Lufthansa i trening Lucy Security – jak symulacje phishingu pomogły chronić firmę przed cyberprzestępstwami
Lufthansa Group stanowi globalnie operującą grupę lotniczą, która skupia w sobie trzy strategiczne spółki zależne, a mianowicie Network Airlines, Eurowings oraz Aviation Services. Grupa obejmuje rozległe portfolio, skupiające się na działalności lotniczej i powiązanych usługach. Łącznie zrzesza ona ponad 580 spółek oraz zatrudnia imponującą liczbę 138 353 pracowników. W roku 2019, firma osiągnęła wyjątkowy wynik sprzedażowy przekraczający 36,4 miliarda euro. Warto podkreślić, że spółka dominująca w ramach Lufthansa Group, Deutsche Lufthansa AG, pozostaje najważniejszym ogniwem operacyjnym w tej prestiżowej strukturze korporacyjnej.
Wyzwanie
“Poszukiwaliśmy rozwiązania umożliwiającego realizację symulacji phishingu, które byłoby zgodne z całościowymi wytycznymi Lufthansa Group dotyczącymi ochrony danych oraz nadzoru nad wydajnością“ – wyjaśnia Rolf Freudensprung, Dyrektor ds. Bezpieczeństwa Korporacyjnego i Ochrony Informacji w Deutsche Lufthansa AG
Powszechnie wiadomo, że większość cyberataków wykorzystuje omylność czynnika ludzkiego, aby uzyskać dostęp do firmowej sieci IT. Ponad 97% incydentów bezpieczeństwa w przestrzeni internetowej skoncentrowanych jest na wykorzystaniu czynnika ludzkiego jako słabego ogniwa w procesie ataku. Jednym z najczęściej stosowanych mechanizmów w tym kontekście jest rozpowszechnianie wiadomości phishingowych, które stanowią efektywną metodę pozyskiwania dostępu do cennych danych oraz poufnych informacji. Dlatego też coraz więcej firm podejmuje decyzję o wdrażaniu specjalistycznych szkoleń z zakresu cyberbezpieczeństwa dla swoich pracowników, w celu podniesienia ich świadomości i kompetencji w tym kluczowym obszarze.
Trzy strategiczne segmenty biznesowe Lufthansa Group, tj. Network Airlines, Eurowings oraz Aviation Services, wraz z ponad siedmioma komitetami rad zakładowych, stanęły przed wieloma równoczesnymi wyzwaniami. Z jednej strony, firma ta działa na szerokim spektrum geograficznym, co implikuje zróżnicowane potrzeby w zakresie środków bezpieczeństwa w poszczególnych obszarach działalności. Z drugiej strony, konieczność skoordynowanego wdrażania tych środków wspólnie z różnymi radami zakładowymi dla różnych grup pracowników stawia przed nimi kompleksowe wyzwania.
„Trening cybersecurity Lucy był bardzo elastyczny i konstruktywnie reagował na nasze różnorodne potrzeby, dzięki czemu wspólnie byliśmy w stanie spełnić wszystkie wymagania rad zakładowych i organów współdecydujących w krótkim czasie” – mówi Rolf Freudensprung.
Rozwiązanie
Platforma szkoleniowa ThriveDX Security Awareness Training, wcześniej znana jako Lucy Security, dostarcza Grupie Lufthansa intensywny program edukacji w zakresie bezpieczeństwa. Pracownicy mają nieograniczony dostęp do szablonów e-learningowych oraz różnorodnych symulacji ataków – od symulacji spear-phishingu, po ataki na pliki i klonowanie stron internetowych. Wszystkie wyniki testów mogą być stale monitorowane za pośrednictwem dedykowanej platformy. Lufthansa szczególnie doceniła możliwość korzystania z oprogramowania lokalnego oraz raporty dostarczane przez przycisk alertu phishingowego, dostępnego na skrzynce mailowej, za pośrednictwem SMTP. Zgłoszone wiadomości e-mail nie opuszczały wewnętrznego systemu pocztowego.
Trening cybersecurity ThriveDX jest licencjonowany jako licencja lokalna dla Lufthansa Group i jej 580 spółek zależnych. Kampanie symulacyjne są dostarczane na całym świecie w ponad 30 językach i mogą być dostosowane do indywidualnych potrzeb jednostek biznesowych. Wielojęzyczny i obsługujący wielu klientów przycisk phishingu można również skonfigurować zgodnie z wymaganiami.
Korzyści
Grupa Lufthansa jest pod szczególnym wrażeniem użyteczności i wyjątkowej obsługi klienta. „Lucy oferuje idealny pakiet, który pomaga nam utrzymać świadomość cyberzagrożeń naszych pracowników na stale wysokim poziomie. Oprócz oprogramowania oferującego szeroką gamę opcji użytkowania, jesteśmy pod szczególnym wrażeniem doskonałej obsługi klienta. Zawsze otrzymujemy błyskawiczne i dopasowane do naszych potrzeb rozwiązania na wszystkie kwestie i wymagania. Firma wykazała się niezwykłą pomocą podczas fazy wdrożenia, kontynuując jednocześnie wsparcie z niezmiennym zapałem w trakcie dłuższego okresu korzystania z ich oprogramowania.” – podkreśla Florian Tschakert, Corporate Safety & Security, Information Protection w Deutsche Lufthansa AG.
Regularne międzynarodowe kampanie szkoleniowe pomagają również zidentyfikować różnice w grupie Lufthansa. Podczas kampanii pracownicy mogą uczyć się od siebie nawzajem. Dzięki przyciskowi phishingowemu pracownicy mogą łatwo wziąć w nich udział. Dzięki temu ataki phishingowe są szybciej zgłaszane do firmy. Ponadto platforma szkoleniowa ThriveDX Security Awareness Training kładzie duży nacisk na bezpieczeństwo danych: jest zgodna z RODO i wykorzystuje szeroką gamę mechanizmów bezpieczeństwa, aby zapewnić stałą ochronę danych i tożsamości użytkowników. Obejmuje to silne szyfrowanie i specyficzny dla aplikacji projekt zabezpieczeń z szeroką gamą funkcji, takich jak domyślna anonimizacja.
Efekt
„Lucy oferuje idealny pakiet, który pomaga nam utrzymać świadomość naszych pracowników na stale wysokim poziomie”
FLORIAN TSCHAKERT
CORPORATE SAFETY & SECURITY, INFORMATION PROTECTION AT DEUTSCHE LUFTHANSA AG
„Nawet w trudnych okresach, Lucy pozostaje wyjątkowo niezawodnym partnerem” – wskazuje Florian Tschakert. „Na samym początku pandemii COVID-19, Lucy skutecznie wspierała nas w opracowaniu nowego planu bezpieczeństwa na rok 2020, uwzględniając nowe okoliczności i specyficzne wymagania związane z pracą zdalną. W czasach kryzysu ochrona informacji i podniesienie świadomości stają się priorytetem”. Warto podkreślić, że wzmocnienie świadomości cyberbezpieczeństwa znacząco przyczynia się do ogólnego bezpieczeństwa przedsiębiorstwa. Według wewnętrznych analiz przeprowadzonych przez ThriveDX, programy szkoleniowe mają potencjał zwiększyć bezpieczeństwo organizacji nawet dziesięciokrotnie w dłuższej perspektywie czasowej. Pracownicy stanowią pierwszą i najważniejszą linię obrony, która musi być integralnie wkomponowana w ogólną strategię bezpieczeństwa przedsiębiorstwa.
HackerU, jako część grupy ThriveDX również oferuje szkolenia dla firm skrojone na miarę. Mogą być to m.in. trening cybersecurity z symulacjami phishingu, przeznaczony dla wszystkich pracowników czy szkolenia zaawansowane. Kursy prowadzone są przez profesjonalistów-praktyków cybersecurity, dzięki czemu przekazywana wiedza jest aktualna i skutecznie wzmacnia kompetencje zespołów oraz bezpieczeństwo firmy.