A világjárvány és az új körülmények között zajló, erőltetett ütemű digitalizáció a kiberbiztonság területén is számtílan kihívást támaszt. Néhány nappal ezelőtt például az derült ki egy friss összeállításból, hogy az érintett adatrekordok számát tekintve az idén csúcsot döntött az ellopott személyes adatok mennyisége, egy tegnap közzétett beszámoló pedig az adathalász (phishing) támadások hatékonyságáról fest elkeserítő képet.

Bár az informatikai incidensek legalább kétharmad részét már a járvány előtt is különféle adathalász akciókra és a felhasználók digitális identitásának ellopására vezették vissza, időközben az is kiderült, hogy a felhasználók mennyire fogékonyak a járvánnyal kapcsolatos témákra, nagyságrendben háromszor nagyobb valószínűséggel nyitva meg az ilyen tárgyú leveleket.

A Terranova Security és a Microsoft közös kísérlete most újra feltárta, hogy a munkához és a magánélethez kapcsolódó online aktivitás egyre nagyobb átfedése milyen pusztító hatással van az informatikai biztonságra. Az október végén indított, 2020 Gone Phishing Tournament címen 98 országban megszervezett adathalász szimuláció eredményeiből legalábbis az derül ki, hogy a tudatosság folyamatosan romlik, és ezen egyelőre az oktatás sem segített sokat.

Az előző évi eredményekkel összehasonlítva 77 százalékkal nőtt az adathalász linkeket lekattintó felhasználók aránya: míg a 2019-es tesztek során 11,2 százalékot jegyeztek, addig az idei kísérletben már a résztvevők 19,8 százaléka klikkelt a preparált hivatkozásokra. Ennél is durvább, hogy személyes adatait tavaly 1,8 százalék adta meg az adathalász szimuláció valamilyen ravaszul összeállított folyamata során, 2020-ban viszont ugyanez az arány már 13,4 százalékos volt.

Fejben sem vagyunk ott a pályán

A növekedést itt százalékban már nem is érdemes kifejezni (a jegyzőkönyv kedvéért, 644 százalékról beszélünk), de a helyzetről mindent elmond az a ráta, hogy a phishing linkekre kattintó felhasználók több mint kétharmada egészen odáig eljutott, hogy a kért bizalmas adatokat is elküldte az adathalász levelek forrásainak. A saját szempontunkból csak annak örülhetünk, hogy a dél-amerikaiak mellett az európai felhasználók voltak a leginkább észnél, de a 19,8 százalékos átlaghoz képest így is 17 százalékos eredménnyel zártak.

Az egyes ágazatokat tekintve a közszférában dolgozók teljesítettek a leggyengébben, akik összességében 28,4 százalékban voltak hajlamosak megnyitni a phishing üzenetekben található linkeket. A legfelkészültebb felhasználókat ezúttal is az oktatási és a pénzügyi területen találták, és az egészségügy is valamivel jobban muzsikált az átlagosnál – ez utóbbi azért érdekes, mert az adatlopások más felmérések szerint tavaly is és az idén is az egészségügyi szegmenst sújtották leginkább.

Érdemes azt is megjegyezni, hogy az ágazatok szerinti lebontásban az informatikai iparág is az átlagosnál gyengébb ereménnyel szerepelt. A kísérletről szóló beszámolóban kiemelik, hogy a minden korábbinál gyorsabb ütemben szaporodó, és hatásait tekintve is egyre súlyosabb kibertámadások közepette mennyire fontos lenne a munkavállalók felkészítése a várható veszélyekre – az arányokat jól érzékelteti, hogy a Google egymagában is több mint 2 millió adathalász oldalt fedezett fel ebben az évben.

Fontos tudni, hogy a fenti 19,8 százalékos arány egy olyan átlagot képvisel, amelybe a kísérlet során a munkahelyi biztonsági tréningen átesett felhasználók eredményeit is beleszámolták, vagyis összességében elmonható, hogy nem csak az ilyen oktatások elmaradása, de a kurzusok hatékonysága is minden bizonnyal sok helyen hagy kívánnivalókat maga után. A megfelelő felvilágosítás ráadásul közel sem csak az adathalász üzenetek felismeréséről és a más szükséges óvintézkedésekről kellene hogy szóljon: a The Wall Street Journal nyáron végzett felmérése például arra jutott, hogy az új körülmények között a kiberbiztonsági szakemberek 67 százaléka értékeli biztonsági kockázatként a saját alkalmazottak rosszhiszemű viselkedését.