Martin Hořický
Partner • Digital Services
Zvýšené požadavky na kybernetickou odolnost (na základě regulací DORA a NIS2, …) a rostoucí počet útoků zaměřených na zaměstnance jasně ukazují, že samotné technické zabezpečení již není dostačující. Útočníci dnes často necílí na systémy, ale na lidi – pomocí manipulace, důvěryhodné komunikace nebo přesvědčivého vystupování. Stačí jeden nepozorný klik, unáhlená odpověď nebo důvěřivý telefonát, a útočník získá přístup, který by technickými prostředky nezískal.
Právě proto je důležité otestovat i odolnost zaměstnanců vůči těmto technikám. Simulované útoky sociálního inženýrství odhalují skutečné slabiny v lidském faktoru, zvyšují připravenost organizace čelit manipulaci a přispívají ke zvyšování bezpečnostní odolnosti v celé organizaci.
Co je sociální inženýrství?
Na rozdíl od technických útoků se sociální inženýrství zaměřuje na zneužití lidského faktoru:
Cílí na zaměstnance a uživatele, nikoli na technologie nebo systémy
Využívá psychologické techniky - manipulaci, autoritu, časový tlak nebo vyvolání důvěry
Probíhá formou interakcí: e-maily, telefonáty, SMS nebo fyzické pokusy o kontakt
Sleduje reakce na podvodnou komunikaci, neoprávněné požadavky nebo nečekané situace
Z bezpečnostního pohledu představuje sociální inženýrství jednu z nejefektivnějších a zároveň nejhůře odhalitelných metod útoku – protože útočník nevyužívá zranitelnosti v kódu, ale v lidském chování.
Typy simulovaných útoků soc. inženýrství
| Typ | Popis | Cíl |
|---|---|---|
| Phishingové kampaně | Simulované hromadné e-maily, které napodobují běžnou firemní nebo komerční komunikaci a snaží se přimět příjemce ke kliknutí na odkaz, zadání údajů nebo stažení přílohy. | Prověřit celkovou odolnost zaměstnanců vůči běžným podvodným e-mailům a schopnost rozpoznat podvrženou zprávu. |
| Vishing | Simulované telefonáty, při kterých se útočník vydává za kolegu, dodavatele nebo technika a snaží se získat přístupové údaje nebo vylákat důvěrné informace. | Prověřit reakce zaměstnanců na nečekaný telefonní kontakt a ověřit dodržování komunikačních a ověřovacích pravidel. |
| Smishing | Simulované podvodné SMS zprávy s odkazem na falešné přihlašovací stránky, výzvou k zadání údajů nebo stažení škodlivého obsahu. | Ověřit, jak zaměstnanci reagují na podvodné zprávy v mobilním prostředí a zda rozpoznají manipulaci. |
| Fyzické testování | Simulace pokusů o neoprávněný vstup do budovy za účelem zjištění, jak dobře fungují fyzické kontrolní mechanismy. | Ověřit úroveň fyzické bezpečnosti, všímavost personálu a připravenost na manipulativní techniky v reálném prostředí. |
| Baiting | Rozmístění fyzických návnad, např. USB disků, falešných zařízení nebo QR kódů, které mají vyvolat zvědavost nebo důvěru. | Otestovat zvědavost a návyky zaměstnanců a efektivitu interních politik pro práci s externími zařízeními. |
Jak testování probíhá v praxi?
Plánování a rozsah
Výběr metod a cílové skupiny
Určí se typy útoků (phishing, vishing, fyzické pokusy) a rozsah simulace. Stanoví se pravidla zásahu a úroveň informovanosti interních týmů.
Příprava scénářů
Tvorba autentických podkladů
Vznikají na míru přizpůsobené šablony e-mailů, SMS a skripty. Scénáře reflektují konkrétní prostředí a rizikové role ve firmě.
Realizace testu
Spuštění simulovaných útoků
Odesílání phishingových e-mailů, telefonáty v rámci vishingu, USB baiting nebo pokusy o fyzický průnik.
Vyhodnocení a Analýza
Měření a reportování výsledků
Statistika interakcí, míra úspěšnosti, detekce incidentů bezpečnostním týmem, zpětná vazba k efektivitě interních postupů.
Návazné školení zaměstnanců
Zvyšování povědomí a prevence
Praktické ukázky útoků, edukace o varovných signálech, doporučené postupy a Q&A pro zaměstnance.
Proč spolupracovat s BDO?
BDO poskytuje služby sociálního inženýrství v souladu se specifickými požadavky evropských regulátorů (např. ECB, EBA, ESMA) a rámci jako NIS2 a DORA, které se zaměřují na bezpečnost lidí, procesů i technologií. Naše metodologie kombinuje techniky sociálního inženýrství, znalost regulatorního rámce a hluboké technické know-how – včetně scénářů, které reflektují sektorové hrozby a digitální útoky v evropském finančním prostoru.
01 Nezávislost a důvěryhodnost
Rozumíme požadavkům DORA i NIS2 a umíme testy přizpůsobit tak, aby výstupy byly využitelné při dohledu i auditu. Pomáháme nastavit testovací strategii a zajišťujeme její soulady s ostatními typy testování (TLPT, penetrační testy).
02 Certifikovaný tým s expertní praxí
Naši specialisté vlastní certifikace OSCP, CRTP, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.
