Po raz pierwszy od rozpoczęcia inicjatywy odnotowano znaczący wzrost świadomości pracowników – zgłoszono aż 5500 podejrzanych wiadomości e-mail, co przekroczyło liczbę osób, które nie rozpoznały symulowanej wiadomości i przekazały dane wrażliwe (4900 przypadków).
„Cyberbezpieczeństwo organizacji zaczyna się od pracownika – w tym roku wyraźnie widzimy, że coraz więcej osób potrafi nie tylko rozpoznać zagrożenia, ale również odpowiedzialnie na nie reagować. To pokazuje rosnącą odporność, wzmacnianą dzięki systematycznej edukacji, ćwiczeniom i współpracy z NKSC. Te ćwiczenia to nie teoria, lecz praktyczny sposób oceny zespołu w kontekście realnych zagrożeń. Tylko poprzez konsekwentne rozwijanie kompetencji cybernetycznych pracowników możemy zapewnić skuteczną obronę w przestrzeni cyfrowej” – powiedział p. o. dyrektora NKSC, Antanas Aleknavičius.
W ramach tej kampanii do pracowników wysłano rekordową liczbę niemal 120 tysięcy e-maili symulujących ataki phishingowe. W ćwiczeniach wzięło udział ponad 100 organizacji, a średnia liczba pracowników była wyższa niż w poprzednich edycjach, co pozwoliło osiągnąć rekordową liczbę wysłanych wiadomości.
Organizacje uczestniczące w ćwiczeniach mogły wybrać jeden z dwóch scenariuszy, opartych na najnowszych, rzeczywistych przypadkach zagrożeń. W pierwszym scenariuszu, podszywając się pod Państwową Inspekcję Podatkową, e-mail zachęcał do pilnego otwarcia rzekomej informacji podatkowej, zawierającej fałszywe okno logowania. W drugim scenariuszu, w imieniu nieistniejącej firmy świadczącej usługi zdrowotne „iMedic”, proszono o zaktualizowanie danych kontaktowych.
Wyniki ćwiczeń pokazują, że choć odporność pracowników się poprawia, 5% odbiorców wiadomości nadal przekazuje dane wrażliwe. W niektórych przypadkach spanikowani pracownicy podejmowali gwałtowne działania – blokowali konta bankowe, a sytuacja trafiła do mediów.
NKSC przypomina, że ciągła edukacja pracowników i rozwijanie ich czujności to kluczowe elementy zapewniające cyberbezpieczeństwo organizacji. Do końca roku planowane są co najmniej jeszcze dwie kampanie ćwiczeń „Cybernetyczna Tarcza PhishEx”.
W ćwiczeniach mogą brać udział wszystkie organizacje wpisane do Rejestru Bezpieczeństwa Cybernetycznego i podłączone do Systemu Informacyjnego Bezpieczeństwa Cybernetycznego.
Więcej informacji o ćwiczeniach NKSC: https://www.nksc.lt/phishex/
