close
menu

TESTY PENETRACYJNE

Testy socjotechniczne

Testy socjotechniczne polegają na symulacji kontrolowanego ataku
hackerskiego, bazujące na weryfikacji zachowań pracowników
w przypadku otrzymania wiadomości phishingowej, próby wyłudzenia
danych przez telefon lub próby poruszania się po firmie i zbierania
informacji przez osoby nieuprawnione.

Poznaj szczegóły south

Skontaktuj się z namieast

Kampania
phishingowa

Polega na wysłaniu spreparowanej wiadomości e-mail, mającej na celu skłonić pracowników do określonych zachowań.

Kampania
vishingowa

Polega na kontakcie telefonicznym, gdzie pentester podczas rozmowy podszywa się pod wsparcie techniczne czy zewnętrzny outsourcing IT, próbując wyłudzić informacje o firmie.

Kontakt
bezpośredni

Próba dostania się pentestera do siedziby firmy. Sprawdza on możliwość zdobycia informacji z drukarek oraz sprawdza reakcję na jego obecność. Przeprowadza także inspekcję komputerów pracowników, próbując nakłonić ich do różnych zachowań.

Krok po kroku

Testy socjotechniczne

Cel i zakres

  • Określamy cel testów oraz zakres infrastruktury, który ma zostać objęty testami.

Plan działania

  • Na podstawie celu przygotowujemy szczegółowy plan, określamy czas testów i sposób realizacji.

Scenariusz

  • Definiujemy jak powinien wyglądać dokładny scenariusz oraz jakie elementy powinien posiadać.

Realizacja testów

  • Przeprowadzamy test, w zależności od wybranego scenariusza możemy podjąć następujące kroki:
    • wysyłka spreparowanej wiadomości oraz zbierania informacji na temat reakcji pracowników na otrzymaną wiadomość
    • próba pozyskania poufnych informacji lub danych kontaktowych poprzez rozmowę telefoniczna
    • próba wejścia do środka organizacji, a następnie próba pozyskania cennych danych, przechwycenia możliwości pracy na komputerze pracownika itd.

Przygotowanie raportu

  • Dostarczamy raport końcowy zawierający: podsumowanie dla kadry zarządzającej, listę podatności wraz z poziomem ich występowania, opis, szczegóły techniczne oraz rekomendacje i referencje wskazujące jak daną podatność usunąć.

Wsparcie poaudytowe

  • Po przeprowadzonych testach otrzymujesz od nas możliwość konsultacji z pentesterem, który przeprowadzał dany test, aby móc porozmawiać o wątpliwościach, znalezionych podatnościach oraz o wynikach testów.

FAQ

Najczęściej zadawane pytania
o testy socjotechniczne

Czym są testy socjotechniczne i na czym polegają?

Testy socjotechniczne to kontrolowane symulacje ataków wykorzystujących czynnik ludzki, takie jak phishing, vishing czy próby wyłudzenia informacji. Ich celem jest sprawdzenie, jak pracownicy reagują na próby manipulacji oraz czy stosowane procedury bezpieczeństwa są przestrzegane w praktyce.

Czy test phishingowy dla pracowników jest legalny?

Tak, pod warunkiem że jest realizowany w sposób zgodny z obowiązującymi przepisami prawa oraz wewnętrznymi regulacjami organizacji. Testy socjotechniczne przeprowadzane są na podstawie uzgodnionego zakresu, a ich celem jest poprawa poziomu bezpieczeństwa, a nie ocena indywidualnych pracowników.

Dlaczego testy socjotechniczne są tak istotne w kontekście NIS2?

Dyrektywa NIS2 wymaga wdrożenia środków organizacyjnych i technicznych ograniczających ryzyko incydentów. Czynnik ludzki jest jednym z najczęstszych wektorów ataku, dlatego testy socjotechniczne stanowią istotny element budowania odporności organizacji oraz potwierdzenia skuteczności działań w obszarze cyberbezpieczeństwa.

Czy same testy phishingowe wystarczą, aby zwiększyć bezpieczeństwo organizacji?

Nie. Testy pozwalają zidentyfikować poziom podatności pracowników, jednak trwała poprawa bezpieczeństwa wymaga również edukacji i podnoszenia świadomości. Dlatego testy socjotechniczne często uzupełniane są o programy szkoleniowe, takie jak pakiet Cybernietykalni, realizowany wspólnie z Dagma Szkolenia IT.

Jak często należy przeprowadzać testy socjotechniczne?

Rekomenduje się realizację testów cyklicznie — np. raz lub dwa razy w roku — szczególnie w organizacjach przetwarzających dane wrażliwe lub objętych regulacjami (NIS2, ISO 27001). Regularne testy pozwalają monitorować postępy oraz skuteczność działań szkoleniowych.