Как бороться со старшими сотрудниками, подрывающими тесты безопасности [закрыто]

Я работаю ИТ-подрядчиком в крупной страховой компании в Великобритании.

Время от времени наша команда безопасности будет рассылать поддельные электронные письма по нашему офису, чтобы проверить, могут ли люди распознавать и помечать фишинговые/спамовые электронные письма.

Проблема в том, что за 8 месяцев, что я проработал в этой компании, каждый раз, когда отправлялся один из этих фишинговых тестов, кто-то предупреждал весь офис в течение нескольких минут после его отправки. Обычно это менеджер/руководитель группы, который имеет доступ к спискам рассылки отдела.

Для меня это безответственно и на самом деле довольно большая проблема безопасности. Я полагаю, что служба безопасности разослала этот тест, ожидая получить обратно точные данные, которые искажаются кем-то, предупреждающим весь офис не поддаваться на уловку. Кроме того, сотрудники, которые могли попасться на эту уловку, ничему не учатся. Легко сидеть и думать: «О да, я бы заметил этот немного другой адрес электронной почты, не проблема!», когда на практике довольно много людей определенно попадут под фишинговую атаку, по крайней мере, достаточно, чтобы открыть письмо. У нас даже было электронное письмо, в котором хвалили наш низкий процент отказов, говоря, что он был неожиданно низким .

Я решил расспросить последнего человека, чтобы предупредить всех об этом, и изложил свои причины, как указано выше. Этот человек занимает значительное положение в бизнесе, возможно, на уровне руководителя области/отдела. Ответ, который они дали, был: «Я все об образовании, анон ». Затем они продолжили объяснять, как это похоже на дрессировку собаки, и должны быть как положительные, так и отрицательные меры.

Мне ясно, что этот человек либо не подозревает о том ущербе, который он может нанести, отказываясь его учитывать, либо настолько самонадеян, что считает, что знает лучше, чем весь отдел безопасности. Или они могут быть просто заинтересованы в высоком уровне успеваемости для своего факультета.

Я всего лишь рядовой сотрудник, и как подрядчик мой голос имеет еще меньше веса по сравнению с кем-то с таким уровнем старшинства, и я беспокоюсь, что это плохо отразится на мне, если я буду спорить с этим человеком дальше.

Мой вопрос:

  • Это такая большая проблема, как я ее изображаю?
  • Стоит ли сообщать о ситуации службе безопасности? Как отношение этого менеджера к безопасности, так и к более широкой проблеме в целом?
Я не думаю, что это здесь не по теме, но вы можете получить лучший ответ в информационной безопасности . Они могут решить, делают ли действия менеджера недействительными ваш тест безопасности или нет.
Да, это большая проблема, но это не ваша проблема.
Согласитесь с @Paparazzi, это не ваша проблема.
somebody has warned the entire officeМальчик, я бы разозлился на твоем месте. Кто-то лучше сможет объяснить, почему они тратят впустую деньги компании, 1) заставляя вас тратить ваше время 2) создавая огромную ответственность
to test that people can recognize and flag phishing/spam emails- каково ожидаемое поведение, если они получат настоящую фишинговую почту? Не должны warn the entiere office ? Должны ли они вместо этого сообщать об этом только ИТ-специалистам, не сообщая никому другому? Кажется, это приводит к ненужным задержкам и увеличивает риск того, что кто-то ответит на фишинговое письмо. Мне кажется, что ваш процесс несовершенен, и вы хотите наказать людей, которые действительно ведут себя правильно — если электронное письмо покажется мне подозрительным, я предупрежу всех своих коллег как можно быстрее, чтобы предотвратить вред.
@GeorgPatscheider Проблема заключалась в том, что служба безопасности возвращала статистику и утверждала, что у нас чрезвычайно низкий уровень успеха фишинга. В то время это было неточно, так как в реальной жизни фишинговые электронные письма не рассылаются всей компании. К сожалению, я так и не получил никаких указаний от службы безопасности, когда поднял этот вопрос с ними, и с тех пор я ушел.

Ответы (2)

ДОКУМЕНТИРУЙТЕ ВСЕ

Вы правы в своей оценке своего существования без власти и влияния. Поэтому все, что вы можете сделать и все, что от вас требуется, — это задокументировать уязвимости и сообщить своему непосредственному руководителю о том, что вы нашли. Затем пусть это будет, продолжая вести свои записи, чтобы в случае нарушения безопасности вас не обвинили.

Если бы вы были постоянным сотрудником на полную ставку, я бы сказал, подтолкнуть это немного больше, но как подрядчик, единственное, чего вы добьетесь, это расторжение контракта.

ДОКУМЕНТ, ЭСКАЛАЦИЯ, ОТЗЫВ

Я считаю вашу реакцию неуместной. Предупреждение старших сотрудников младшим сотрудникам является частью вашей организационной реакции на фишинговые электронные письма. В наиболее распространенном реальном сценарии конкретная атака поражает всех, кого она достигает в организации, в течение довольно короткого периода времени; разве вы не хотите, чтобы более сообразительные сотрудники предупредили тогда остальных?

Если вы хотите протестировать только тех, кто менее разбирается в ИТ, разработайте какие-то критерии исключения и исключите «репортеров» из своей рассылки. Но я, честно говоря, не вижу ценности.

Этот ответ. Ошибка OPS заключается в том, что фишинговый тест отправляется всем сразу. Это нереально. Отправьте его нескольким людям, затем еще нескольким чуть позже.
Как бороться со старшими сотрудниками, подрывающими тесты безопасности [закрыто]
СпросиСетьПолитика конфиденциальности1y, 0v