Testy socjotechniczne — kontrolowana weryfikacja odporności ludzkiego ogniwa
Według FBI Internet Crime Report 2024 ponad 84% ataków zaczyna się od człowieka, nie od podatności technicznej. Phishing, vishing, smishing, pretexting i fizyczne próby wejścia do budynku — to właśnie te wektory odpowiadają dziś za większość naruszeń danych w firmach wszystkich sektorów. Szkolenia uświadamiające budują teorię. Testy socjotechniczne sprawdzają, jak ta teoria sprawdza się w praktyce.
Virtline przeprowadza kontrolowane, prawnie zgodne symulacje ataków socjotechnicznych — od kampanii phishingowych przez vishing i smishing, po fizyczny pretexting i USB-drop. Mierzysz realne wskaźniki: click-rate, submission rate i time-to-report. Zamiast domysłów dostajesz dowody: które działy i role są najbardziej podatne, gdzie inwestycja w szkolenia przyniesie największy zwrot. Wynik testu to materiał dowodowy dla audytorów NIS2, ISO 27001 i DORA.
Co obejmują testy socjotechniczne?
Dobieramy scenariusze do specyfiki organizacji, profilu ryzyka i sektorowych zagrożeń. Zakres obejmuje:
Phishing kampanie email — spear phishing, whaling, BEC (Business Email Compromise), symulacje dostawców.
Vishing — telefoniczne podszywanie się pod helpdesk, dostawców, instytucje regulacyjne i zarząd.
Smishing — SMS phishing z linkami do fałszywych stron lub prośbami o podanie danych uwierzytelniających.
Pretexting — osobiste interakcje z pracownikami z przygotowaną legendą (audytor zewnętrzny, technik, dostawca).
USB-drop i przedmioty pułapki — nośniki danych pozostawione w budynku w celu weryfikacji, czy pracownicy je podłączają.
OSINT — otwarte źródła — mapowanie publicznie dostępnych informacji o organizacji i pracownikach przed symulacją.
Korzyści z testów socjotechnicznych
Realne wskaźniki podatności — click-rate, submission rate, credentials harvesting — liczby, nie opinie.
Identyfikacja ról wysokiego ryzyka — wskazanie konkretnych działów i stanowisk wymagających priorytetowego szkolenia.
Materiał dowodowy dla audytów — raport gotowy do prezentacji audytorom NIS2, ISO 27001 i DORA.
Kontrolowane środowisko — symulacja przebiega bez realnego ryzyka utraty danych ani konsekwencji dla pracownika.
Budowanie kultury bezpieczeństwa — post-test debrief wzmacnia świadomość znacznie skuteczniej niż samo szkolenie e-learningowe.
Pomiar ROI z programów SAT — porównanie wyników testu przed i po wdrożeniu Security Awareness Training.
Benchmarking sektorowy — wynik organizacji na tle branży według danych Verizon DBIR i ENISA Threat Landscape.
Metodyka — jak przebiega test?
Każde zaangażowanie zaczyna się od kick-off z klientem i kończy raportem z konkretnymi rekomendacjami. Typowy cykl trwa 4–6 tygodni.
1. Recon + OSINT (1–2 tyg.) — mapujemy powierzchnię ataku: domeny, subdomeniny, wycieki danych, profile pracowników w sieciach społecznościowych i publicznie dostępne informacje organizacyjne. Wynik to lista celów i wstępna ocena podatności.
2. Projektowanie scenariuszy (1 tyg.) — tworzymy spersonalizowane scenariusze dopasowane do branży, ról i aktualnych zagrożeń (threat intelligence). Zarząd zatwierdza zakres i scenariusze przed startem kampanii.
3. Przeprowadzenie kampanii (1–2 tyg.) — uruchomienie phishing waves, vishing, smishing i opcjonalnie pretextingu fizycznego. Wszystko ślepe — pracownicy nie wiedzą, że trwa test.
4. Analiza i raport (1 tyg.) — KPI per dział i rola: click-rate, submission rate, report rate, time-to-report, repeated-clicker rate. Dowody działań, mapa podatności, rekomendacje priorytetyzowane wg ryzyka.
5. Debrief + szkolenia (opcja) — sesja z zarządem z omówieniem wyników. Dla zidentyfikowanych grup ryzyka — dedykowane szkolenia w formule warsztatowej lub e-learningowej (KnowBe4, Webroot, Misja Cyber).
Wskaźniki KPI — co mierzysz?
Raport po teście dostarcza konkretnych liczb, nie opinii. Mierzymy:
- Click-rate — odsetek pracowników, którzy kliknęli w złośliwy link. Branżowy median: 8–12% (Verizon DBIR 2024).
- Submission rate — odsetek pracowników, którzy wpisali dane uwierzytelniające na fałszywej stronie.
- Report rate — odsetek pracowników, którzy zgłosili podejrzany mail lub rozmowę do działu IT/SOC.
- Time-to-report (TTR) — czas od otrzymania phishingu do jego zgłoszenia. Kluczowy przy wymaganiach NIS2 dot. szybkości reakcji.
- Repeated-clicker rate — pracownicy, którzy kliknęli w wielu falach kampanii — priorytetowa grupa do szkolenia.
- Department-level segmentation — podział wyników per dział: finanse, HR, zarząd, IT, operacje.
Testy socjotechniczne a NIS2, ISO 27001 i DORA
Coraz więcej regulacji wprost wskazuje na konieczność testowania świadomości pracowników — nie tylko szkoleń. Przeprowadzony test socjotechniczny z raportem stanowi konkretny dowód spełnienia tych wymagań:
- NIS2 art. 21 ust. 2 lit. g — obowiązek wdrożenia polityk dotyczących bezpieczeństwa zasobów ludzkich, w tym podnoszenia świadomości i szkolenia.
- ISO/IEC 27001:2023 A.6.3 — Świadomość, edukacja i szkolenia z zakresu bezpieczeństwa informacji dla wszystkich pracowników.
- ISO/IEC 27001:2023 A.6.5, A.5.32 — Odpowiedzialność kierownictwa, testy i ćwiczenia planów ciągłości działania.
- DORA art. 13 ust. 1 — Szkolenia i ćwiczenia w zakresie cyberbezpieczeństwa dla całego personelu.
- DORA art. 16 — Programy podnoszenia świadomości i testy skuteczności.
- ENISA Threat Landscape 2024 — socjotechnika w czołówce wektorów ataków na podmioty kluczowe.
- Verizon DBIR — 74% incydentów z udziałem czynnika ludzkiego, w tym phishing i pretexting.
Dla kogo są testy socjotechniczne?
Testy mają sens wszędzie tam, gdzie pracownicy mają dostęp do danych wrażliwych lub systemów krytycznych. Najczęściej pracujemy z organizacjami z sektorów:
- Finanse i bankowość — ataki BEC i whaling dotyczą głównie działów finansowych.
- Ochrona zdrowia — dane pacjentów i systemy HIPAA/RODO jako cel ransomware i phishingu.
- Produkcja i przemysł — ataki na OT/IT boundary, podszywanie się pod dostawców.
- Sektor energetyczny — podmioty kluczowe NIS2 z obowiązkami testowania świadomości.
- Administracja publiczna — urzędy i jednostki samorządowe objęte KSC i NIS2.
- E-commerce i retail — przetwarzanie kart płatniczych, wymogi PCI DSS.
- Kancelarie prawne i radcowskie — dane klientów korporacyjnych jako cel szpiegostwa.
- Logistyka i łańcuch dostaw — fałszywe faktury i podszywanie się pod partnerów B2B.
- Edukacja wyższa — otwarte sieci, duże bazy danych osobowych studentów.
- Telekomunikacja — podmioty kluczowe z obowiązkami NIS2.
Najczęściej zadawane pytania o testy socjotechniczne
Czy testy socjotechniczne są legalne?
Tak, pod warunkiem spełnienia kilku wymogów. Niezbędna jest pisemna umowa z klientem i wyraźna zgoda zarządu na przeprowadzenie testu. Wszystkie zebrane dane (np. adresy email, dane logowania) są usuwane po zakończeniu projektu zgodnie z RODO. Testy przeprowadzamy zgodnie z metodologią PTES (Penetration Testing Execution Standard) i zasadami etycznego testowania bezpieczeństwa.
Czy pracownicy wiedzą o testach?
Standardowo nie — przeprowadzamy testy ślepe, co daje miarodajne wyniki odzwierciedlające rzeczywiste zachowania. Opcjonalnie możliwe jest poinformowanie pracowników zbiorczo po zakończeniu kampanii (bez wskazywania konkretnych osób), co samo w sobie wzmacnia świadomość. O fakcie przeprowadzania testów wie wyłącznie zarząd i wyznaczona osoba kontaktowa po stronie klienta.
Ile kosztują testy socjotechniczne?
Wycena zależy od liczby pracowników objętych kampanią, liczby scenariuszy i zakresu (tylko phishing email vs. phishing + vishing + pretexting fizyczny). Typowy zakres dla organizacji 100–500 pracowników to 8 000–25 000 PLN netto za pełny cykl z raportem. Dla mniejszych organizacji (do 100 pracowników) oferta startuje od kampanii phishingowej z raportem. Wycenę przygotowujemy bezpłatnie po krótkiej rozmowie.
Jak długo trwa cały cykl testów?
Od kick-off do dostarczenia raportu końcowego — 4–6 tygodni. OSINT i recon zajmują 1–2 tygodnie, projektowanie scenariuszy 1 tydzień, kampania 1–2 tygodnie, analiza i raport 1 tydzień. Przy prostej kampanii phishingowej bez pretextingu fizycznego cykl może zamknąć się w 3 tygodniach.
Czy testujemy zarząd i kadrę kierowniczą?
Tak, jeśli zarząd wyrazi zgodę — i zalecamy to. Zarząd jest priorytetowym celem w atakach typu whaling (wyłudzenia BEC na kwoty od dziesiątek tysięcy do milionów złotych). Wyniki testu dla kadry kierowniczej traktujemy z pełną dyskrecją — raport executive nie wskazuje imiennie osób, tylko role i działy.
Co się dzieje po teście?
Dostarczamy dwa raporty: executive summary (dla zarządu — wyniki i rekomendacje strategiczne, bez technikaliów) oraz raport techniczny (dla działu IT i CISO — pełne dane per scenariusz, per dział, per rola). Opcjonalnie organizujemy sesję debrief z zarządem i planujemy szkolenia dla zidentyfikowanych grup ryzyka — możemy je przeprowadzić samodzielnie lub zintegrować z Twoim istniejącym programem SAT (KnowBe4, Webroot, Misja Cyber).
Dlaczego warto wybrać Virtline do testów socjotechnicznych
Virtline łączy doświadczenie w testach penetracyjnych z praktyką w zakresie zgodności regulacyjnej. Nasze testy socjotechniczne są projektowane tak, żeby wyniki trafiały nie tylko do działu IT, ale dawały zarządowi argumenty do decyzji o budżecie szkoleń i inwestycjach w kulturę bezpieczeństwa.
Co dostajesz wybierając Virtline:
Audytorzy z certyfikatami CEH, OSCP i CISA — nie podwykonawcy.
Ścisła zgodność z RODO — zero retencji danych pracowników po teście.
Customowe scenariusze pisane pod Twoją organizację — nie szablony copy-paste.
Polskie scenariusze phishingowe — natywny język i kontekst kulturowy.
Integracja z istniejącym SAT — KnowBe4, Webroot, Misja Cyber.
Certyfikat ISO/IEC 27001:2023 TÜV NORD — nr AC090 121/2469/6137/2026.
Wsparcie post-test — szkolenia, aktualizacja polityk, plany ponownych testów.
130+ klientów z sektora finansowego i regulowanego w Polsce.
Skontaktuj się z nami, żeby omówić zakres testu dopasowany do Twojej organizacji, oszacować koszt i zaplanować kick-off.
Zamów testy socjotechniczne — dowiedz się, które ogniwo jest najsłabsze zanim zrobi to atakujący.
Certyfikacja ISO/IEC 27001:2023
Virtline certyfikowany przez TÜV NORD
Virtline posiada certyfikat PN-EN ISO/IEC 27001:2023-08 wydany przez TÜV NORD. Numer certyfikatu: AC090 121/2469/6137/2026, ważny do 02.2029.