Czy kiedykolwiek zastanawiałeś się, co dzieje się w firmie po udanym ataku phishingowym oraz jak to wpływa na ludzi i organizację?
Scenariusz może wyglądać następująco:
1. Atak
Dzień Dobry, oto nastał nowy dzień w pracy. Otwieramy komputer, sprawdzamy firmową pocztę, a wśród nich wiadomość rzekomo od naszego admina: Pilne: Zmiana hasła w systemie X.”
Na pierwszy rzut oka wiadomość wydaje się autentyczna. Logo firmy, styl wiadomości pasujący do oficjalnej komunikacji, a nawet podpis z nazwiskiem osoby z działu IT, którą znamy. Admin szczegółowo wyjaśnia, iż zmiana spowodowana jest wczorajszymi (na szczęście nieudanymi) próbami ataków phishingowych na pracowników firmy. Klikamy, nie zastanawiając się w załączony link, który przekierowujący nas na stronę przypominającą nasz firmowy portal do zarządzania hasłami. Wprowadzamy swoje dane logowania i... to wszystko, a w tle rozpoczyna się kaskada zdarzeń, która może mieć poważne konsekwencje dla nas i dla firmy.
2. Konsekwencje
Z perspektywy czasu zdajemy sobie sprawę, iż adres URL strony był minimalnie inny, brakowało certyfikatu bezpieczeństwa, a styl wiadomości był ponaglający, jednakże w pośpiesznym tempie pracy trudno jest analizować każdy szczegół, zwłaszcza gdy treść wydaje się wiarygodna. W konsekwencji ktoś uzyskał dostęp do krytycznych zasobów firmy, a konsekwencje są zawsze poważne: utrata danych, możliwe przerwanie ciągłości działania firmy, olbrzymie koszty, straty PR-owe.
Znamy to – prawda?
Zastanówmy się jednak przez chwilę, jak po takim incydencie może czuć się ofiara ataku phishingowego?
- Poczucie winy i wstydu: Pracownik, który padł ofiarą phishingu, często czuje się winny za wyrządzone szkody. Obawia się utraty zaufania zespołu, a przede wszystkim przełożonych.
- Stres i niepokój: Zrozumienie skutków ataku i poważnych konsekwencji dla firmy, dla której pracujemy, może powodować długotrwały stres. Ofiara często zastanawia się, czy mogła zapobiec incydentowi, co prowadzi do obniżenia poczucia własnej wartości.
- Izolacja: W obawie przed krytyką inni pracownicy mogą dystansować się od osoby, która sprowadziła na firmę problemy. To dodatkowo potęguje poczucie osamotnienia.
- Wypalenie zawodowe: Poczucie winy i nieustanny stres mogą prowadzić do wypalenia zawodowego takiej osoby, co wpływa na produktywność i jakość pracy.
- Problemy zdrowotne: Następstwem mogą być objawy depresji, lęki, czy nawet poważne zaburzenia psychiczne.
3. Postępowanie z ofiarą ataku
Wiele zależy od tego, w jaki sposób organizacje podchodzą do polityki incydentów, związanych z atakami socjotechnicznymi. Trzeba przede wszystkim mieć świadomość, iż każdy z nas może paść ofiarą tego typu ataków. I wiadome jest, iż większość osób nie złapie się na scenariusz z kultowym już „Nigeryjskim Księciem” oddającym swój majątek, o tyle scenariusze dużo lepiej dopracowane (z pomocą AI) to już zupełnie inny poziom trudności w weryfikacji przekazu. W jaki sposób firma podejdzie do ofiary: czy dostanie ona naganę, a może zostanie zwolniona ze skutkiem natychmiastowym, a może jednak otrzyma od firmy potrzebne wsparcie? Podejścia mogą być różne, ale…
Dlaczego nie powinno się piętnować ofiar ataków phishingowych?
Ponieważ może mieć to daleko idące negatywne skutki:
- Strach przed zgłaszaniem incydentów: Jeśli pracownicy będą obawiać się konsekwencji, mogą w przyszłości nie zgłaszać potencjalnych, kolejnych prób, co tylko zwiększy ryzyko ponownego ataku phishingowego.
- Pogorszenie morale: Kara za niezamierzony błąd może wpłynąć na spadek motywacji i zaangażowania pracownika, a co za tym idzie jego produktywność, samopoczucie w pracy, więc…
4. Rekomendowane działania
Zamiast piętnować, wyciągać lekcję na przyszłość w postaci regularnych szkoleń z obszaru security awareness dla pracowników, wprowadzeniu MFA/2FA (chociażby do kluczowych systemów w firmie), organizowaniu zaplanowanych kampanii phishingowych, które mają na celu odzwierciedlenie możliwych realnych ataków, tak aby pracownicy wiedzieli, z czym mogą się spotkać w przyszłości i w jaki sposób mają reagować.
I pamiętać: jeśli już mleko się wyleje, nie zostawiajmy pracownika samemu sobie, tylko starajmy się mu pomóc (nawet zapewniając opiekę psychologiczną). Wg. Raportu NFZ w Polsce na depresję choruje około 1,2 mln osób. Nie dopuśćmy do sytuacji, w której grono to będzie się powiększało na skutek incydentu na naszym podwórku.