Baza wiedzy

W cyberprzestrzeni to czynnik ludzki jest najczęściej wykorzystywaną luką bezpieczeństwa. Pracownicy jednostek samorządu terytorialnego (JST) codziennie operują wrażliwymi danymi, stając się celem wyrafinowanych ataków socjotechnicznych, przede wszystkim phishingu (email phishing).

Ryzyko jest wysokie: udany atak phishingowy oznacza nie tylko potencjalny wyciek danych (naruszenie RODO), ale i możliwość instalacji złośliwego oprogramowania na komputerach urzędu, prowadząc do paraliżu cyfrowego, co zagraża ciągłości działania i zaufaniu publicznemu.

„Najczęściej występującą kategorią incydentów zarejestrowanych w 2024 roku były oszustwa komputerowe. Zarejestrowano 97 995 tego typu incydentów, co stanowi 95% wszystkich obsłużonych incydentów.”

Źródło: Raport Roczny CERT Polska 2024

Testy penetrujące – kontrola odporności na spear phishingu

Najskuteczniejszą metodą na zwiększenie świadomości i odporności jest kontrolowane testowanie personelu w ramach audytu bezpieczeństwa, co stanowi kluczowy element testów penetracyjnych (Penetration Testing).

Co to jest phishing i spear phishing?

Phishing to forma oszustwa polegająca na podszywaniu się pod zaufaną instytucję (np. bank, operatora usług, a w przypadku JST: ZUS, KPRM lub nawet dyrektora wydziału) w celu wyłudzenia poufnych informacji lub zainfekowania systemu.

Spear phishing jest jego bardziej ukierunkowaną i groźną odmianą. W tym przypadku wiadomość jest precyzyjnie personalizowana pod kątem konkretnej osoby lub stanowiska, wykorzystując informacje publicznie dostępne lub skradzione, co drastycznie zwiększa jej wiarygodność i skuteczność. W 2024 roku zaobserwowano dynamiczny wzrost zaawansowania ataków typu spear phishing, szczególnie ukierunkowanych na kluczowe jednostki sektora publicznego (JST).

Etapy kontrolowanej kampanii phishingowej:

Kampanie phishingowe przeprowadzane w ramach audytu bezpieczeństwa służą identyfikacji najbardziej wrażliwych obszarów w Urzędzie. Nasze działania mają charakter proaktywny i obejmują:

• Personalizowane kampanie: wysyłanie wiadomości imitujących realne maile (np. dotyczące VPN, nowych procedur RODO, czy pilnych zmian kadrowych).
• Fałszywe strony docelowe (landing pages): umożliwienie pracownikom bezpiecznej interakcji (np. próba podania fałszywych danych logowania).
• Monitorowanie reakcji: śledzenie wskaźników interakcji, takich jak otwarcie wiadomości, kliknięcie w linki.
• Raportowanie wyników: dostarczenie szczegółowych statystyk oraz merytorycznych rekomendacji szkoleń.

Jak rozpoznać phishing – kluczowe wskazówki i phishing przykłady:

Przeszkolony pracownik jest pierwszą linią obrony. Jak rozpoznać phishing w codziennej pracy?

• Adres nadawcy: sprawdź dokładny adres e-mail (tzw. typosquatting).
• Poczucie pilności: wiadomości phishingowe często wywierają presję czasu.
• Błędy językowe: zła gramatyka, dziwne formatowanie lub nienaturalny język w oficjalnym komunikacie.
• Nieoczekiwany załącznik/link: podejrzany załącznik lub link prowadzący do nieznanej domeny.

Spokój prawny dzięki zgodności z RODO i ISO 27001

Inwestycja w regularne testy penetracyjne i kampanie phishingowe to minimalizacja ryzyka wycieku danych poprzez błąd ludzki i wykazanie należytej staranności.

• Zwiększona odporność personelu: personel urzędu zyskuje praktyczną wiedzę na temat tego, co to jest phishing i staje się pierwszą, proaktywną linią obrony przed atakami socjotechnicznymi.
• Spokój prawny (RODO): wykazanie należytej staranności w zakresie szkoleń personelu.

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; (Ten fragment jest w Twoim artykule) c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Źródło: RODO (Art. 32 ust. 1)/ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)./

W uproszczeniu oznacza to, że administrator wdraża środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Między innymi zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

Regularne testy pracowników są realizacją tej zasady.

Oszczędność czasu i środków: identyfikacja obszarów wymagających dodatkowych szkoleń jest szybsza i tańsza niż zarządzanie kryzysem po ataku.

„Wiedza w obszarze cyberbezpieczeństwa, świadomość zagrożeń i znajomość metod, jak z nimi walczyć, to najskuteczniejsza broń w walce z cyberoszustami.”

Źródło: Raport Roczny CERT Polska 2024

Zabezpiecz urząd przed atakami socjotechnicznymi

Brak świadomości na temat zagrożeń, takich jak phishing, nie jest usprawiedliwieniem dla incydentu.

Zabezpiecz Urząd przed atakiem socjotechnicznym.

Skontaktuj się z nami, aby omówić projekt spersonalizowanych kampanii phishingowych i kompleksowego audytu bezpieczeństwa dla Twojej JST.