Automation
Preco 94% firiem zlyha pri prvom phishing teste — a ako to zmenit
Priemerna miera kliknutia pri prvom phishing teste je 31%. Zistite preco sa to deje, ktore oddelenia su najrizikovejsie, a aky konkretny plan znizi toto cislo pod 5% za 6 mesiacov.
7 min citania
Ked OPSEC Lab spusti prvu phishing simulaciu pre noveho zakaznika, priemerna miera kliknutia je 31%. Nie v nejakych zvlast naivnych firmach. V normalnych firmach s normalnou HR politikou, normalnym IT oddelenim, a casto uz aj s absolvovanym bezpecnostnym skolenim.
31% znaci: kazdy treti zamestnanec klikne na simulovany phishing. V realnom utoky by to znamenalo: kazdy treti otvori utocnikovi dvere do vasej firmy.
Preco je 31% normalne (a alarmujuce)
Toto cislo nie je anomalia. IBM Cost of a Data Breach Report 2024 uvadza ze 91% kyberutokov zacina phishingom. Verizon DBIR potvrdzuje ze spear phishing — cieleny utok na konkretnu osobu — ma uspesnost az 65%. Preco su ludia takto nachylni?
Dod je psychologicky zbrane sa
Phishing nefunguje lebo ludia su hlupakmi. Funguje lebo pouziva psychologicke triggery ktore su hlboko v nas: autorita (email od CEO), urgencia (nutne do dnes), strach (vas ucet bol zablokovany), zvykalosct (email vyzera presne ako to co dostavam kazdy den).
Mozog v strese skrati premyslanie. Klikne. Toto nie je chyba zamestnanca — je to fyziologia.
Ktore oddelenia su najrizikovejsie
Na zaklade nasich dat zo 180+ simulacii:
Obchod a predaj: 41% click rate — prveho otvoria emaile, su zvyknute na urgentne veci, vedu ze nestihnut lead = stratena priležitost
HR oddelenie: 38% — spracovavaju vela externych komunikacii, su zvyknute na ziadosti od cudzich ludi
Vedenie (C-level): 29% — prekvapive nizky, ale ked kliknu je skoda najvacsia
IT oddelenie: 12% — najnizsie, ale nie nula
Ostatne: 27% priemer
Preco jednorazove skolenie nestaci
Vacsina firiem robi bezpecnostne skolenie raz rocne. 45 minut videa alebo prezentacie. Test na konci. Certifikat do slozky. A o 3 tyzdne si zamestnanec nepamatuje nic.
Preco? Lebo pamäť funguje inak. Informacia ktoru len pasivne prijmeme (pozrieme video) sa uklada do kratkodobej pamate a coskoro mizne. Informacia spojená s emocionálnym zažitkom — napriklad s pocitom ze som prave klikol na phishing — sa uklada do dlhodobej pamäte.
Toto je "teachable moment" efekt: mozog je najreceptivnejsi v momente chyby.
Konkretny plan: z 31% na pod 5% za 6 mesiacov
Toto je plán ktory funguje na zaklade dat z nasich zákazníkov:
Mesiac 1: Benchmark simulacia
Spustite prvu simulaciu bez ohlasenia. Ciel nie je testovanie — ciel je ziskat baseline. Budete vediet kde ste. Kto je high-risk. Ktore oddelenie potrebuje okamzitu pozornost.
Mesiac 2-3: Cielene simulacie na high-risk skupiny
Spustite dalšiu simuláciu specifiicky pre oddelenia s najvyssim click rate. Pouzite iny typ utoku — tym kto klikli na CEO fraud teraz skuste fake IT. Kazde kliknutie = okamzity micro-trening.
Mesiac 4-6: Cele firma, sledovanie pokroku
Kvartalna simulacia pre celu firmu. V tomto bode uz vidate pokles: typicky 31% → 18% → 8%. Firmy ktore dosledno aplikuju simulaciu + okamzity trening dosiahnu pod 5% do konca prveho roku.
Co hovorit vedeniu
CEO a board nepochopia "click rate klesol o 23 percentualnych bodov". Pochopia toto: "Minuly rok by bol utocnik schopny kompromitovat prihlasovacie udaje 47 vasich zamestnancov. Dnes by ich bolo 7." Risk Score je cislo ktore vedia ukázat na boardovej prezentacii.
Prva simulacia je zdarma. Vysledky — menom, oddelenim, casom — budete mat ešte dnes.
Ďalšie články o kybernetickej bezpečnosti
Reálne útoky, NIS2 compliance, tipy ako chrániť firmu — bez marketingových fráz.
