Atzealdea ZIURen proiektu esperimental batek eraso simulatuak egin dizkie eta prestakuntza espezifikoa eman die 40 enpresari

2023 / 10 / 30
Gipuzkoako industria-sareko 40 enpresak hartu dute parte Spear Phishing proiektuan, ingeniaritza sozialeko erasoei buruz ZIURek egin duen azken proiektu esperimentalean. Ekimen horren helburua, enpresak eta haietako talde profesionalak beren lan-inguruneetan zibersegurtasuneko jardunbide egokiak gauzatzearen garrantziaz kontzientziatzea da.

ZIURen proiektu esperimental batek eraso simulatuak egin dizkie eta prestakuntza espezifikoa eman die 40 enpresari

Gipuzkoako industria-sareko 40 enpresak hartu dute parte ‘Spear Phishing’ proiektuan, ingeniaritza sozialeko erasoei buruz ZIURek egin duen azken proiektu esperimentalean. Ekimen horren helburua, enpresak eta haietako talde profesionalak beren lan-inguruneetan zibersegurtasuneko jardunbide egokiak gauzatzearen garrantziaz kontzientziatzea da, baita mehatxurik ohikoenak identifikatzea ere. Lurraldeko hainbat enpresa txiki eta ertainek eta mikroETEek hartu dute parte proiektuan, eta bertan ingeniaritza sozialeko erasoen simulazioak eta plantilletarako prestakuntza espezifikoak sartu dira. 

Azterlanaren emaitzen arabera, enpresa txiki eta ertainen kontzientziazio-mailak txikia izaten jarraitzen du eraso horiek dakartzaten finantza- edo ospe-arriskuari dagokienez, eta lantokietan egin diren gai horri buruzko prestakuntza-saioek ere parte-hartze eskasa dute. Maria Penilla ZIUReko zuzendari teknikoak azpimarratu duenez “zibersegurtasunaren inguruko kontzientziazioak ez du jarduera puntuala izan behar, enpresa guztietako etengabeko prestakuntza-planaren parte izan behar du, haien dimentsioa eta jarduera-sektorea edozein izanda ere”. 

Posta elektronikoak zibergaizkileek erabiltzen duten eraso-bektore nagusietakoa izaten jarraitzen du. ‘Spear Phishing’ proiektuaren helburua industria arloko Gipuzkoako enpresek beren sareetan jasaten dituzten zibererasoei dagokienez duten egoera ezagutzea izan da. Proiektuaren gakoa izan da jakitea ‘phishing’ mezu bat jasotzen dutenean erabiltzaileek nola erreakzionatzen duten, eta, batez ere, mezu legitimo bat eta faltsu bat bereizteko sentsibilizatuta dauden jakitea. 

Proiektua, bakoitzak lau hilabeteko iraupena izan zuen hiru eraso-kanpainatan banatu zen. Kanpaina horietan, 40 enpresetako erabiltzaileei zuzendutako hainbat ‘phishing’ posta-simulazio egin ziren. Emaitza edozein CIOk nahiko lukeena baino askoz kezkagarriagoa da; izan ere, zibererasotzaileek lortzen duten arrakastaren (erabiltzaile batek postaren estekan klik egiten duenean edo eranskina irekitzen duenean) ehunekoa oso altua da, % 72 eta % 93 artekoa, alegia. Bestalde, BEC motako erasoak ere egin ziren, alde batetik, enpresetako zuzendaritza-taldeei zuzenduta, eta, bestetik, gainerako langileei zuzenduta, lehenengo biktimaren itxura eginez. Arrakastaren ehunekoak nabarmen egin du behera lehen kasuan (% 6 eta % 14 artean), baina bigarren formulan % 85 eta % 93 arteko ehunekoek jarraitu dute. 

Segurtasun-arrakala detektatu ondoren, proiektuak bigarren fasea barne hartzen du, egoerari aurre egin ahal izateko prestakuntza espezifikoa eskaintzeko. Hala ere, prestakuntza-saioetan erabiltzaileen parte-hartzea oso urria izan da gehienetan. Enpresa askok, % 11 eta % 42 artean, ez zuten prestakuntzarik aplikatu, eta 10 kasutatik 4k soilik osatu zuten prestakuntzaren bat. Industrientzako arriskua eta ziberkriminalentzako aukerako egoera da.