布里斯托尔市议会的工作人员对他们自己的同事发起了一波恶搞网络钓鱼攻击,这是加强该组织网络弹性的更广泛努力的一部分。根据最近为该组织资源审查委员会准备的一份报告,该委员会的网络安全风险被认为“高于预期”。
引用的原因包括缺乏对适当技术的投资,依赖内部专业知识和自我评估,以及缺乏正式的风险管理方法,以及历史缺乏重点。
因此,该委员会采取了非常规的步骤,通过网络钓鱼攻击行动瞄准自己的员工,IT人员正在向员工发送电子邮件,以了解用户对此类网络攻击的反应。
报道称,任何屈服于这些委员会传播的网络钓鱼电子邮件之一的人将被重定向到通过链接进行有针对性的培训。然后,这项工作的结果将告知理事会将来如何改进其非技术控制和培训。
“就像所有组织一样,我们面临着对数字系统日益复杂和变化的威胁,”布里斯托尔市议会发言人告诉IT专业人士。“本报告保证了我们所了解的威胁,并采取措施维护我们系统的安全性。“我们将继续与一系列组织密切合作,以确保我们的系统能够有效应对网络攻击的风险,并保证所有数据的安全性。”
资源审查委员会负责监督布里斯托尔市议会的数字化转型计划和IT基础设施,以及财务和人力资源等后台职能。
其成员在2月底的一次会议上更新了理事会在2018/19年第三季度增加的网络安全威胁以及其他受监控的风险。
该委员会打击网络威胁的新战略在员工自身通常被视为对任何组织的网络弹性的威胁的背景下是有道理的。例如,Coalfire的分析表明,由于网络钓鱼攻击普遍存在,人为错误是组织中最薄弱的安全环节。
尽管布里斯托尔市议会的网络安全风险在过去的四个季度中被认为是“红色”,但这仍然使用该委员会自己的指标得出“3×5 = 15” – 其中“3”的等级为1到4,可能性为“5”影响范围是一到七。
但是,在2019年的最后三个月,风险增加到“3×7 = 21”。这意味着虽然理事会遭受攻击的可能性保持不变,但现在认为任何网络威胁的潜在影响都要大得多。