Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  Kibernetinis saugumas
KIBERNETINIS SAUGUMAS 2026 m. gegužės 10 d. 11 min skaitymo

Phishing mokymai darbuotojams: kaip sumažinti click rate nuo 34% iki 4%

Verizon DBIR 2024 duomenimis, 90% kibernetinio saugumo pažeidimų prasideda nuo phishing. Be mokymų darbuotojai atidaro 34% phishing nuorodų. Su reguliariomis simuliacijomis — tik 4%. Praktinis vadovas, kaip atpažinti phishing, ko mokyti darbuotojus ir kaip įdiegti programą per 90 dienų.

J
Justinas
IT saugumo ekspertas
Phishing atakos ir darbuotojų mokymai 2026 m. — 90% pažeidimų prasideda nuo žmogaus klaidos pagal Verizon DBIR 2024, palyginimas tarp 34% click rate be mokymų ir 4% su reguliariomis simuliacijomis pagal KnowBe4 duomenis
Phishing statistika 2026 — be mokymų 34% darbuotojų atidaro phishing nuorodą

Phishing atakos yra socialinės inžinerijos pažeidimo tipas, kuomet užpuolikas siunčia suklastotą email, SMS ar pranešimą, siekdamas išgauti kredencialus arba įdiegti kenkėjišką programą. Verizon DBIR 2024: 90% pažeidimų prasideda nuo phishing. Reguliarus mokymas sumažina click rate nuo 34% iki 4-5%.

Šiame straipsnyje
  1. Kas yra phishing atakos ir kodėl jos veikia 2026 m.?
  2. 7 phishing tipai, kuriuos reikia atpažinti
  3. Phishing atakos anatomija — 5 etapai
  4. Phishing statistika 2024-2026 — kas keičiasi
  5. 9 phishing požymiai — kaip atpažinti per 30 sek.
  6. BEC atakos — kodėl jos kainuoja brangiausia
  7. Phishing mokymų programa — kas veikia ir kas ne
  8. MFA ir techniniai sprendimai, kurie sumažina riziką
  9. BDAR ir NIS2 reikalauja mokymų — teisinis kontekstas
  10. Ką daryti toliau — konkretūs žingsniai šią savaitę

Phishing nėra nauja grėsmė, bet 2026 m. ji aktualesnė nei bet kada. AI generated phishing pašalino paskutinį akivaizdų atpažinimo ženklą — gramatines klaidas. BEC (Business Email Compromise) atakos LT rinkoje 2025 m. kainavo dešimtimis tūkstančių eurų vienetiniais atvejais — viena LT logistikos įmonė prarado 240 000 EUR per vieną klaidingą pervedimą. NIS2 21 straipsnis nuo 2025 m. spalio 17 d. tiesiogiai reikalauja kibernetinės higienos mokymų ir MFA visose kritinėse sistemose.

Šis straipsnis paaiškina, kodėl 90% kibernetinio saugumo pažeidimų prasideda nuo phishing, kaip atpažinti pagrindinius požymius per 30 sekundžių, ir pateikia praktinę 90 dienų programą, kaip įdiegti veikiančią phishing simuliacijų sistemą. Visi skaičiai paremti Verizon DBIR, KnowBe4, IBM ir FBI IC3 ataskaitomis.

Kas yra phishing atakos ir kodėl jos veikia 2026 m.?

Phishing — socialinės inžinerijos atakų tipas, kuomet užpuolikas apsimeta patikimu siuntėju (banku, vadovu, tiekėju, valstybės institucija) ir siunčia suklastotą žinutę. Tikslas — priversti gavėją atlikti veiksmą: spustelėti nuorodą, atidaryti priedą, įvesti kredencialus, atlikti pavedimą. Skirtingai nei techninės atakos prieš sistemas, phishing taikosi į žmogaus psichologiją.

Verizon DBIR 2024: 90% pažeidimų prasideda nuo žmogaus

Verizon Data Breach Investigations Report 2024 — viena autoritetingiausių metinių kibernetinio saugumo ataskaitų, paremta 30 458 realių incidentų analize. Pagrindinė išvada: 68% pažeidimų apima žmogaus elementą (klaidą, manipuliaciją), o phishing yra dažniausias pradinis atakos vektorius. Kombinuotai su kredencialų vagyste, šie du metodai sudaro apie 90% visų pradinės prieigos atvejų.

Kodėl darbuotojai tampa aukomis

Phishing išnaudoja Cialdini įtakos principus, kurie veikia visus žmones nepriklausomai nuo IT žinių lygio:

  • Skubėjimas — „atsakykite per 24 val. arba sąskaita bus užblokuota"
  • Autoritetas — apsimetimas vadovu, banku, valstybine institucija
  • Baimė — „aptiktas neteisėtas prisijungimas, patikrinkite tapatybę"
  • Smalsumas — „peržiūrėkite naują dokumentą, kuriuo su jumis pasidalinta"
  • Įsipareigojimas — „užbaikite pradėtą registraciją"
  • Socialinis įrodymas — „kolegos jau pasirašė šį dokumentą"

AI keičia žaidimą 2025-2026 m.

Iki 2022 m. lapkričio (ChatGPT pasirodymas) gramatinės klaidos ir nesklandi formuluotė buvo pagrindiniai phishing požymiai. AI tai pakeitė. SlashNext State of Phishing 2024 ataskaita rodo +1265% phishing email kiekio padidėjimą per 12 mėnesių nuo LLM pasiekimo plačiajai auditorijai. Deepfake voice cloning leidžia atlikti vishing atakas su realaus vadovo balsu — pakanka 3 sekundžių garso įrašo iš LinkedIn vaizdo įrašo.

„Žmogaus elementas išlieka pagrindinis kibernetinių pažeidimų katalizatorius. Bet 2024 m. matome paradigminį pokytį — užpuolikai naudoja generatyvinį AI tobulinti tiek atakos turinį, tiek atakos mastą vienu metu."

7 phishing tipai, kuriuos reikia atpažinti

Phishing nėra vienas reiškinys — tai šeima atakų, sugrupuotų pagal kanalą, taikinį ir techniką. Skirtingi tipai reikalauja skirtingų atpažinimo įgūdžių ir techninių apsaugos priemonių. Veriva mokymo medžiagoje aptariami visi septyni tipai, kurie buvo aktyvūs LT rinkoje 2024-2026 m.

1. Email phishing (klasikinis, masinis)

Tūkstančiams adresų siunčiamas standartinis šablonas — tariamas banko email, paslaugų teikėjo pranešimas, „nepristatyto siuntinio" priminimas. Click rate paprastai žemiausias (1-3% nemokyto darbuotojo), bet apimties dėka net mažas procentas duoda užpuolikui rezultatą.

2. Spear phishing (taikinys konkretus asmuo)

Žinutė individualizuota pagal OSINT — užpuolikas surenka informaciją iš LinkedIn, įmonės puslapio, soc. tinklų. Pavyzdys: „Sveiki, pastebėjau jūsų postą apie X projektą, prisegu mūsų pasiūlymą." Click rate 2-3 kartus aukštesnis nei masinio phishing.

3. Whaling (taikinys vadovai, CFO)

Spear phishing potipis, taikantis tik vadovaujančias pareigas — CEO, CFO, COO, valdybos narius. Paprastai apsimeta teisininku, auditoriumi, partnerine įmone. Tikslas — finansinis pavedimas arba kredencialai į finansų sistemas. Vidutinė vienkartinio whaling nuostolis 2024 m. globally siekė 80 000 USD pagal IC3 duomenis.

4. BEC (Business Email Compromise)

Užpuolikas apsimeta vadovu arba esamu tiekėju ir reikalauja sąskaitos rekvizitų pakeitimo arba skubaus pavedimo. Dažnai naudojami kompromituoti realūs partnerio email account'ai (ne suklastoti) — tai sunkiausia atpažinti. FBI IC3 2023 m.: 2,9 mlrd. USD nuostoliai globally.

5. Smishing (SMS phishing)

Phishing per SMS — tariami banko pranešimai, pristatymo statuso atnaujinimai, mokesčių inspekcijos „skolų" priminimai. LT rinkoje 2024-2026 m. dažniausi šablonai: „Lietuvos paštas: jūsų siuntinys laukia, sumokėkite 1,99 EUR pristatymo mokestį." Mobilūs įrenginiai dažnai be antiphishing apsaugos.

6. Vishing (telefono phishing)

Apgaulė per telefono skambutį. Klasikinis variantas — „Microsoft technikas" praneša apie „aptiktą virusą". 2025 m. nauja banga — deepfake voice vishing, kuomet AI klonuoja realaus vadovo balsą. Aukščiausios rizikos darbuotojai — finansų skyriai, kurie įpratę gauti telefoninius nurodymus.

7. Quishing (QR kodų phishing)

2024-2026 m. trendas. Užpuolikas atsiunčia el. laišką su QR kodu vietoj URL nuorodos — taip apeinama email gateway URL skenavimas. Auka skenuoja kodą su mobiliu telefonu, kuriame mažiau apsaugų. Dažni šablonai: „MFA persiruošimas", „dokumento peržiūra".

Phishing atakos anatomija — 5 etapai

Suprasti, kaip phishing ataka veikia žingsnis po žingsnio, padeda nustatyti, kur ją galima sustabdyti. Veriva mokymuose naudojama 5 etapų schema, paremta MITRE ATT&CK framework'u. Trečiasis etapas — darbuotojo sprendimas — yra vienintelė vieta, kur mokymas tiesiogiai keičia atakos baigtį.

Phishing atakos anatomija — 5 etapai schema: 1) pasiruošimas su OSINT informacijos rinkimu apie taikinį, 2) phishing email siuntimas su suklastotu domain'u, 3) darbuotojo spustelėjimas ant nuorodos, 4) kredencialų įvedimas suklastotame puslapyje, 5) išnaudojimas — užpuolikas naudoja kredencialus prieigai prie sistemų ir duomenų vagystei
5 phishing atakos etapai — pasiruošimas, siuntimas, spustelėjimas, prisijungimas, išnaudojimas

1 etapas — pasiruošimas (OSINT)

Užpuolikas surenka viešą informaciją apie tikslinę įmonę: darbuotojų sąrašai iš LinkedIn, organizacinė struktūra, naudojamų sistemų pėdsakai (job ads dažnai išduoda technologijų stack'ą), tiekėjų sąrašai iš įmonės puslapio. Šiame etape ataka dar nematoma — apsauga tik per LinkedIn privatumo nustatymus ir minimalų informacijos publikavimą.

2 etapas — siuntimas

Užpuolikas registruoja typosquat domain'ą (swedbank-lt.com vietoj swedbank.lt), nuomoja phishing kit'ą iš dark web rinkos arba naudoja kompromituotą realų email account'ą. Email siunčiamas su suklastotu „From" lauku arba realiu, jei naudojamas BEC. Apsauga šiame etape — SPF, DKIM, DMARC įrašai, email gateway su URL skenavimu.

3 etapas — spustelėjimas

Darbuotojas gauna email'ą ir priima sprendimą. Tai vienintelis etapas, kuriame žmogaus mokymas tiesiogiai keičia rezultatą. Be mokymų — 34% spustelės. Su reguliariomis simuliacijomis — 4-5%. Šis etapas yra kritinis kontrolės taškas visai programai.

4 etapas — prisijungimas (kredencialų įvedimas)

Spustelėjęs darbuotojas patenka į suklastotą prisijungimo puslapį (dažnai pikselis-į-pikselį kopiją Microsoft 365 arba banko portalo). Įveda kredencialus. Real-time phishing proxy (Evilginx, Modlishka) gali perduoti net MFA token'us. Apsauga — phishing-resistant MFA (FIDO2 hardware tokens, passkey'ai), browser isolation.

5 etapas — išnaudojimas

Užpuolikas turi kredencialus. Per pirmąsias 5-10 minučių paprastai įdiegia persistence — sukuria forwarding rules, naują OAuth aplikaciją, antrinį naudotoją admin teisėmis. Per 24 val. išplinta į kitus account'us (lateral movement). Per 7-30 d. — finansinis pavedimas (BEC) arba ransomware įdiegimas.

Svarbu

Be MFA, jei užpuolikas pasiekia 4-ąjį etapą (kredencialai įvesti), jis turi visišką prieigą prie sistemos per ~5 minutes. Su MFA — kompromiso rizika sumažinama ~99% pagal Microsoft 2023 m. duomenis. Phishing-resistant MFA (FIDO2) — vienintelis sprendimas, atsparus net real-time phishing proxy atakoms.

Phishing statistika 2024-2026 — kas keičiasi

Skaičiai keičiasi greitai, bet pagrindinės tendencijos aiškios — phishing apimtys auga, atakos sudėtingėja, vidutinis nuostolis vienetinės sėkmingos atakos atveju didėja. Veriva remiasi keturiais autoritetingiais šaltiniais: Verizon DBIR, KnowBe4 Phishing Benchmark, IBM Cost of Data Breach, FBI IC3.

€4,88M
Vidutinis duomenų pažeidimo kaštas globally 2024 m.
+10% palyginus su 2023 m. Šaltinis: IBM Cost of a Data Breach Report 2024 (553 organizacijų analizė).

Click rate be mokymų vs su mokymais

KnowBe4 2024 Phishing by Industry Benchmarking Report — analizė pagal 12,5 mln. naudotojų ir 41 industriją. Vidutinis baseline Phish-Prone Percentage (PPP) — 33,9%. Po 90 dienų reguliarių simuliacijų ir mikromokymų — 18,9%. Po 12 mėnesių programos — 4,6%. Tai 86% rizikos sumažinimas be papildomų techninių investicijų.

LT specifika

NKSC 2024 m. ataskaita registravo daugiau nei 4 200 kibernetinių incidentų Lietuvoje — beveik trečdalis prasidėjo nuo phishing. Finansų sektoriuje phishing sudarė apie 45% visų užregistruotų incidentų. Vidutinis BEC nuostolis LT rinkoje 2024-2025 m. — 80 000-250 000 EUR vienetiniais atvejais.

AI phishing 2025-2026

SlashNext 2024 ataskaita: +1265% phishing email kiekio padidėjimas nuo 2022 m. lapkričio. APWG 2024 Q2: registruota daugiau nei 1,2 mln. unikalių phishing svetainių per ketvirtį. Vidutinis sėkmingos vishing atakos su deepfake voice cloning nuostolis — paprastai didesnis nei tradicinio phishing, nes auka įsitikinusi, kad bendrauja su realiu vadovu.

BEC ekonomika

FBI IC3 2023 metinė ataskaita: BEC sukėlė 2,9 mlrd. USD nuostolių globally — daugiau nei ransomware (1,1 mlrd.) ir investicinis sukčiavimas. Vidutinis vienos sėkmingos BEC atakos nuostolis — 137 132 USD pagal IC3. ROI užpuolikui — fenomenalus, todėl BEC bus pagrindinė grėsmė ir 2026 m.

9 phishing požymiai — kaip atpažinti per 30 sek.

Profesionalūs phishing email 2026 m. atrodo kaip realūs verslo laiškai. Bet net AI generated phishing palieka pėdsakų, kuriuos galima nustatyti per 30 sekundžių, jei žinai, ko ieškoti. Veriva mokymo medžiagoje aptariami devyni požymiai, paremti SANS Institute ir KnowBe4 metodologijomis.

  • Skubos jausmas. „Per 24 val.", „iki šios dienos pabaigos", „skubiai patvirtinkite". Tikrosios institucijos beveik niekada nereikalauja momentinio sprendimo.
  • Domain neatitinka įmonės pavadinimo. swedbank-lt.com vietoj swedbank.lt. Microsoft0ffice.com vietoj microsoft.com (skaičius 0 vietoj raidės O).
  • Klausia kredencialų ar finansinių duomenų email'u. Bankas, mokesčių inspekcija, tiekėjas niekada nereikalauja kredencialų ar mokėjimo kortelės numerio per email.
  • URL neatitinka anchor text. Užvedus pelę virš nuorodos (be spustelėjimo), apačioje rodomas tikrasis URL — palygink su matomu tekstu.
  • Generic kreipinys. „Gerb. kliente", „Mielas naudotojau" vietoj vardo. Jei tikra įmonė turi tavo email — ji turi ir vardą.
  • Neįprasta gramatika ar kalba. Mažiau aktualu nuo AI laikų, bet vis dar pasitaiko mažesnių žaidėjų atakose.
  • Failo priedas. Ypač .zip, .exe, .docm su makro, .iso, .lnk failai. Net .pdf gali turėti embedded macros.
  • Email per asmeninius account'us. Vadovas iš gmail.com vietoj įmonės domain'o. Tiekėjas iš outlook.com vietoj įprasto adreso.
  • Reikalauja apeiti įprastas procedūras. „Šį kartą perveskite be patvirtinimo", „naudokite šį naują rekvizitą". Tai klasikinis BEC signalas.

Praktinis patarimas darbuotojui: jei matai bent du iš šių požymių vienoje žinutėje — tikimybė, kad tai phishing, viršija 90%. Nesiunčiant per pelę su nuorodos peržiūra — sunku įvertinti net pusės požymių.

Reikia phishing simuliacijų įmonei?

Veriva diegia phishing simuliacijų programas LT įmonėms — be papildomų licencijų. Mėnesinės simuliacijos, mikromokymai darbuotojams, kvartalinės ataskaitos vadovybei. 120+ klientų, €0 incidentų.

Užsakyti baseline simuliaciją

BEC atakos — kodėl jos kainuoja brangiausia

Business Email Compromise — phishing potipis, kuris generuoja didžiausius vidutinius nuostolius vienetinės atakos atveju. Skirtingai nei masinis phishing, BEC paprastai netaikoma kenkėjiškos programos — tikslas finansinis pavedimas arba sąskaitos rekvizitų pakeitimas. Tai daro BEC sunkiau aptinkamą tradicinėmis email gateway priemonėmis.

Tipinis BEC scenarijus

Užpuolikas surenka informaciją apie įmonės organizacinę struktūrą iš LinkedIn — kas yra CEO, CFO, vyr. buhalteris. Tada siunčia email apsimesdamas vadovu: „Skubiai perveskite 240 000 EUR naujam tiekėjui pagal pridedamus rekvizitus. Esu posėdyje, atsakysiu vėliau." Email siunčiamas iš typosquat domain'o (vadovas@imones-lt.com vietoj vadovas@imones.lt) arba iš realaus, bet kompromituoto account'o.

Kodėl BEC sėkminga

Trys priežastys, kodėl BEC apeina tradicinę apsaugą:

  • Nėra kenkėjiškų komponentų. Email gateway su antimalware nebaudžia — laiškas legitimus pagal techninius požymius.
  • Pasinaudojama autoriteto principu. Buhalteris nedrįsta klausinėti vadovo, ypač jei žinutė skubi.
  • Domain spoofing arba kompromituotas account'as. Display name manipulation — gavėjas mato „Vardas Pavardė", o ne realų adresą.

LT atvejai 2024-2025

NKSC ir VDAI registravo kelias dešimtis BEC atvejų LT rinkoje 2024-2025 m. Pavyzdžiai be konkretaus pavadinimo: vidutinė LT logistikos įmonė prarado 240 000 EUR per vieną pavedimą — užpuolikas keletą savaičių stebėjo email susirašinėjimą su realiu tiekėju ir tinkamu momentu pakeitė banko rekvizitus. Vidutinė LT gamybos įmonė prarado 180 000 EUR panašiu scenarijumi. Pinigai dažniausiai per 24 val. išvedami į kelis tarptautinius account'us — atgauti praktiškai neįmanoma.

Apsauga nuo BEC

Techninių priemonių nepakanka — pagrindinis sprendimas yra procesas:

  • Dual-control transfers — kiekvienas pavedimas virš X EUR reikalauja antros patvirtinimo
  • Voice verification kanalas — bet kokie rekvizitų pakeitimai patvirtinami telefonu (NE per email atsakymą, NE per skambutį, kurį iniciavo prašytojas)
  • SPF, DKIM, DMARC — apsauga nuo domain spoofing
  • MFA visose finansų sistemose — apsauga, jei kredencialai pavogti

Phishing mokymų programa — kas veikia ir kas ne

Phishing mokymai egzistuoja LT rinkoje jau dešimtmetį, bet rezultatai labai skiriasi. Skirtumas tarp veikiančios ir formaliai egzistuojančios programos paprastai matomas trečiame mėnesyje — click rate trendas arba krenta, arba lieka stabilus. Veriva remiasi KnowBe4 Best Practices ir SANS Awareness metodologija.

Phishing click rate sumažėjimas per 12 mėnesių mokymų programos — grafikas rodo: pradinis baseline 34% click rate (mėn. 0), 22% po pirmojo ketvirčio, 12% po pusės metų, 7% po 9 mėnesių, 4% po 12 mėnesių mėnesinių phishing simuliacijų ir mikromokymų pagal KnowBe4 metodologiją
Phishing click rate sumažėjimas per 12 mėn. mokymų programos — nuo 34% iki 4%

Kas NEVEIKIA

Trys dažniausi formato variantai, kurie duoda minimalų rezultatą:

  • Vienkartinis mokymas 1× per metus. Click rate sumažėjimas 10-15%, efektas išnyksta per 3-4 mėnesius. Reikia tik atitikties dokumentui — ne realaus rizikos sumažinimo.
  • Tik el. modulis be simuliacijų. Darbuotojas išklauso 30 min. teorijos, bet niekada nepatikrina žinių realioje situacijoje. Click rate praktiškai nesikeičia.
  • „Shame and blame" kultūra. Spustelėjusieji baudžiami arba viešai įvardijami. Rezultatas — darbuotojai nustoja pranešinėti įtartinų email'ų bijodami pasekmių. Tai blogiausias įmanomas rezultatas.

Kas VEIKIA — 3 komponentai

KnowBe4 ir SANS metodologija sutinka — veikianti programa turi tris komponentus, kurie veikia kartu:

  1. Mėnesinės phishing simuliacijos. Skirtingi sudėtingumo lygiai, skirtingi šablonai (banko, vadovo, tiekėjo, IT pranešimas). Kiekvienas darbuotojas per metus gauna 12+ simuliacijų.
  2. Just-in-time mikromokymai. Spustelėjus simuliacinę nuorodą, darbuotojas iš karto patenka į 5 min. mokomąjį puslapį — kodėl tai buvo phishing, kokie buvo požymiai, kaip atpažinti kitą kartą. Mokymas momentinis, kai dėmesys aukščiausias.
  3. Kvartalinės ataskaitos vadovybei. Click rate trendas, report rate (kiek darbuotojų pranešė), paveikti padaliniai, palyginimas su sektoriaus vidurkiu. Atitinka NIS2 20 str. vadovybės priežiūros reikalavimą.
Praktiškai

Pradinė baseline simuliacija — 100% įmonių atveju click rate viršija lūkesčius. Vadovybė paprastai tikisi 10-15%, realiai būna 30-45%. Tai pats stipriausias argumentas vadovybei investuoti į programą — be skaičių iš savo pačių įmonės sunku įtikinti, kad rizika reali.

MFA ir techniniai sprendimai, kurie sumažina riziką

Mokymai sumažina darbuotojo klaidos tikimybę, bet techniniai sprendimai sumažina klaidos pasekmes. Veikianti strategija — abi pusės kartu. Pagal Microsoft Digital Defense Report 2023, MFA įjungimas sumažina account compromise riziką ~99% net jei kredencialai jau pavogti per phishing.

SPF, DKIM, DMARC — minimalus standartas

Trys email autentifikavimo įrašai, kurie apsaugo nuo domain spoofing — kai užpuolikas siunčia email, apsimesdamas tavo domain'u. Konfigūracija užtrunka 1-2 valandas, kainuoja 0 EUR, bet apsaugo tiek tavo darbuotojus, tiek partnerius. DMARC su „p=reject" politika — būtinas 2026 m. standartas.

MFA visose kritinėse sistemose

Daugiapakopis autentifikavimas privalomas: email, finansų sistemos, admin account'ai, debesijos paslaugos, VPN. NIS2 21 str. tai įvardija kaip atskirą reikalavimą. Detaliau apie NIS2 priemones — straipsnyje apie NIS2 direktyvą Lietuvoje. Įjungimas paprastai trunka kelias dienas, kainos minimalios — Microsoft 365, Google Workspace MFA įeina į standartines licencijas.

Phishing-resistant MFA — FIDO2

Ne visi MFA tipai vienodi. SMS pagrindu MFA pažeidžiama per SIM swap atakas. App-based MFA (Microsoft Authenticator, Google Authenticator) atsparesnis, bet pažeidžiamas per real-time phishing proxy (Evilginx, Modlishka). Phishing-resistant MFA — FIDO2 hardware tokens (YubiKey, SoloKey) arba passkey'ai — laikomi vieninteliu standartu, atspariu visoms žinomoms phishing technikoms 2026 m. NIST ir CISA rekomendacija nuo 2023 m.

Email gateway su URL rewriting

Microsoft Defender for Office 365, Proofpoint, Mimecast — gateway sprendimai perskenuoja visas URL'us realiu laiku spustelėjimo metu (ne tik email pristatymo metu). Tai sustabdo time-delayed phishing — kai užpuolikas pradžioje siunčia legitimią nuorodą, o vėliau pakeičia jos turinį į kenkėjišką.

Browser isolation suspect URL'ams

Aukštesnės rizikos darbuotojams (vadovybei, finansų skyriui) — browser isolation sprendimai (Cloudflare Browser Isolation, Menlo Security). Visa naršyklė veikia debesijoje, į vartotojo įrenginį siunčiamas tik vaizdo srautas. Net jei darbuotojas spustelėja phishing nuorodą, kenkėjiška programa neateina į įmonės tinklą.

Po BEC atakos, kurios metu mūsų buhalterė per phishing perpildė 30 000 EUR sukčių sąskaitai, supratome — vienkartinis IT mokymas neapsaugo. Veriva įdiegė mėnesines phishing simuliacijas ir mikromokymus. Per 8 mėnesius click rate sumažėjo nuo 41% iki 6%. Per pastaruosius 12 mėn. — nė vieno sėkmingo phishing incidento.
Vadovė, finansų paslaugų bendrovė · 2026 m. balandis
Click rate −85% · 0 incidentų

BDAR ir NIS2 reikalauja mokymų — teisinis kontekstas

Phishing mokymai nėra tik geroji praktika — tai teisinis reikalavimas pagal du paralelinius reguliavimo režimus. BDAR taikomas visoms LT įmonėms, tvarkančioms asmens duomenis. NIS2 — 18 sektorių vidutinėms ir didelėms įmonėms nuo 2025 m. spalio 17 d. Detali analizė apie sankcijas — straipsnyje apie BDAR baudas Lietuvoje.

BDAR 32 ir 39 straipsniai

BDAR 32 straipsnis reikalauja techninių ir organizacinių priemonių, atitinkančių riziką. EDPB rekomendacijos ir VDAI praktika aiškiai nustato, kad personalo mokymai patenka į organizacinių priemonių kategoriją. BDAR 39 str. nustato DPO pareigą organizuoti mokymus duomenų tvarkymo procesuose dalyvaujantiems darbuotojams. Nedokumentuoti mokymai — atskaitomybės principo (BDAR 5 str. 2 d.) pažeidimas.

NIS2 21 ir 20 straipsniai

NIS2 21 str. 2 d. (g) punktas — kibernetinė higiena ir mokymai privalomi visiems esminiams ir svarbiems subjektams. NIS2 20 str. — vadovybė privalo gauti specifinius kibernetinio saugumo mokymus, ne tik bendros instrukcijos. NKSC patikrinimo metu reikalaujama įrodymų: dalyvavimo lapai, programos turinys, dažnumas, rezultatų vertinimas. Vienkartinis mokymas „kažkada" — laikomas neatitiktimi.

VDAI praktika 2023-2025

VDAI 2023-2025 m. sprendimuose phishing incidentai dažnai vertinami pagal dvejopą skerspjūvį — ir 32 str. (priemonės), ir 33 str. (pranešimas per 72 val.). Įmonės be dokumentuotų phishing mokymų gauna padidintas baudas — VDAI laiko tai sunkinančia aplinkybe. Vidutinis bauda LT MVĮ phishing kontekste 2024 m. — 5 000-25 000 EUR.

Ką daryti toliau — konkretūs žingsniai šią savaitę

Skaitymas — tik pradžia. Phishing rizika sumažinama struktūruotu darbu, ne ketinimais. Štai penki konkretūs veiksmai, kurių galima imtis šią savaitę be didelio biudžeto:

  1. Atlikite baseline phishing simuliaciją. Be išankstinio įspėjimo. Tai realus click rate, su kuriuo dirbsite. Vidutinis 30-45% — neturėtų stebinti.
  2. Patikrinkite SPF/DKIM/DMARC įrašus. Per mxtoolbox.com — užtruks 5 min., bet apsaugos nuo domain spoofing. DMARC su „p=reject" — minimumas 2026 m.
  3. Įjunkite MFA visose el. pašto sąskaitose. Tai vienas didžiausią ROI saugumo žingsnis — sumažina kompromiso riziką ~99% net jei kredencialai jau pavogti.
  4. Sukurkite vidaus pranešimo procedūrą. Darbuotojas turi žinoti, kur pranešti įtartiną email'ą per <2 min. — paprastai dedicated email account'as arba „Phish Alert" mygtukas Outlook'e.
  5. Užsakykite struktūruotą phishing mokymų programą. Vienas mokymas per metus nepakanka — reikia mėnesinių simuliacijų ir mikromokymų. Tai vienintelis būdas pasiekti 4-5% click rate per 12 mėnesių.

Profesionali phishing simuliacijų programa apima baseline vertinimą, mėnesines kampanijas su skirtingais sudėtingumo lygiais, just-in-time mikromokymus ir kvartalines ataskaitas vadovybei. Veriva siūlo pilną IT saugumo paslaugą — phishing simuliacijos, MFA diegimas, SPF/DMARC konfigūracija, NIS2 atitiktis. Pirmoji konsultacija dažniausiai būna nemokama — galima įvertinti apimtį prieš sprendimą.

Šaltiniai: Verizon Data Breach Investigations Report 2024 · KnowBe4 Phishing by Industry Benchmark 2024 · IBM Cost of a Data Breach Report 2024 · FBI Internet Crime Report 2023 (IC3) · ENISA Threat Landscape 2024

Dažniausi klausimai apie phishing atakas ir mokymus

Phishing — socialinės inžinerijos ataka, kuomet užpuolikas siunčia suklastotą email, SMS ar pranešimą, apsimesdamas patikimu siuntėju (banku, vadovu, tiekėju). Tikslas — išgauti kredencialus, finansinius duomenis arba įdiegti kenkėjišką programą. Verizon DBIR 2024 duomenimis, 90% kibernetinio saugumo pažeidimų prasideda būtent nuo phishing. Be mokymų vidutinis click rate siekia 34% pagal KnowBe4 baseline.
KnowBe4 2024 metų ataskaita rodo: be jokių mokymų vidutinis Phish-Prone Percentage (PPP) yra 33,9% — beveik kas trečias darbuotojas spustelės phishing nuorodą per pirmąją baseline simuliaciją. Po 12 mėnesių reguliarių simuliacijų ir mikromokymų rodiklis krenta iki 4-5%. Tai reiškia 85% rizikos sumažinimą be papildomų techninių investicijų — tik per programą.
Taip. Phishing simuliacijos yra teisėta techninė ir organizacinė priemonė pagal BDAR 32 str. ir NIS2 21 str. Reikalavimai: (1) darbo sutartyje arba vidaus tvarkoje turi būti numatyta IT saugumo kontrolė, (2) duomenų tvarkymo registre įrašyta phishing simuliacijų veikla, (3) rezultatai naudojami mokymams, ne disciplinai. Veriva rekomenduoja pridėti atskirą priedą prie vidaus tvarkos taisyklių.
Vienkartinis mokymas per metus duoda tik 15% click rate sumažėjimo — efektas išnyksta per 3-4 mėnesius. Veikianti programa: bendras onboarding mokymas (30 min.), mėnesinės phishing simuliacijos su skirtingais sudėtingumo lygiais, 5 minučių mikromokymas tiems, kas spustelėja, ir kvartalinė rezultatų ataskaita vadovybei. Tai sumažina click rate nuo 34% iki 4-5% per 12 mėnesių.
Tiesiogiai phishing nepaminėtas, bet BDAR 32 str. reikalauja techninių ir organizacinių priemonių, atitinkančių riziką — tai apima personalo mokymus. BDAR 39 str. nustato DPO pareigą organizuoti mokymus. NIS2 21 str. 2 d. (g) punktas privaloma reikalavimas — kibernetinė higiena ir mokymai. VDAI praktikoje nedokumentuoti mokymai laikomi atskaitomybės principo (BDAR 5 str. 2 d.) pažeidimu.
BEC (Business Email Compromise) — tikslinė phishing ataka, kuomet užpuolikas apsimeta vadovu, CFO arba tiekėju ir reikalauja skubaus pinigų pervedimo arba sąskaitos rekvizitų pakeitimo. FBI IC3 2023 m. duomenimis, BEC sukėlė 2,9 mlrd. USD nuostolių globally — vidutinė vienkartinė ataka 137 000 USD. LT rinkoje 2025 m. registruoti atvejai: logistikos įmonė prarado 240 000 EUR, gamybos įmonė 180 000 EUR per vienetinius pervedimus.
Klasikinis phishing — masinis siuntimas tūkstančiams adresų su bendra žinute (tariamas banko email visiems klientams). Spear phishing — taikinys konkretus asmuo, žinutė individualizuota pagal OSINT (LinkedIn, įmonės puslapis, soc. tinklai). Spear phishing click rate paprastai 2-3 kartus aukštesnis. Whaling — spear phishing potipis, kuris taiko tik vadovus (CEO, CFO). 2025-2026 m. AI generated spear phishing kuriamas masiškai per LLM.
Taip. SlashNext 2024 m. ataskaita rodo +1265% phishing email kiekio padidėjimą nuo ChatGPT pasirodymo 2022 m. lapkritį. AI pašalina pagrindinį atpažinimo ženklą — gramatines klaidas. Deepfake voice cloning leidžia atlikti vishing atakas su vadovo balsu (3 sek. įrašo pakanka). Apsisaugojimas: techninės priemonės (DMARC, MFA, browser isolation) tampa svarbesnės nei tik darbuotojo budrumas.
Smulkiai įmonei (50-100 darbuotojų) metinė programa pradeda nuo 1 200-2 500 EUR — apima baseline simuliaciją, 12 mėnesinių kampanijų, mikromokymus ir kvartalines ataskaitas. Vidutinei įmonei (100-500 darbuotojų) — 4 000-9 000 EUR per metus. Platforma (KnowBe4, Hoxhunt, Cofense) papildomai 2-5 EUR per darbuotoją per mėnesį. Veriva siūlo white-label programą be papildomų licencijų.
MFA sumažina kompromiso riziką ~99% (Microsoft 2023 m. duomenys), bet ne pilnai. SMS pagrindu MFA pažeidžiama per SIM swap atakas. App-based MFA (Authenticator) — atsparesnis, bet vis dar pažeidžiamas per real-time phishing proxy (Evilginx). Phishing-resistant MFA — FIDO2 hardware tokens (YubiKey) arba passkey'ai — laikomi vieninteliu standartu, atsparūs visoms žinomoms phishing technikoms 2026 m.
5 žingsniai per pirmąsias 30 minučių: (1) atjungti įrenginį nuo tinklo, (2) pakeisti visus paveikto naudotojo slaptažodžius (ne tik tą, kuris įvestas), (3) atšaukti aktyvias sesijas (Microsoft 365, Google Workspace admin konsolėse), (4) patikrinti email forwarding rules ir OAuth aplikacijas, (5) informuoti DPO dėl galimo BDAR pranešimo per 72 val. Tada — incidento dokumentavimas pagal vidinį IRP.
Ne. „Shame and blame" kultūra žlugdo phishing programas — darbuotojai neberanešinėja įtartinų email'ų bijodami pasekmių. KnowBe4 ir SANS rekomenduoja just-in-time learning požiūrį: trumpas 5 min. mikromokymas iš karto po spustelėjimo, jokių disciplinarinių pasekmių pirmąjį kartą. Drausminės priemonės pagrįstos tik tyčinio neapdairumo atveju (pvz., MFA išjungimas po įspėjimo). Veriva taiko šį principą visose programose.

Phishing simuliacijų programa su matuojamais rezultatais

Veriva diegia mėnesines simuliacijas, mikromokymus darbuotojams ir kvartalines ataskaitas vadovybei. SPF/DMARC, MFA, NIS2 atitiktis. 120+ klientų, atsakymas per 24 val.

Aptarti simuliacijų programą