NKSC: kibernetinių sukčių žinučių pratybų metu neatpažino beveik kas penktas darbuotojas

Šis centras spalio pradžioje organizavo antrąjį kibernetinio saugumo pratybų „Kibernetinis skydas PhishEx“ etapą, kurio metu buvo išsiųsta daugiau kaip 77 tūkstančių el. laiškų, imituojančių internetinių sukčių veiklą.

Šiuos el. laiškus gavo darbuotojai iš 121 įstaigos, kurių dauguma yra Lietuvos ypatingos svarbos informacinės infrastruktūros ir valstybės informacinių išteklių valdytojai bei tvarkytojai.

Pratybų metu apie 18 proc. darbuotojų neatpažino pratybų tikslais sukurtų internetinių sukčių žinučių ir atliko potencialiai žalingus veiksmus aktyvavę el. laiške buvusius prikabintus dokumentus ar atidarę nuorodas. Pavasarį vykusių analogiškų pratybų metu imitacinių sukčių žinučių neatpažino apie 14 proc. darbuotojų.

„Pratybų rezultatai rodo, kad organizacijos turi skirti žymiau daugiau dėmesio savo darbuotojų mokymams ir kibernetinio atsparumo stiprinimui, nes vos vieno darbuotojo neatsakingas elgesys gali sukelti milžinišką žalą visoms organizacijos informacinėms sistemoms“, – sako NKSC direktorius Liudas Ališauskas.

Jo teigimu, socialinės inžinerijos (angl. phishing) žinučių keliama grėsmė šiuo metu tik didėja, nes jos vis dažniau yra išnaudojamos ne tik asmens duomenų vagystėms, bet ir daug sudėtingesnių įsilaužimų į vidinius organizacijos tinklus ir sistemas vykdymui.

2023 metų pirmą pusmetį NKSC fiksavo 265 tokio tipo atvejus ir tai sudarė beveik trečdalį (31 proc.) visų per pirmus šešis metų mėnesius fiksuotų kibernetinių incidentų.

„Šios pratybos atskleidžia, kad nemažai mūsų šalies piliečių vis dar yra neatsparūs apgaulingoms fišingo atakoms – tai veda ne tik į pavienių asmenų finansinius nuostolius, bet ir į duomenų saugumo pažeidimus, kurie gali būti itin žalingi organizacijoms bei visos šalies nacionaliniam saugumui“, – pranešime teigė krašto apsaugos viceministrė Greta Monika Tučkutė.

Kibernetinio saugumo pratybų „Kibernetinis skydas PhishEx“ antrojo etapo metu buvo naudojamos keturios skirtingos imitacinės žinutės. Dvi buvo mažiau įtikinamos, jas darbuotojai atpažino lengviau ir todėl žalingus veiksmus atliko vos 2 proc. ir 12 procento.

Kitos dvi žinutės buvo sukurtos panaudojant dažniausiai darbuotojų kasdienėje veikloje naudojamus ir el. laiškais siunčiamus priedus, todėl tokių žinučių neatpažinusių ir žalingus veiksmus atlikusių darbuotojų dalis yra gerokai didesnė: siekė 28 proc. ir 20 procentų.

Siekiant, kad kuo daugiau organizacijų galėtų patikrinti savo darbuotojų atsparumą socialinės inžinerijos žinutėms, NKSC šiais metais iš viso planuoja organizuoti tris kibernetinio saugumo pratybų „Kibernetinis skydas PhishEx“ etapus. Jau įvykusiuose pirmajame ir antrajame etapuose iš viso dalyvavo 235 įstaigos, kai kurios dalyvavo abiejuose pratybų etapuose. Trečiasis pratybų etapas bus surengtas šių metų pabaigoje.