Testovanie phishing/sociálne inžinierstvo vo firemnom prostredí

[wingo]

Robím si prieskum pre testovanie povedomia zamestnancov ohľadom phishingu a sociálneho inžinierstva (myslím náhodné simulované za prevádzky, nie na školení), zaujíma ma nielen samotný priebeh ale aj zákonné požiadavky ktoré treba plniť na Slovensku, a tiež aké sú rozdiely keď sa to robí interne a keď pre externú firmu. AI dalo nejaké pekné zhrnutie, ale AI verím len potiaľ pokiaľ si to viem nezávisle overiť a linky na ktoré AI odkazuje súvisia len veľmi nepriamo a vyhľadávač mi nevracia nič užitočné. A celé zákony sa mi moc čítať nechce, aj keď budem nútený minimálne hľadať v ochrane osobných údajov, zákonníku práce a kybernetickej bezpečnosti či tam nenájdem niečo čo súvisí.

Máte dakto reálne skúsenosti a ste ochotní poradiť? Hlavne teda tie zákonné požiadavky, ale potešia aj praktické rady

[molnart]

nestudoval som to, ale preco by to malo byt nejako regulovane zakonom? posles zamestnancovi simulaciu a cakas ci sa nachyta alebo to nahlasi. v obidvoch pripadoch mu posles email kde mu bud pogratulujes alebo ho upozornis a posles mu link na skolenie.

[shiro]

Nam raz takto zo srandy takyto fake mail poslali a cakali kto klikne na odkaz v nom. Akoze prisiel od cloveka co sa nam stara o firemne konta a treba ich update

[wingo]

Nemusí to byť nutne priamo ohľadom toho, ale pokiaľ viem minimálne napr. monitorovanie mailov musíš mať právne ošetrené v súlade s GDRP/ochrane osobných údajov, a snažím sa zistiť čo všetko ešte.

Toto mi vypľulo AI:

1. Právne a legislatívne aspekty (GDPR a Zákonník práce)
Právny základ: Zamestnávateľ musí mať jasný právny základ na spracúvanie osobných údajov (e-mailová adresa, čas kliknutia, IP adresa) počas testu. Najčastejšie ide o "oprávnený záujem" (čl. 6 ods. 1 písm. f GDPR) na zaistenie bezpečnosti informačných systémov.
Transparentnosť (Informačná povinnosť): Zamestnanci musia byť vopred oboznámení s tým, že sa v spoločnosti môžu vykonávať bezpečnostné testy vrátane simulovaného phishingu.
Zákaz zneužitia údajov: Výsledky testu nesmú byť použité na šikanu alebo okamžité skončenie pracovného pomeru. Cieľom je vzdelávanie, nie trestanie.
Súhlas zamestnancov: Hoci sa phishing často robí bez vedomia o presnom čase, generálny súhlas s bezpečnostnými politikami (ktoré phishing zahŕňajú) je nutný. Zber citlivých údajov (napr. heslá) počas testu je zakázaný.

[molnart]

podla mna AI dost keca. pocas simulacie nemonitorujes email. kliknutie, IP adresu apod. monitoruje ta stranka simulacie - teda link. podla toho by si nemohol ani zamestnancom posielat ziadne emaily ani notifikacie kde sa nachadza nejaky link, lebo nejaky system zaznamena ze na to klikli, duh