Я работаю ИТ-подрядчиком в крупной страховой компании в Великобритании.
Время от времени наша команда безопасности будет рассылать поддельные электронные письма по нашему офису, чтобы проверить, могут ли люди распознавать и помечать фишинговые/спамовые электронные письма.
Проблема в том, что за 8 месяцев, что я проработал в этой компании, каждый раз, когда отправлялся один из этих фишинговых тестов, кто-то предупреждал весь офис в течение нескольких минут после его отправки. Обычно это менеджер/руководитель группы, который имеет доступ к спискам рассылки отдела.
Для меня это безответственно и на самом деле довольно большая проблема безопасности. Я полагаю, что служба безопасности разослала этот тест, ожидая получить обратно точные данные, которые искажаются кем-то, предупреждающим весь офис не поддаваться на уловку. Кроме того, сотрудники, которые могли попасться на эту уловку, ничему не учатся. Легко сидеть и думать: «О да, я бы заметил этот немного другой адрес электронной почты, не проблема!», когда на практике довольно много людей определенно попадут под фишинговую атаку, по крайней мере, достаточно, чтобы открыть письмо. У нас даже было электронное письмо, в котором хвалили наш низкий процент отказов, говоря, что он был неожиданно низким .
Я решил расспросить последнего человека, чтобы предупредить всех об этом, и изложил свои причины, как указано выше. Этот человек занимает значительное положение в бизнесе, возможно, на уровне руководителя области/отдела. Ответ, который они дали, был: «Я все об образовании, анон ». Затем они продолжили объяснять, как это похоже на дрессировку собаки, и должны быть как положительные, так и отрицательные меры.
Мне ясно, что этот человек либо не подозревает о том ущербе, который он может нанести, отказываясь его учитывать, либо настолько самонадеян, что считает, что знает лучше, чем весь отдел безопасности. Или они могут быть просто заинтересованы в высоком уровне успеваемости для своего факультета.
Я всего лишь рядовой сотрудник, и как подрядчик мой голос имеет еще меньше веса по сравнению с кем-то с таким уровнем старшинства, и я беспокоюсь, что это плохо отразится на мне, если я буду спорить с этим человеком дальше.
Мой вопрос:
ДОКУМЕНТИРУЙТЕ ВСЕ
Вы правы в своей оценке своего существования без власти и влияния. Поэтому все, что вы можете сделать и все, что от вас требуется, — это задокументировать уязвимости и сообщить своему непосредственному руководителю о том, что вы нашли. Затем пусть это будет, продолжая вести свои записи, чтобы в случае нарушения безопасности вас не обвинили.
Если бы вы были постоянным сотрудником на полную ставку, я бы сказал, подтолкнуть это немного больше, но как подрядчик, единственное, чего вы добьетесь, это расторжение контракта.
ДОКУМЕНТ, ЭСКАЛАЦИЯ, ОТЗЫВ
Я считаю вашу реакцию неуместной. Предупреждение старших сотрудников младшим сотрудникам является частью вашей организационной реакции на фишинговые электронные письма. В наиболее распространенном реальном сценарии конкретная атака поражает всех, кого она достигает в организации, в течение довольно короткого периода времени; разве вы не хотите, чтобы более сообразительные сотрудники предупредили тогда остальных?
Если вы хотите протестировать только тех, кто менее разбирается в ИТ, разработайте какие-то критерии исключения и исключите «репортеров» из своей рассылки. Но я, честно говоря, не вижу ценности.
Дэвид К.
папарацци
Нео
Рат
somebody has warned the entire office
Мальчик, я бы разозлился на твоем месте. Кто-то лучше сможет объяснить, почему они тратят впустую деньги компании, 1) заставляя вас тратить ваше время 2) создавая огромную ответственностьГеорг Патшайдер
to test that people can recognize and flag phishing/spam emails
- каково ожидаемое поведение, если они получат настоящую фишинговую почту? Не должныwarn the entiere office
? Должны ли они вместо этого сообщать об этом только ИТ-специалистам, не сообщая никому другому? Кажется, это приводит к ненужным задержкам и увеличивает риск того, что кто-то ответит на фишинговое письмо. Мне кажется, что ваш процесс несовершенен, и вы хотите наказать людей, которые действительно ведут себя правильно — если электронное письмо покажется мне подозрительным, я предупрежу всех своих коллег как можно быстрее, чтобы предотвратить вред.Корталион