Pikšķerēšana joprojām ir viens no biežākajiem uzbrukuma veidiem. Verizon DBIR ziņo, ka 68% no pārkāpumiem ir saistīti ar cilvēka faktoru – kļūdu vai sociālās inženierijas uzbrukumu. Tas nozīmē, ka apmācības nav “papildu izvēle”, bet kritiska aizsardzības līnija.
Pikšķerēšanas veidi, ko redzam uzņēmumos
- Credential theft – viltota pieteikšanās lapa, kas nozog paroli.
- Invoice fraud – rēķins ar viltotu bankas kontu.
- CEO fraud – “steidzams” vadītāja lūgums pārskaitīt naudu.
- Vendor impersonation – uzbrucēji izliekas par piegādātājiem.
Kā izskatās efektīva pikšķerēšanas programma?
- Baseline tests – anonīms mērījums, cik cilvēku “uzķeras”.
- Īsas apmācības – 10–15 min moduļi ik mēnesi.
- Simulācijas – reālistiski scenāriji ar tūlītēju skaidrojumu.
- KPI un uzlabojumi – klikšķu kritums un ziņošanas pieaugums.
Ko rāda dati par apmācību ietekmi?
KnowBe4 2025 benchmarking ziņo, ka pēc 12 mēnešu regulārām apmācībām pikšķerēšanas “klikšķu” rādītājs samazinās par 86%. Tas parāda, ka cilvēku faktoru var būtiski uzlabot ar pareizi strukturētu programmu.
KnowBe4 2025 Phishing Benchmarking Report
Mini programma mazam uzņēmumam (3 mēnešu plāns)
Programma ir veidota tā, lai to varētu īstenot arī bez atsevišķa drošības speciālista. Parasti to vada IT atbildīgais vai biroja vadītājs, piesaistot ārējo partneri tikai iestatīšanas fāzē.
- 1. mēnesis: ievadapmācība (30–45 min) + 1 simulācija. Atbildīgais: IT vadītājs/administrators. Mērķis – ielikt pamatus un izmērīt sākuma klikšķu līmeni.
- 2. mēnesis: tēma “Paroles un saites” + simulācija. Atbildīgais: IT + komandas vadītāji. Mērķis – samazināt kļūdainu klikšķu skaitu un iemācīt ziņošanas procesu.
- 3. mēnesis: tēma “Piegādātāju pikšķerēšana” + simulācija. Atbildīgais: finanšu vai iepirkumu vadītājs kopā ar IT. Mērķis – aizsargāties pret rēķinu krāpniecību un “CEO fraud”.
Praktiskais grafiks: simulācijas sūtīt darba nedēļas vidū (otrdien/trešdien), pēc tam 24–48 h laikā nosūtīt skaidrojumu un ieteikumus. Reizi mēnesī jāizsūta īss kopsavilkums par rezultātiem.
Tehniskie pasākumi, kas papildina apmācības
- Drošības vārteja ar pikšķerēšanas filtru.
- MFA visiem lietotājiem.
- DMARC, SPF, DKIM domēna aizsardzībai.
Riski un izmaksas
IBM 2024 Cost of a Data Breach ziņo, ka vidējās noplūdes izmaksas ir 4,88 miljoni USD. Lielākā daļa šo izmaksu ir biznesa traucējumi, nevis tikai tehniskā atjaunošana. Tas nozīmē, ka ieguldījums apmācībās bieži ir lētākais riska samazināšanas veids.
IBM Cost of a Data Breach 2024
KPI, ko mērīt
- klikšķu procentu simulācijās;
- ziņoto pikšķerēšanas mēģinājumu skaits;
- apmācību pabeigšanas līmenis.
FAQ
Cik bieži jāsūta simulācijas?
Parasti reizi mēnesī vai reizi ceturksnī, atkarībā no riska līmeņa.
Vai pietiek ar vienu apmācību gadā?
Nē. Uzbrukumu taktikas mainās, un vienreizējs treniņš nav pietiekams.
Vai šīs apmācības rada spriedzi komandā?
Nē, ja tiek skaidri izskaidrots mērķis – uzlabot drošību, nevis sodīt.
Simulāciju līmeņi
- Pamatlīmenis – vienkārši phishing e‑pasti.
- Vidējais – imitē reālus piegādātājus.
- Augsts – personalizēti uzbrukumi vadībai.
Ziņošanas kultūra
Efektīva programma nav par “sodīšanu”. Tā ir par ziņošanu. Jo vairāk cilvēki ziņo par aizdomīgiem e‑pastiem, jo ātrāk IT komanda var reaģēt.
Praktisks piemērs
Pēc 3 mēnešu apmācību cikla uzņēmums samazināja klikšķu rādītāju no 18% uz 6%. Tas nozīmēja, ka reālajos uzbrukumos trīs reizes mazāk cilvēku pieļautu kļūdu.
Secinājums
Drošība sākas ar cilvēkiem. Ja uzņēmums regulāri trenē darbiniekus atpazīt pikšķerēšanu, risks krītas būtiski. Un tas ir viens no ātrākajiem veidiem, kā palielināt kiberdrošības noturību.
Vēlaties novērtēt savas komandas drošības gatavību? Aizpildiet kiberriska testu:
