Testovanie phishing/sociálne inžinierstvo vo firemnom prostredí

[wingo]

Robím si prieskum pre testovanie povedomia zamestnancov ohľadom phishingu a sociálneho inžinierstva (myslím náhodné simulované za prevádzky, nie na školení), zaujíma ma nielen samotný priebeh ale aj zákonné požiadavky ktoré treba plniť na Slovensku, a tiež aké sú rozdiely keď sa to robí interne a keď pre externú firmu. AI dalo nejaké pekné zhrnutie, ale AI verím len potiaľ pokiaľ si to viem nezávisle overiť a linky na ktoré AI odkazuje súvisia len veľmi nepriamo a vyhľadávač mi nevracia nič užitočné. A celé zákony sa mi moc čítať nechce, aj keď budem nútený minimálne hľadať v ochrane osobných údajov, zákonníku práce a kybernetickej bezpečnosti či tam nenájdem niečo čo súvisí.

Máte dakto reálne skúsenosti a ste ochotní poradiť? Hlavne teda tie zákonné požiadavky, ale potešia aj praktické rady

[molnart]

nestudoval som to, ale preco by to malo byt nejako regulovane zakonom? posles zamestnancovi simulaciu a cakas ci sa nachyta alebo to nahlasi. v obidvoch pripadoch mu posles email kde mu bud pogratulujes alebo ho upozornis a posles mu link na skolenie.

[shiro]

Nam raz takto zo srandy takyto fake mail poslali a cakali kto klikne na odkaz v nom. Akoze prisiel od cloveka co sa nam stara o firemne konta a treba ich update

[wingo]

Nemusí to byť nutne priamo ohľadom toho, ale pokiaľ viem minimálne napr. monitorovanie mailov musíš mať právne ošetrené v súlade s GDRP/ochrane osobných údajov, a snažím sa zistiť čo všetko ešte.

Toto mi vypľulo AI:

1. Právne a legislatívne aspekty (GDPR a Zákonník práce)
Právny základ: Zamestnávateľ musí mať jasný právny základ na spracúvanie osobných údajov (e-mailová adresa, čas kliknutia, IP adresa) počas testu. Najčastejšie ide o "oprávnený záujem" (čl. 6 ods. 1 písm. f GDPR) na zaistenie bezpečnosti informačných systémov.
Transparentnosť (Informačná povinnosť): Zamestnanci musia byť vopred oboznámení s tým, že sa v spoločnosti môžu vykonávať bezpečnostné testy vrátane simulovaného phishingu.
Zákaz zneužitia údajov: Výsledky testu nesmú byť použité na šikanu alebo okamžité skončenie pracovného pomeru. Cieľom je vzdelávanie, nie trestanie.
Súhlas zamestnancov: Hoci sa phishing často robí bez vedomia o presnom čase, generálny súhlas s bezpečnostnými politikami (ktoré phishing zahŕňajú) je nutný. Zber citlivých údajov (napr. heslá) počas testu je zakázaný.

[molnart]

podla mna AI dost keca. pocas simulacie nemonitorujes email. kliknutie, IP adresu apod. monitoruje ta stranka simulacie - teda link. podla toho by si nemohol ani zamestnancom posielat ziadne emaily ani notifikacie kde sa nachadza nejaky link, lebo nejaky system zaznamena ze na to klikli, duh

[materik]

Z praxe, ako to fungovalo v starej firme

Transparentnosť (Informačná povinnosť)...

Boli sme upozorneni mailom, ze IT bude vykonavat taketo testy. Nebolo uvedene kedy, co z podstaty veci nedava zmysel uvadzat.

Súhlas zamestnancov:

Toto by malo byt osetrene priamo v pracovnej zmluve, niekde pod bezpecnostou a zodpovednostou zamestnanca. Ak si sa rozhodol pre "bring your own device", vtedy sa podpisovali dodatocne papiere. Firma proste chce mat isty prehlad o tom, co sa na tom comp-e deje.

Zamestnanec nemoze byt trestany za to, ze si ten mail pozrel. Cize trackovanie toho, ci mail otvoril, nema zmysel. Ine je, ze ho nespravne vyhodnotil a klikol na link. Link uz moze byt pokojne monitorovany, na zamestnancovu zodpovednost, bez toho, aby to niekedy niekde podpisal.

@shiro U nas bola "uspesnost" pravidelne okolo 50%. IT firma...

[shiro]

Tiez robim v IT firme, ale bohuzial vysledok toho pokusu nepoznam...

[molnart]

podla mna toto by si mal zmluvne/pravne riesit ak by si chcel robit spearhead phishing simulaciu - stylom ze normalne na toho cloveka nasadis niekoho, zmapujes jeho zazemie, zvyklosti apod, aby nejaka sprava "od sefa" vyzerala velmi doveryhodne, vylakanie na stretnutie, ziadanie dovernych informacie od neho apod. teda nieco take ako realne ti podvodnici funguju, lebo ti ozajstni profici su ako firmy. maju role, oddelenia, HR, bonusy, priestory, manazment apod.
nejake jednoduche phishingove simulacie ze posles email z linkom ti nic netreba.