Nova usluga Phish&Learn: Pouzdani alat za izgradnju sigurnosne kulture

Izvješće koje je potkraj srpnja objavila Sigurnosno-obavještajna agencija (SOA) za 2025. godinu (s podacima iz 2024.) pokazuje da raste broj državno sponzoriranih kibernetičkih napada te ih je lani zabilježeno 38, što je za sedam više nego u 2023. godini. Meta su bila državna tijela, iznosi SOA, te sve češće kritična nacionalna infrastruktura, a dvije trećine većih napada u Hrvatskoj izvele su ruske državno sponzorirane skupine. Sve brojniji su također ucjenjivački (ransomware) napadi organiziranih kibernetičkih kriminalnih grupa te je SOA podsjetila na primjer iz lipnja 2024. kada je ucjenjivačkim kriptokodom napadnut KBC Zagreb. Forenzička istraga i sigurnosne preporuke Centra za kibernetičku sigurnost SOA-e spriječile su širenje napada, pa su ukradeni medicinski podaci pronađeni i vraćeni KBC-u Zagreb.

U svijetu je svakako primjetan porast krađe identiteta i povjerljivih informacija lažnim predstavljanjem, odnosno phishingom, te socijalnog inženjeringa pa je prema Global Cybersecurity Outlooku 2025 Svjetskoga ekonomskog foruma 42 posto organizacija prijavilo takve incidente. Nadalje 'Cyber Security Report 2024' donosi da je 61 posto organizacija prijavilo narušavanje sigurnosti u oblaku u protekloj godini. Prosječna šteta od kršenja pristupa podacima narasla je za deset posto u 2024. te iznosi oko 4,88 milijuna američkih dolara (Secureframe). Američki 'FBI Internet Crime Report 2024' donosi da je zbog kibernetičkoga kriminala prijavljeno 16,6 milijardi dolara gubitaka i da su pritužbe o ucjenama porasle za devet posto. Unatoč tomu žrtve više ne žele plaćati otkupnine, a kako se i zakoni provode pojačano, to je dovelo do smanjenja plaćanja za više od trećine, na oko 813 milijuna dolara (The Guradian). U porastu su i napadi na lance opskrbe, 29 posto organizacija prijavilo je napade na infrastrukturu umjetne inteligencije i 62 posto susrelo se s deepfake (digitalna krivotvorina) napadima putem socijalnog inženjeringa (IT Pro). Također, prijavljeno je više od 30.000 novih sigurnosnih ranjivosti, što pokazuje da je 'površina napada' (attack surface) sve veća (Fortinet).

Oponašanje napada

Zbog svega toga A1 Hrvatska nastavlja i dalje razvijati sigurnosna rješenja, uslugu podatkovnog centra, kao i rješenja za hotelijerstvo i turizam te pametna rješenja. Pri tome u dvije zadnje godine kompanija bilježi stalan rast u dijelu poslovnih korisnika te informacijske i komunikacijske tehnologije (ICT). Budući da je ICT jedan od glavnih pokretača rasta A1, ključne ostaju usluge u oblaku i podatkovni centar te sigurnosna i pametna rješenja. A1 je znatno ulagao u razvoj sigurnosnih rješenja za poslovne korisnike kojima se uza zaštitu mreže nude usluge štićenja vanjskog i unutarnjeg perimetra tvrtke, ali primjećuje da unatoč podizanju svijesti o kibernetičkoj sigurnosti mnoge tvrtke i dalje ne shvaćaju ozbiljnost prijetnji.

S obzirom na to A1 novom uslugom Phish&Learn osigurava simulacije, točnije kontrolirani test u kojem se zaposlenicima organizacije šalju lažni, ali uvjerljivi e-mailovi. Oni oponašaju stvarne phishing-napade poput e-mailova lažnih dostavnih službi, banaka, voditelja i kolega, a uključeno je i slanje lažnih SMS poruka (smishing) te telefonskih poziva (vishing). Cilj pri tome nije nikako hvatanje zaposlenika u grešci, već podizanje svijesti, otkrivanje slabosti i izgradnja sigurnosne kulture.

Moguće je da u sklopu usluge sve od dizajna kampanja do praćenja napretka vodi A1, ali i sam korisnik, što uključuje vođenje videoobuke te interaktivne obuke na hrvatskom jeziku. Automatska just-in-time obuka odvija se odmah nakon 'padanja' pri lažnom napadu.

Za poslovne i javne korisnike

Nova usluga Phish&Learn može se koristiti kao portal za administraciju i izvještavanje te je namijenjena malim, srednjim i velikim tvrtkama, bankarstvu, zdravstvu, telekomima ili državnim institucijama. Primjenjiva je na organizacije obveznice Zakona o kibernetičkoj sigurnosti, međunarodne tvrtke koje zahtijevaju višejezičnost i izvještavanje po regijama te sigurnosne timove koji žele uključiti ljudski činilac u svoj sigurnosni okvir.

Nakon obuke korisnici Phish&Learna bilježe 90 posto manje klikanja na lažne e-mailove, napredni izvještaji omogućuju uvid u najugroženije skupine i korisnike te je lako povezivanje s Microsoft 365, SIEM i ticketing alatima. Već u roku od nekoliko dana klijent je operativan, a korištenjem usluge smanjuje se regulatorni rizik i olakšava dokazivanje usklađenosti s GDPR-om, ISO-om 27001, NIS2 (ZKS), HIPAA -om ili NIST-om. 

*Sadržaj nastao u suradnji s A1 Hrvatska