Pikšķerēšanas simulācijas un darbinieku drošības apmācības
90% veiksmīgu kiberuzbrukumu sākas ar pikšķerēšanas e-pastu. Jūsu ugunsmūris, antivīruss un SIEM sistēma ir tikai tik spēcīga, cik drošībā izglītots ir jūsu vājākais posms — darbinieks, kurš noklikšķina uz saites ļaunprātīgā e-pastā.
Problēma nav darbinieku nolaidība — problēma ir apmācību trūkums. Bez regulāras prakses pat pieredzējuši darbinieki iekrīt augstas kvalitātes pikšķerēšanas uzbrukumos, jo uzbrucēji izmanto AI, lai radītu arvien pārliecinošākus e-pastus.
securIT pikšķerēšanas simulācijas pārveido jūsu darbiniekus no drošības vājā punkta par aktīvu aizsardzības līniju. Mūsu platformā darbinieki regulāri saņem reālistiskus testa e-pastus, un katra kļūda kļūst par mācību brīdi — nevis disciplināru notikumu. Rezultāts: klikšķu rādītājs samazinās no 30-40% līdz zem 5% sešu mēnešu laikā.
Kā darbojas securIT pikšķerēšanas simulācijas?
securIT simulāciju platforma nodrošina pilnu ciklu — no kampaņas izveides līdz vadības atskaitei.
Ikmēneša simulācijas kampaņas — katru mēnesi jūsu darbinieki saņem 1-2 reālistiskus pikšķerēšanas e-pastus. Kampaņas imitē aktuālos draudu scenārijus: banku paziņojumus, kurjeru dienesta ziņas, IT departamenta pieprasījumus, vadības e-pastus. Scenāriji tiek regulāri atjaunināti atbilstoši aktuālajiem draudiem Latvijā.
Tūlītēja atgriezeniskā saite — ja darbinieks noklikšķina uz simulācijas saites, viņš nekavējoties tiek novirzīts uz mācību lapu, kas izskaidro, kādas pazīmes viņš palaida garām un kā turpmāk identificēt līdzīgus uzbrukumus. Šis "mācību brīdis" ir daudz efektīvāks nekā jebkura prezentācija.
Interaktīvie apmācību moduļi — papildus simulācijām darbinieki piekļūst īsiem (5-10 minūšu) e-mācību moduļiem par pikšķerēšanu, paroļu drošību, sociālo inženieriju, drošu interneta lietošanu un datu aizsardzību.
Progresa izsekošana — katra darbinieka rezultāti tiek uzskaitīti laika gaitā. Vadītāji redz, kuri departamenti uzlabojas un kuriem nepieciešama papildu uzmanība.
Vadības atskaites — ikmēneša vai ceturkšņa pārskati ar detalizētu statistiku: klikšķu rādītājs, ziņošanas rādītājs (cik darbinieku paziņo par aizdomīgu e-pastu), apmācību pabeigšanas rādītājs, tendences laika gaitā.
Pierādīti rezultāti — no 35% uz zem 5%
securIT klientu dati rāda konsekventu modeļu: regulāras pikšķerēšanas simulācijas dramatiski samazina cilvēcisko risku.
Pirmā simulācija — vidējais klikšķu rādītājs ir 30-40%. Tas nozīmē, ka katrs trešais līdz piektais darbinieks noklikšķina uz ļaunprātīgas saites. Šis ir tipiskais sākumpunkts organizācijām bez iepriekšējas apmācības.
Pēc 3 mēnešiem — klikšķu rādītājs samazinās līdz 15-20%. Darbinieki sāk atpazīt tipiskos pikšķerēšanas modeļus.
Pēc 6 mēnešiem — klikšķu rādītājs nokrītas zem 5%. Vienlaicīgi pieaug ziņošanas rādītājs — darbinieki ne tikai neatver ļaunprātīgos e-pastus, bet aktīvi ziņo par tiem IT drošības komandai.
Pēc 12 mēnešiem — klikšķu rādītājs stabilizējas zem 3%, un organizācijā veidojas "drošības kultūra", kur darbinieki savstarpēji brīdina par aizdomīgiem e-pastiem.
Šie rezultāti nav izņēmums — tas ir konsekventas apmācību programmas paredzamais iznākums. Atslēga ir regularitāte: vienreizējs seminārs nedod ilgstošu efektu, bet ikmēneša simulācijas veido un uztur prasmju līmeni.
NIS2 prasības darbinieku apmācībām
NIS2 direktīvas 21. panta 2. daļas (g) punkts skaidri nosaka, ka būtisko un svarīgo pakalpojumu sniedzējiem jānodrošina "kiberdrošības higiēnas pamatelementi un kiberdrošības apmācības". Tas nav ieteikums — tas ir likuma prasība, kas transponēta Latvijas NKDL.
Konkrēti NIS2 prasa, lai darbinieki tiktu apmācīti atpazīt un ziņot par kiberdraudiem, un lai šīs apmācības būtu regulāras un dokumentētas. Pikšķerēšanas simulācijas ir praksē atzīts veids, kā izpildīt šo prasību.
securIT simulāciju platforma automātiski ģenerē atbilstības dokumentāciju: apmācību žurnālus, dalībnieku sarakstus, progresa atskaites un apmācību efektivitātes rādītājus. Šie dokumenti ir gatavi iesniegšanai auditam vai regulatoram.
Papildus NIS2 arī GDPR prasa, lai organizācijas nodrošina darbinieku izpratni par datu aizsardzību. securIT apmācību moduļi aptver arī GDPR specifiskus aspektus — personas datu apstrāde, datu pārkāpumu paziņošana, datu subjektu tiesības.
Bezmaksas programma un uzņēmumu pakalpojumi
securIT piedāvā pikšķerēšanas simulāciju pakalpojumus divos formātos.
Bezmaksas kopienas programma (sadarbībā ar Women4Cyber) — bezmaksas pikšķerēšanas simulācijas un pamata apmācību moduļi indivīdiem un neliela uzņēmuma komandām (līdz 10 darbiniekiem). Šī programma ir securIT ieguldījums Latvijas kiberdrošības kultūrā. Reģistrācija pieejama securit.lv/phishing.
Uzņēmumu pakalpojums — pilnvērtīga simulāciju un apmācību platforma organizācijām no 10 līdz 5 000+ darbiniekiem. Ietver pielāgotas kampaņas (ar jūsu logo, specifisku nozares saturu), departamentu līmeņa analītiku, vadības atskaites, atbilstības dokumentāciju un dedicētu programmas vadītāju.
Uzņēmumu pakalpojuma cena ir atkarīga no darbinieku skaita. Pamata pakete sākas no €3 par darbinieku mēnesī (minimums 20 darbinieki). Gada līgumiem — papildu atlaide.
Paplašinātais pakalpojums ietver arī sociālās inženierijas testēšanu (telefona zvani, fiziska piekļuve), kas pārbauda darbinieku gatavību arī citiem uzbrukuma vektoriem.
Kas padara securIT simulācijas efektīvākas par alternatīvām?
Tirgū ir vairākas pikšķerēšanas simulāciju platformas. Lūk, kas atšķir securIT pieeju.
Latvijas konteksts — mūsu simulācijas ir veidotas Latvijas realitātei. E-pasti imitē Latvijas bankas, Latvijas kurjeru dienestus, VID, VSAA un citus vietējos scenārijus. Tie ir latviešu valodā ar pareizu gramatiku un vizuālo noformējumu. Starptautiskas platformas piedāvā angļu valodas saturu, kas Latvijas darbiniekiem nav reālistisks.
Tūlītējā atgriezeniskā saite — katrs noklikšķinātais e-pasts nekavējoties kļūst par mācību brīdi. Darbinieks redz, kuras pazīmes viņš nepamanīja, un saņem konkrētus padomus. Šī pieeja ir 3-4 reizes efektīvāka nekā tradicionālie semināri.
Vadības redzamība — detalizētas atskaites ar departamentu, amatu un laika griezumiem. Vadītāji var izsekot ROI un pieņemt lēmumus par papildu pasākumiem.
Integrācija ar securIT ekosistēmu — simulāciju rezultāti papildina SOC uzraudzību un audita konstatējumus, veidojot pilnīgu ainu par organizācijas kiberdrošības gatavību.
Privātuma aizsardzība — mēs neizmantojam individuālos rezultātus darbinieku sodīšanai. Platforma ir veidota kā apmācību rīks, nevis uzraudzības instruments. Vadības atskaites satur departamentu līmeņa datus, nevis individuālos "kaunināšanas sarakstus".
Ieviešana un sākšana
securIT pikšķerēšanas simulāciju ieviešana ir ātra un vienkārša.
1. solis — bezmaksas konsultācija un demo. Parādām platformu darbībā, apspriežam jūsu organizācijas specifiku un izveidojam piemērotu simulāciju plānu.
2. solis — tehniskā sagatavošana (1-2 darba dienas). Konfigurējam platformu, importējam darbinieku sarakstu, iestatām e-pasta piegādes parametrus (SPF/DKIM konfigurācija, lai simulācijas e-pasti netiktu bloķēti).
3. solis — pirmā simulācija. Izsūtām pirmo testa kampaņu un iegūstam jūsu organizācijas bāzes līniju — sākotnējo klikšķu rādītāju.
4. solis — regulārās kampaņas. Ikmēneša simulācijas ar mainīgiem scenārijiem, automātiskām apmācībām un regulārām atskaitēm.
Minimālais līguma periods — 3 mēneši (ieteicamais — 12 mēneši, lai redzētu pilnu efektu). Nav slēptu izmaksu — cenā ietilpst platforma, saturs, atbalsts un atskaites.
Biežāk uzdotie jautājumi
Cik reālistiskas ir simulāciju e-pasti — vai darbinieki tos nepamanīs?
Tieši tā ir būtība — simulācijām jābūt pietiekami reālistiskām, lai pārbaudītu darbinieku gatavību. Mūsu e-pasti ir veidoti pēc reālu uzbrukumu paraugu un pielāgoti Latvijas kontekstam. Tie imitē bankas, kurjerus, valsts iestādes un biznesa korespondenci ar precīzu vizuālo noformējumu. Pirmajā simulācijā 30-40% darbinieku tiešām tos nepamanīs — un tieši tāpēc apmācības ir nepieciešamas.
Vai darbinieki jutīsies uzraudzīti un tas neietekmēs darba vidi?
securIT simulāciju platforma ir veidota kā pozitīvs apmācību rīks. Mēs neizmantojam individuālos rezultātus disciplinārai rīcībai un iesakām vadītājiem prezentēt programmu kā komandas izaugsmes iespēju. Vadības atskaites satur departamentu līmeņa statistiku, nevis individuālos datus. Praksē darbinieki novērtē iespēju mācīties drošā vidē.
Kāds ir minimālais darbinieku skaits un līguma periods?
Uzņēmumu pakalpojumam minimālais skaits ir 20 darbinieki, minimālais līguma periods — 3 mēneši. Bezmaksas kopienas programma ir pieejama komandām līdz 10 cilvēkiem bez termiņa ierobežojuma. Optimāls rezultāts ir sasniedzams 6-12 mēnešu periodā ar ikmēneša simulācijām.
Vai simulācijas darbojas arī ar Gmail, Microsoft 365 un citām e-pasta platformām?
Jā, securIT simulācijas darbojas ar visām galvenajām e-pasta platformām: Microsoft 365 (Exchange Online), Google Workspace (Gmail), on-premises Exchange un citām. Ieviešanas procesā konfigurējam jūsu e-pasta sistēmu, lai simulācijas e-pasti tiktu piegādāti korekti, neizraisot spam filtru bloķēšanu.
Vai simulācijas izpilda NIS2 apmācību prasības?
Jā. NIS2 pieprasa regulāras kiberdrošības apmācības darbiniekiem. securIT simulāciju platforma nodrošina gan praktiskās apmācības (simulācijas), gan teorētiskos moduļus, gan automātisku atbilstības dokumentāciju — apmācību žurnālus, dalībnieku sarakstus un efektivitātes atskaites. Šie dokumenti ir gatavi NIS2/NKDL auditam.
Vai varam sākt ar bezmaksas demo kampaņu?
Jā. securIT piedāvā bezmaksas demo kampaņu līdz 20 darbiniekiem, lai jūs varētu redzēt platformu darbībā un novērtēt sākotnējo klikšķu rādītāju jūsu organizācijā. Demo kampaņa ietver 1 simulācijas e-pastu un pamatatskaiti. Reģistrējieties: [email protected] vai +371 27555221.