Το παρακάτω σενάριο είναι ανώνυμο και βασίζεται σε ελεγχόμενη, εξουσιοδοτημένη αξιολόγηση ασφαλείας. Δεν περιλαμβάνει πραγματικά στοιχεία πελάτη, πραγματικές διευθύνσεις, domains, credentials ή ευαίσθητες τεχνικές λεπτομέρειες — μόνο μοτίβα έκθεσης που συναντά συχνά η Audax σε έργα υπό NDA.

Η συντριπτική πλειονότητα των πραγματικών επιθέσεων ξεκινά με τον ανθρώπινο παράγοντα: ένα πειστικό email, ένα τηλεφώνημα, ένα αίτημα που μοιάζει νόμιμο. Οι οργανισμοί επενδύουν σε security awareness training, αλλά η εκπαίδευση συχνά μετριέται με λάθος δείκτες — ποσοστά ολοκλήρωσης μαθημάτων και πιστοποιητικά — που δεν λένε τίποτα για το πώς θα αντιδράσει ένας εργαζόμενος μπροστά σε μια ρεαλιστική, στοχευμένη προσπάθεια εξαπάτησης.

Το ζητούμενο δεν είναι «πόσοι ολοκλήρωσαν το μάθημα», αλλά: «όταν φτάσει μια ρεαλιστική προσπάθεια social engineering, πόσοι θα την αναγνωρίσουν, πόσοι θα την αναφέρουν, και πόσο γρήγορα;». Εξίσου σημαντικό είναι αν η αναφορά ενός εργαζομένου φτάνει πραγματικά στο SOC και πυροδοτεί απόκριση — ο άνθρωπος είναι συχνά ο πρώτος αισθητήρας ανίχνευσης.

Η μετρήσιμη επικύρωση ανθρώπινου παράγοντα δεν αποδεικνύεται από τα στατιστικά της πλατφόρμας εκπαίδευσης. Αποδεικνύεται όταν εκτελεστούν ελεγχόμενες, εξουσιοδοτημένες και δεοντολογικές προσομοιώσεις social engineering και μετρηθεί η πραγματική συμπεριφορά. Η Audax, με υποστήριξη του Erevos AI, μετατρέπει τον ανθρώπινο παράγοντα από αόριστο σε μετρήσιμο.

Το επιχειρησιακό πρόβλημα

Ο ανθρώπινος παράγοντας είναι το πιο συχνό σημείο εισόδου, αλλά το πιο σπάνια μετρημένο σωστά.

  • Λάθος δείκτες: ποσοστά ολοκλήρωσης μαθημάτων αντί για πραγματική συμπεριφορά υπό πίεση.
  • Χαμηλό reporting rate: οι εργαζόμενοι μπορεί να μην πέφτουν θύματα, αλλά ούτε να αναφέρουν.
  • Στοχευμένες επιθέσεις: spear-phishing και pretexting που η γενική εκπαίδευση δεν καλύπτει.
  • Κενό άνθρωπος→SOC: η αναφορά εργαζομένου που δεν φτάνει ή δεν δρομολογείται σε απόκριση.

Η ουσία: χωρίς μετρήσιμη επικύρωση, δεν γνωρίζετε αν η εκπαίδευση μειώνει πραγματικά το ρίσκο ή απλώς ικανοποιεί μια απαίτηση συμμόρφωσης.

Το σενάριο που πρέπει να ελεγχθεί

Το ερώτημα δεν είναι «κάνουμε awareness training;» αλλά: «όταν φτάσει μια ρεαλιστική προσπάθεια εξαπάτησης, οι άνθρωποί μας θα την αναγνωρίσουν και θα την αναφέρουν εγκαίρως — και θα δράσει το SOC;»

Σε υψηλό επίπεδο, η ελεγχόμενη, εξουσιοδοτημένη και δεοντολογική αξιολόγηση εκτελεί ρεαλιστικές προσομοιώσεις social engineering (π.χ. στοχευμένα μηνύματα ή pretext σενάρια) εντός αυστηρών ορίων. Μετράει το ποσοστό αναγνώρισης, το ποσοστό και την ταχύτητα αναφοράς, και αν η αναφορά οδηγεί σε απόκριση από το SOC. Δεν γίνεται καμία ενέργεια που να βλάπτει ή να εκθέτει προσωπικά τους εργαζομένους· τα αποτελέσματα είναι συγκεντρωτικά και μη τιμωρητικά.

Ανωνυμοποιημένο attack path από στοχευμένο social engineering προς πρόσβαση και έγκαιρη ή καθυστερημένη αναφορά
Ανωνυμοποιημένο attack path του σεναρίου, όπως αποτυπώνεται από το Erevos AI.
Τακτική (Tactic) ATT&CK ID Τεχνική Τι σημαίνει στο σενάριο
Reconnaissance T1598 Phishing for Information Συλλογή πληροφορίας για ρεαλιστικό pretext (synthetic).
Initial Access T1566 Phishing Ελεγχόμενο στοχευμένο μήνυμα.
Initial Access T1566.004 Spearphishing Voice Ελεγχόμενο pretext σενάριο (vishing).
Execution T1204 User Execution Μέτρηση απόκρισης χρήστη (χωρίς πραγματικό payload).
Collection T1056 Input Capture Αξιολόγηση reporting αντί για συλλογή δεδομένων.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι επικυρώνει το Erevos AI

Η πλατφόρμα Erevos AI μετράει τον ανθρώπινο παράγοντα ως μετρήσιμο επίπεδο άμυνας. Επικυρώνει:

  • Recognition rate — πόσοι αναγνωρίζουν τη ρεαλιστική προσπάθεια.
  • Reporting rate & ταχύτητα — πόσοι αναφέρουν και πόσο γρήγορα.
  • Διαδρομή άνθρωπος→SOC — αν η αναφορά οδηγεί σε απόκριση.
  • Ευπάθεια ανά τμήμα/ρόλο (π.χ. οικονομικό, εξυπηρέτηση) χωρίς ατομική στοχοποίηση.
  • Επιχειρησιακή επίπτωση & προτεραιότητα βελτίωσης ανά κενό.

Έτσι ο οργανισμός βλέπει αν η εκπαίδευση αλλάζει πραγματικά τη συμπεριφορά — και πού η επόμενη επένδυση σε awareness αποδίδει περισσότερο.

Συνθετικό dashboard Erevos AI με δείκτες ανθρώπινου παράγοντα, ποσοστού αναφοράς και απόκρισης σε social engineering
Ενδεικτικό, συνθετικό dashboard του Erevos AI με τους δείκτες έκθεσης.
Δείκτης (Erevos AI) Τιμή Σοβαρότητα Τι σημαίνει για τη διοίκηση
Recognition Rate 68% Μέτρια Στοχευμένες προσπάθειες δυσκολότερα αναγνωρίσιμες.
Reporting Rate 22% Υψηλή Χαμηλή αναφορά ακόμη κι όταν αναγνωρίζεται.
Report-to-SOC Ασαφές Υψηλή Αναφορές που δεν δρομολογούνται σε απόκριση.
High-risk Roles Ναι Υψηλή Συγκεκριμένοι ρόλοι με μεγαλύτερη έκθεση.
Remediation Priority P1 Υψηλή Στοχευμένη εκπαίδευση & εύκολο reporting.
Ενδεικτικό risk scoring — συνθετικές, ανωνυμοποιημένες τιμές για επεξήγηση.

Πώς εκτελείται η αξιολόγηση από την Audax

Η Audax εκτελεί την αξιολόγηση με δομημένη, εξουσιοδοτημένη και δεοντολογική μεθοδολογία:

  1. Scoping & authorization: ορισμός σεναρίων, ορίων δεοντολογίας και πλαισίου μη-τιμωρητικότητας, με γραπτή εξουσιοδότηση.
  2. Discovery: καταγραφή της υφιστάμενης εκπαίδευσης, καναλιών αναφοράς και σύνδεσης με το SOC.
  3. Validation: ρεαλιστικές προσομοιώσεις ως μέρος red team & social engineering και adversary validation.
  4. Measurement: μέτρηση recognition/reporting rate, ταχύτητας και διαδρομής προς το SOC.
  5. Risk scoring & evidence: συγκεντρωτική βαθμολόγηση και αποδείξεις μέσω Erevos AI.
  6. Executive reporting & roadmap: αναφορά διοίκησης και πλάνο βελτίωσης (στοχευμένη εκπαίδευση, εύκολο reporting, σύνδεση με SOC).
  7. Retesting: επανέλεγχος για επιβεβαίωση βελτίωσης συμπεριφοράς.

Η λογική εντάσσεται στο Continuous Exposure Management: η ανθεκτικότητα του ανθρώπινου παράγοντα φθίνει χωρίς συνεχή, ρεαλιστική επικύρωση.

Τι αποδείξεις λαμβάνει ο οργανισμός

Ο οργανισμός λαμβάνει μετρήσιμες, συγκεντρωτικές αποδείξεις για το πώς αντιδρά πραγματικά ο ανθρώπινος παράγοντας — χωρίς ατομική στοχοποίηση εργαζομένων.

Παραδοτέο Περιεχόμενο Παραλήπτης
Επικυρωμένα ευρήματα Recognition/reporting rate & ταχύτητα (συγκεντρωτικά) HR / Security awareness
Χάρτης διαδρομής Από προσπάθεια σε αναφορά & απόκριση SOC CISO / SOC
Risk scoring Βαθμολόγηση ανά τμήμα/ρόλο Διοίκηση
MITRE ATT&CK mapping Αντιστοίχιση τεχνικών social engineering SOC / Security
Executive summary Μη-τεχνική σύνοψη ανθεκτικότητας ανθρώπινου παράγοντα CEO / Board
Remediation roadmap Στοχευμένη εκπαίδευση, reporting, SOC σύνδεση, retest HR / Security

Γιατί έχει αξία για NIS2, DORA ή executive cyber risk

Η εκπαίδευση και ευαισθητοποίηση του προσωπικού αναφέρεται ρητά στα μέτρα διαχείρισης κινδύνου της NIS2, ενώ η DORA δίνει έμφαση στην ετοιμότητα απέναντι σε σενάρια που ξεκινούν από τον ανθρώπινο παράγοντα. Η τεκμηριωμένη, μετρήσιμη επικύρωση μετατρέπει την εκπαίδευση από τυπική υποχρέωση σε αποδεδειγμένη μείωση ρίσκου.

Σε επίπεδο executive cyber risk, η αξία είναι η μετάφραση: από «το 95% ολοκλήρωσε το μάθημα» σε «μόνο το 22% ανέφερε μια ρεαλιστική προσπάθεια — εδώ επενδύουμε σε εύκολο reporting και στοχευμένη εκπαίδευση». Έτσι ο ανθρώπινος παράγοντας γίνεται διαχειρίσιμος κίνδυνος, όχι ευχή.

Ενδεικτικά ανώνυμα αποτελέσματα

Σε ένα ανώνυμο σενάριο αξιολόγησης, ένας οργανισμός μπορεί να ανακαλύψει ότι, παρότι το ποσοστό ολοκλήρωσης της εκπαίδευσης ήταν πολύ υψηλό, μόνο ένα μικρό ποσοστό εργαζομένων ανέφερε μια ρεαλιστική στοχευμένη προσπάθεια — και ότι οι ελάχιστες αναφορές που έγιναν δεν δρομολογήθηκαν ποτέ σε απόκριση από το SOC.

Μετά από στοχευμένη εκπαίδευση στους ρόλους υψηλού κινδύνου, την απλοποίηση του καναλιού αναφοράς (π.χ. ένα κουμπί «Report») και τη σύνδεσή του με το SOC, ο επανέλεγχος μπορεί να δείξει σημαντική αύξηση του reporting rate και ταχύτερη απόκριση — μια μετρήσιμη βελτίωση ανθεκτικότητας, όχι μια υπόσχεση.

Πότε πρέπει να εφαρμοστεί αυτό το use case

Το συγκεκριμένο use case έχει τη μεγαλύτερη αξία:

  • Μετά από πρόγραμμα awareness training, για να μετρηθεί η πραγματική του επίδραση.
  • Μετά από περιστατικό που ξεκίνησε από phishing ή social engineering.
  • Πριν από έλεγχο NIS2 για εκπαίδευση & ευαισθητοποίηση.
  • Σε οργανισμούς με ρόλους υψηλού κινδύνου (οικονομικό, εξυπηρέτηση, διοίκηση).
  • Περιοδικά, ως μετρήσιμη επικύρωση του ανθρώπινου παράγοντα.

Συμπέρασμα

Ένα πιστοποιητικό ολοκλήρωσης μαθήματος δεν σταματά μια επίθεση· η συμπεριφορά υπό πίεση το κάνει. Ο ανθρώπινος παράγοντας είναι ταυτόχρονα το πιο συχνό σημείο εισόδου και ο πρώτος αισθητήρας ανίχνευσης. Το CTEM και η συνεχής, δεοντολογική επικύρωση με Erevos AI μετατρέπουν την awareness από τυπικότητα σε μετρήσιμη, βελτιώσιμη ικανότητα. Η Audax Cybersecurity μπορεί να εκτελέσει αυτή την επικύρωση ελεγχόμενα και με σεβασμό στους ανθρώπους σας.

Συχνές ερωτήσεις

Θα στοχοποιήσετε ή θα τιμωρήσετε εργαζομένους;

Όχι. Η προσέγγιση είναι αυστηρά δεοντολογική και μη τιμωρητική. Τα αποτελέσματα παρουσιάζονται συγκεντρωτικά ανά τμήμα/ρόλο, με στόχο τη βελτίωση της συμπεριφοράς, όχι τον στιγματισμό ατόμων.

Σε τι διαφέρει από το phishing testing που ίσως κάνουμε ήδη;

Δεν μετράμε μόνο «ποιος έκανε κλικ». Μετράμε αν αναγνωρίζεται η προσπάθεια, αν και πόσο γρήγορα αναφέρεται, και κυρίως αν η αναφορά φτάνει στο SOC και πυροδοτεί απόκριση — τον άνθρωπο ως αισθητήρα ανίχνευσης.

Καλύπτετε και τηλεφωνικά/pretext σενάρια;

Ναι, εφόσον περιλαμβάνονται στο εξουσιοδοτημένο scope. Πέρα από email, αξιολογούμε ρεαλιστικά pretext και φωνητικά σενάρια, πάντα εντός αυστηρών δεοντολογικών ορίων.

Δημιουργεί νομικό ή ηθικό ρίσκο;

Εκτελείται με γραπτή εξουσιοδότηση, σαφή όρια, σεβασμό στα προσωπικά δεδομένα και μη-τιμωρητικό πλαίσιο. Δεν εκθέτουμε προσωπικά τους εργαζομένους και δεν εκτελούμε ενέργειες που τους βλάπτουν.

Δείτε αν αυτό το σενάριο ισχύει στο δικό σας περιβάλλον

Θέλετε να μάθετε αν το συγκεκριμένο σενάριο μπορεί να συμβεί και στον δικό σας οργανισμό; Η Audax Cybersecurity εκτελεί ελεγχόμενη αξιολόγηση CTEM, Adversary Validation και Attack Path Validation με τεχνικές αποδείξεις, επιχειρησιακή ανάλυση ρίσκου και σαφές remediation roadmap — με υποστήριξη της πλατφόρμας Erevos AI για συνεχή επικύρωση έκθεσης.

Ζητήστε στοχευμένη αξιολόγηση CTEM →