«Сбербанк» разработал flash-игру о фишинговых письмах для обучения сотрудников Статьи редакции
«Сбербанк» запустил для сотрудников flash-игру «Агент кибербезопасности», которая призвана научить персонал различать признаки фишинга. Об этом пишут «Ведомости» со ссылкой на руководителя службы кибербезопасности банка Сергея Лебедя.
«Агент кибербезопасности» представляет собой «мультяшную» flash-игру, в которой необходимо хранить пароли, выявлять фишинговые письма и реагировать на них, рассказал Лебедь, выступая на IX Уральском форуме по информационной безопасности финансовой сферы. По его словам, игра сделана в «достаточно весёлой форме».
«Возможно, мы её растянули по времени, минимум она занимает у сотрудника два часа, можно, конечно, проходить её с перерывами», — сказал Лебедь. По его словам, отзывы об игре у сотрудников положительные: «Очень долго, но большое вам спасибо, многие вещи мы не знали и впредь никогда подобных ошибок не повторим».
Служба кибербезопасности «Сбербанка» разработала игру после того, как банк разослал сотрудникам «учебные» фишинговые письма. По словам Лебедя, в первый раз такое письмо, отправителем которого значился «Герман Оскарович Греф», открыли около 80% сотрудников. Рассылка повторялась в течение года, и при последней отправке фишинговое сообщение открыли только несколько процентов получателей, рассказал глава службы кибербезопасности.
Лебедь также привёл статистику, согласно которой в среднем 30% пользователей в мире открывают фишинговые письма.
Открыл статью, чтобы убедиться, что первый комментарий про 2017 год и актуальность флэша. Все на месте.
с меня стырил концепт сообщения)
В суд падашь то хоть, великий концептатор?
Ахах, бывает :smile:
Flash в 2017, серьёзно?
Или это как категория игры?
Прочитав эту статью, сотрудники Тинькофф-банка стали сразу и с легкой душой удалять письма, отправителем которых значился «Тиньков Олег Юрьевич».
Использовать для обучения компьютерной безопасности самую дырявую технологию - в этом что-то есть ;-) Браво, Сбербанк !
Жаль мы так и не узнаем сколько миллионов (если еще не десятков) рублей было потрачено на эту PR акцию ;-)
Какая разница что использовать в полностью изолированном от внешней сети домене?
Это обычная геймифиакция обучения сотрудников.
Флеш и безопасность - вещи несовместимые.
Я уже не говорю про то, что технология давно устарела ;-)
А вы что-то знаете о безопасности или так, хочется поговорить о том, в чем отсутствуют какие-либо компетенции?
Расскажите, пожалуйста, чем для сотрудников опасен флеш в корп. домене, при условии, что сервер с платформой обучения контролируется специалистами сбербанка и закрыт доступ извне?
Компроментация флеш исходника и вставка вредоносного кода с externalinterface невозможна, использование 0-day эксплоитов тоже. Да и бессмысленно это, учитывая то, что локальный админ включается только по запросу и зловред ограничен хомяком.
Средство реализации чего-либо должно выбираться исходя из потребностей, при прочих равных.
Если есть что сказать по существу, то я во внимании. Если хотите еще поиронизировать - то я вас оставлю наедине с собой, стар я для такого
В паблике такие темы не обсуждаю ;-)
Вы простите меня великодушно, но тут как никогда уместна фраза "слив засчитан".
Ничего страшного, здесь же не соревнование кто кого круче, а обычный обмен мнениями. Я на 100% правоту не претендую, если что.
Совершенно верно. Именно поэтому всегда приятно обмениваться аргументированными мнениями, а не мнениями сами по себе, кои несомненно ценны, но в контексте кто это сказал и почему. Собственно, комментарии на этом ресурсе для меня например зачастую интереснее, чем материал сам по себе.
с человеком, который даже собственным именем не подписывается тем более
Комментарий удален модератором
Сотрудники которые не смогли запустить игру так как у них или не установлен флеш или блокируется браузером получают сразу же свидетельство об окончании курса :)
Игра больше для рядовых сотрудников, типа тётушки-операционисты.
Расположена в домене без доступа к интернетам.
Кстати открывать там почту вполне безопасно. Настройка политик корп.почты запрещает подмену отправителя, так что если письмо от грефа - оно от грефа.
Ну, если в Сбербанке такой уровень безопасности, как вы его описываете, то... впрочем, всё закономерно. Это же Сбербанк ;-)
Подход к безопасности должен быть комплексным, разве нет ? Допустим все возможные меры на этот раз приняты, всё хорошо, но в голове у сотрудников формируется представление, что флеш игры могут рассылаться и их можно запускать. В следующий раз вместо безобидной игры может быть что-то другое... Или в этом и есть смысл обучения: кто запустил флеш, тот и тест не прошел ?
Если Сбербанк себя позиционирует как технологическая компания, то имеет смысл использовать самые последние технологии, тот же HTML5, но увы. Не солидно как-то.
1. Где было указано, что флешка рассылалась? Я упомянул, что у сбера есть обучающая платформа. Сотрудник не знает какую технологию используют при обучении.
2. Самые последние технологии? В банке? Для рабочих мест сотрудников, коих в сбере 320тыс? Вы шутите или серьезно такое вещаете?
Для внутреннего использования есть понятие - "целевой браузер" в сбере это ie не самых ранних версий. Все внутренне ПО разрабатывается, в соответствии с этим ограничением.
Про передовые технологии - это весело, видимо вы не в курсе, что есть западные банки с бэк-ендом на COBOL.
Технологичным банк должен быть фронтом, для пользователей. Выпады по поводу использония какой-либо устаревшей технологии следует делать разбираясь в матчасти или сделав попытку подумать. Зачем эти ухмылочки и ирония? Что за мода подчеркивать собственную глупость?
Да, мне тоже не понятно, что за мода подчеркивать собственную глупость ? ;-)
А можно нам сыграть?
А если отправителем будет Набиулина Эльвира Сахипзадовна, то придётся всю игру снова переделывать?
Комментарий удален модератором
Не игра, но тоже классная фича antiphish.ru Сервис идентифицирует наиболее опасных любителей фишинговых ссылок в компании :)
"flash-игру о фишинговых"
"для обучения"
OMG,
Более очевидно было просто сделать ссылку с отменой премии всем кликнувшим.