Alarmující výsledky phishingových testů v českých firmách a institucích – útočníci získávají hesla uživatelů jak na běžícím pásu
Praha 25. září 2024 (PROTEXT) - S phishingem se setkal snad každý, kdo má e-mailovou schránku. Tento typický internetový podvod slouží k získávání citlivých údajů prostřednictvím e-mailů, které se tváří jako zprávy od známých institucí, sociálních sítí, obchodů nebo dopravců. Firmy mohou simulovat tyto útoky, aby zjistily svou odolnost vůči skutečným útočníkům.
Firma BOIT Cyber Security provedla v posledních dvou letech phishingové testy u více než 60 českých firem a institucí. Výsledky představila na konferenci Cyber_Con, pořádané Národním úřadem pro kybernetickou a informační bezpečnost. Testy ukázaly, že průměrná úspěšnost simulovaných phishingových útoků dosáhla 18 %, přičemž v některých sektorech, jako jsou školy, byla úspěšnost až 30 %.
„Phishingové testy odhalily výrazné nedostatky v zabezpečení napříč sektory, včetně státních institucí, soukromých firem a zdravotnických zařízení. Výsledky jsou alarmující a ukazují na nedostatečnou úroveň bezpečnostního povědomí zaměstnanců,“ říká Pavel Matějíček, CEO BOIT Cyber Security.
Z celkového počtu 18 135 odeslaných phishingových e-mailů otevřelo podvodnou stránku v průměru 26 % uživatelů, s mediánem 24 %. Nejohroženější skupinou jsou školy, kde průměrná úspěšnost phishingu dosáhla 30 %. U státních institucí to bylo 21 %, zatímco soukromé firmy měly průměrnou úspěšnost útoku 17 %.
Nejnižší úspěšnost phishingu byla zaznamenána u nemocnic, kde dosáhla 7 %. „Je to do značné míry způsobeno tím, že v nemocnicích uživatelé maily často nečtou. Kdybychom to přepočítali k poměru k prokazatelně otevřeným e-mailům, dostaneme se až na 50 % úspěšnosti,“ komentuje Pavel Matějíček.
Výsledky jasně ukazují, že nejohroženějšími sektory jsou školy a státní instituce. Průměrná úspěšnost phishingových útoků u škol dosahuje až 30 %, což ukazuje na kritickou potřebu zlepšení kybernetické bezpečnosti v tomto sektoru. Státní instituce, které zaznamenaly průměrnou úspěšnost 21 %, rovněž potřebují zlepšit své zabezpečení.
Nejhorší výsledek byl v jednom okresním městě, kde 59 % zaměstnanců úřadu odevzdalo útočníkům své přihlašovací údaje. Nejhorší výsledek u soukromé firmy byl 47 %. Většina z nich nepoužívá vícefaktorovou autentizaci (MFA), která může riziko ztráty údajů výrazně snížit. S nevyužíváním MFA se setkáváme více ve státní správě, méně u firem.
Zlepšení kybernetické bezpečnosti je klíčové pro minimalizaci rizika úspěšných phishingových útoků. Firmy a instituce by měly dbát na bezpečné chování v digitálním prostředí. Zavedení vícefaktorové autentizace (2FA) výrazně zvyšuje úroveň ochrany přístupu k citlivým informacím. Nicméně ani ta neochrání firmy a instituce stoprocentně.
Je nezbytné soustředit se na pravidelné vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti, aby si byli vědomi rizik a dokázali rozpoznat potenciální útoky. Taková školení poskytuje firma BOIT Cyber Security v čele s Pavlem Matějíčkem. „Zaměstnanci často pořádně neví, co si pod kyberbezpečností představit. My věříme, že tyto informace by měly být součástí školení zaměstnanců už při nástupu do zaměstnání. A nemusí to být žádná nuda – pokud lidi zapojíme a ukážeme jim, jak se chránit nejen v práci, ale i doma, odcházejí s tím, že se dozvěděli něco užitečného,“ říká Pavel Matějíček.
BOIT Cyber Security je česká společnost specializující se na kybernetickou bezpečnost. Poskytuje služby v oblasti ochrany před kybernetickými hrozbami, jako je skenování zranitelností, penetrační testování, provádění phishingových testů a školení zaměstnanců. Díky dlouholetým zkušenostem a odborným znalostem pomáhá firmám a institucím zlepšit jejich odolnost proti stále sofistikovanějším kybernetickým útokům.
Kontakt:
BOIT Cyber Security s.r.o.
Vinohradská 184, Praha 3, 130 00
+420 702 029 676