosti spoštovane “pravice” uporabnikov.

Pri testu zato poskrbimo, da se vpisana gesla in podobni osebni podatki ne beležijo (kljub temu lahko z našo programsko opremo preverjamo ali so vpisana gesla dejansko prava gesla in kakšna je njihova jakost).

Prav tako pri testu poskrbimo, da se akcije posameznih uporabnikov ne izpostavljajo. Naročnik tako v osnovi dobi le statistične podatke o posameznih akcijah in meritvah. Akcije posameznikov pa so naročniku posredovane zgolj s posebnim dogovorom in pod pogojem, da so pri tem osebni podatki (kako se je uporabnik odzval na test štejemo kot “osebni podatek”) strogo varovani

Zakaj so testi varnostne osveščenosti uporabnikov pomembni?

Uporabniki so vedno željena tarča napadalcev. Uporabniki imajo gesla, uporabniki imajo dostope, uporabniki poznajo informacije in vse to so stvari, ki jih napadalci želijo in potrebujejo. S tehničnimi sredstvi lahko sicer omejimo “ranljivosti” uporabnikov, čisto izničiti pa njihov vpliv na varnost ne moremo. Varnostna osveščenost uporabnikov je tako, kljub vedno bolj naprednim varnostnim sistemom, še vedno zelo pomembna.

Varnostna osveščenost uporabnikov se dviguje z izobraževanjem in informacijami. Seveda so priporočljiva predavanja in podobni načini izobraževanja. Še najbolj učinkovit način izobraževanja pa je test “v živo”. S takšnim testom uporabniki “na lastni” koži občutijo nevarnost zavajanja. Marsikateri uporabnik ne upošteva  nasvetov, saj je pri sebi prepričan, da napadi z zavajanjem pri njemu ne bodo uspešni. Test pokaže, da temu ni tako in uporabniki postanejo za nasvete in izobraževanja bistveno bolj dovzetni

Test osveščenosti pokaže uporabnikom, da so vsi lahko žrtve takšnih napadov. S tem se uporabniki bolj pravilno odzivajo na tovrstne napade, hkrati pa postanejo uporabniki bolj pozorni na varnost tudi na sploh. Torej uporabniki pričnejo bolj razumeti (in tudi upoštevati) pravila IT oddelkov, bolj razumejo nova pravila, bolj razumejo zakaj je potrebno uvesti nova pravila, bolj razumejo zakaj morajo imeti dobra gesla, bolj razumejo zakaj je potrebno na določenem vstopnem oknu uporabljati dvonivojsko avtentikacijo, ipd.

Vsak test je unikatna storitev in ima svoje posebnosti.

Zato za vsako stranko posebej prilagodimo tudi našo ponudbo!
Pokličite 040 440 373 ali oddajte povpraševanje.

POŠLJI POVPRAŠEVANJE

Kaj so rezultati varnostnega pregleda?

Konkreten rezultat varnostnega pregleda je varnostno poročilo. Varnostno poročilo je sicer odvisno od konkretne vsebine varnostnega pregleda in se v tem kontekstu malenkostno razlikuje od pregleda do pregleda. Vedno pa za varnostno poročilo velja:

Sicer pa varnostno poročilo vedno vsebuje:

Zakaj je A1 Slovenija idealen partner za izvedbo varnostnega pregleda?

Pomakni se na vrh