Ko je uporabnik del varnostnih mehanizmov, so rešitve za zagotavljanje varnosti kritične. Seveda je ne glede na nivo osveščenosti vedno potrebno z različnimi varnostnimi mehanizmi in nastavitvami zmanjšati oz. minimizirati možnost napada (dodatni varnostni sistemi, ki bodo uspešneje zaznali zlonamerne datoteke, mehanizmi za zaznavanje zavajajočih e-mail sporočil ipd.). Vendar s tem zgolj zmanjšamo možnost napada, nikoli pa ga ne izničimo.

V primeru takšnega napada se uspeh vedno prelomi pri uporabniku, ki bo oz ne bo nasedel na prevaro. Zato je pomembno konstantno in učinkovito osveščanje uporabnikov, s čimer močno zmanjšamo možnost, da bodo njihove reakcije v primeru napada napačne.

Dober način učinkovitega osveščanja je z dejanskimi ‘požarnimi vajami’, torej testi v živo. Testi v živo so bistveno uspešnejši, kot pa teoretično izobraževanje. Ko izvedemo vajo/test in uporabnik na lastnem primeru spozna, da je bil pretentan, bo to imelo pozitiven vpliv na dvig ozaveščenosti. V času po testu bo uporabnik tudi bistveno bolj pozoren na morebitne napade.

Podrobno pisno poročilo, sestavljeno iz dveh delov, ki vam ga predstavimo v obliki delavnice:

• Vodstveno poročilo
  Je strnjen pregled za vodstvo z osnovnimi informacijami o stanju kibernetske varnosti.
• Tehnično poročilo
  Namenjeno je skrbniku sistema in vsebuje pomembne tehnične podatke o kontrolnih točkah testa, ki so: št. odprtih e-sporočil, št. klikov na lažno spletno stran, št. dejansko vpisanih podatkov na lažni spletni strani. Vsebuje tudi statistične izračune za celotno skupino uporabnikov, ki so bili zajeti v testiranje.

‘Phishing’ testi se razlikujejo glede na to, v kakšno reakcijo želimo uporabnika pretentati. Na voljo imate štiri vrste ‘phishing’ testov:

1. ‘Phishing’ test z lažnim portalom in namenom zavesti uporabnika k vpisu uporabniškega imena in gesla.

Glavni namen tega testa je uporabnike podučiti, da svoja uporabniška imena in gesla ne smejo vpisovati v neznane portale.

2. ‘Phishing’ test s priponko Word/Excel in namenom zavesti uporabnika k odpiranju priponke in aktiviranju funkcionalnosti Macro.

Glavni namen tega testa je uporabnike podučiti, da ne odpirajo priponk neznanega izvora ter da ne zanemarjajo opozorila programa Word o nevarnosti aktiviranja funkcionalnosti Macro.

3. ‘Phishing’ test s priponko ali brez in namenom zavesti uporabnika k akciji, ki bo neopazno na delovni postaji uporabnika kreirala demo datoteko in/ali iz delovne postaje v naš center neopazno prenesla to demo datoteko.

Glavni namen tega testa je uporabnike podučiti, da ne odpirajo elektronske pošte sumljivega izvora in/ali ne klikajo na neznane internetne povezave oz. ne odpirajo datotek neznanega izvora. S prikazom neopaznega kreiranja demo datoteke na delovni postaji uporabnika, lahko posledično uporabnik ‘v živo’ spozna možne posledice takšnega ravnanja.

4. ‘Phishing’ test s priponko ali brez, kjer dejansko preizkušamo celoten napad, s ciljem pridobiti polno kontrolo nad delovno postajo uporabnika.

Glavni namen tega testa je uporabnike podučiti, da ne odpirajo elektronske pošte sumljivega izvora in/ali ne klikajo na neznane internetne povezave oz. ne odpirajo datotek neznanega izvora. Posledica napada je poskus pridobitve polnega nadzora nad delovno postajo, s čimer do uporabnika simuliramo dejanski napad, posledično pa preizkusimo tudi ustreznost vseh ostalih varnostnih mehanizmov, ki bi lahko tovrsten napad preprečili (protivirusni sistem, sistem ‘intrusion prevention’ ipd.)

Test izvedemo po fazah, in sicer:

• predpriprava,
• testiranje okolja,
• izvedba testa,
• priprava poročila.

V okviru predpriprave se z vami dogovorimo o različici izvedbe ‘phishing’ testa ter skupini uporabnikov vključeni v test (če ni posebnih razlogov, predlagamo, da so v test vključeni vsi zaposleni v podjetju).

Na osnovi tega pripravimo predlog besedila in izgleda elektronske pošte, postavimo lažni prijavni portal, ali pripravimo predlog vsebine priponk. Vsi predlogi so že narejeni na osnovi izkušenj o najboljši primernosti besedil in izgledov in so prilagojeni vaši grafični podobi. Nato se uskladijo še morebitne podrobnosti oz. vaše želje.

V tej fazi je pomembno, da so vsi elementi pripravljeni natančno in skrbno. Hkrati pa vedno puščamo dovolj sledi, ki bi jih pozorni7osveščeni uporabniki morali zaznati in tako ne postati žrtev napada. Če je test izveden preveč natančno oz. uporabnikom ne dopustimo realne možnost, da napad zaznajo, je  je izobraževalni učinek testa manjši. Uporabniki, ki so v testu uspešno zavedeni in so po izvedbi testa spoznajo, da so imeli možnost preprečiti napad, bodo veliko bolj dovzetni za sporočilo testa.

Nato sledi testiranje okolja, ki je namenjeno:

• dejanskemu testiranju robustnosti okolja (dobite informacijo, koliko je okolje dovzetno, da že samo po sebi zazna osnovne ‘phishing’ napade ipd.).
• ugotovitvi potrebnih nastavitev, da bo test uspešen.

Sledi izvedba testa. Test izvajamo od enega dneva do največ tri dni. Izkušnje kažejo, da so meritve najbolj relevantne v tem časovnem obdobju.

Test se zaključi s predstavitvijo podrobnega pisnega poročila.

Izvedba vključuje uporabnike, zato je potrebno veliko pozornost nameniti varovanju osebnih podatkov ter osebne integritete posameznih uporabnikov.

Moramo se zavedati, da cilj testa ne sme in ne more biti iskanje posameznih uporabnikov, ki na določeni kontrolni točki ne ravnajo v skladu z varnostnimi principi. To je pomembno, ker je največja korist testa v pozitivnem osveščanju uporabnikov, ki se pokaže s samo izvedbo testa. Če izvedbi dodamo javno obravnavo posameznih uporabnikov, izniči vse prednosti.

Tehnična izvedba testiranja minimizira zbiranje konkretnih osebnih podatkov. V primeru testa z lažnim portalom ne beležimo podatkov (uporabniška imena in gesla), ampak zgolj aktivnost – ali uporabnik sploh kaj vpiše.

Kot izvajalec zagotavljamo da:

• do podatkov, ki se vseeno nanašajo na konkretne uporabnike, nimajo dostopa nepooblaščene osebe, ampak zgolj direktni izvajalci testa.
• vsi izvajalci na testu delujejo v skladu z varovanjem podatkov in so k temu moralno in pisno zavezani.
• podatki o posameznih uporabnikih se po izvedbi testa trajno pobrišejo, poročila in podobni dokumenti pa se hranijo v ustrezno varovanih okoljih.

Najprimernejši čas za izvedbo je TAKOJ. Dejansko je potreba po varnostnem osveščanju uporabnikov stalna, tako da ni posebnih razlogov, ki bi testiranje omejevali.

Ko razmišljate o (ne)primernosti termina, imejte v mislih:

• V času kolektivnih dopustov oz. v času, ko je večina uporabnikov na dopustu, izvedba testa ni primerna.
• Smiselno je test izvesti v času vpeljave novih pravil in politik.
• Smiselno je test izvesti pred skupinskimi srečanji ali izobraževanji v podjetju, kjer lahko potem še sveže rezultate pokažete uporabnikom in se z njimi o njih tudi pogovorite.

Pomembna pozitivna posledica testa je neposreden dvig osveščenosti uporabnikov. Uporabniki bodo po izvedbi testa bolj pazljivo spremljali dogajanje in pravilneje reagirali na podobne napade oz. teste. V tem pogledu je seveda smiselno teste ponavljati čim pogosteje.

Po drugi strani pa različni zunanji dejavniki (ostali projekti, finančni vložek ipd.) preprečujejo podjetju nenehno izvajanje testov.

Praksa kaže, da je smiselno teste izvajati vsaj na 6 mesecev oz. najmanj na 12 mesecev. Pri ponovitvah je smiselno teste delno prilagoditi. Prvič zato, da uporabniki ne ugotovijo, da so zopet del testiranja, drugič pa zato, da se lahko preverijo različni vidiki osveščenosti.

Pomembna je tudi primerjava med testi. Podjetja po testih izvajajo določene aktivnosti za dvig varnostne osveščenosti (notranja izobraževanja, dodatni varnostni mehanizmi, dodatni pravilniki in varnostna politika ipd.). Periodična primerjava rezultatov testov daje naročniku vpogled v (ne)uspešnost oz. izvedbe vseh dodatnih aktivnosti.