«Сбербанк» разработал flash-игру о фишинговых письмах для обучения сотрудников Статьи редакции

«Сбербанк» запустил для сотрудников flash-игру «Агент кибербезопасности», которая призвана научить персонал различать признаки фишинга. Об этом пишут «Ведомости» со ссылкой на руководителя службы кибербезопасности банка Сергея Лебедя. 

«Агент кибербезопасности» представляет собой «мультяшную» flash-игру, в которой необходимо хранить пароли, выявлять фишинговые письма и реагировать на них, рассказал Лебедь, выступая на IX Уральском форуме по информационной безопасности финансовой сферы. По его словам, игра сделана в «достаточно весёлой форме». 

«Возможно, мы её растянули по времени, минимум она занимает у сотрудника два часа, можно, конечно, проходить её с перерывами», — сказал Лебедь. По его словам, отзывы об игре у сотрудников положительные: «Очень долго, но большое вам спасибо, многие вещи мы не знали и впредь никогда подобных ошибок не повторим». 

Служба кибербезопасности «Сбербанка» разработала игру после того, как банк разослал сотрудникам «учебные» фишинговые письма. По словам Лебедя, в первый раз такое письмо, отправителем которого значился «Герман Оскарович Греф», открыли около 80% сотрудников. Рассылка повторялась в течение года, и при последней отправке фишинговое сообщение открыли только несколько процентов получателей, рассказал глава службы кибербезопасности. 

Лебедь также привёл статистику, согласно которой в среднем 30% пользователей в мире открывают фишинговые письма. 

0
25 комментариев
Написать комментарий...
Андрей Иванов

Открыл статью, чтобы убедиться, что первый комментарий про 2017 год и актуальность флэша. Все на месте.

Ответить
Развернуть ветку
Aleksey Bobkov

с меня стырил концепт сообщения)

Ответить
Развернуть ветку
Андрей Иванов

В суд падашь то хоть, великий концептатор?

Ответить
Развернуть ветку
Пол Финч

Ахах, бывает :smile:

Ответить
Развернуть ветку
Пол Финч

Flash в 2017, серьёзно?

Или это как категория игры?

Ответить
Развернуть ветку
Игорь Мыслинский

Прочитав эту статью, сотрудники Тинькофф-банка стали сразу и с легкой душой удалять письма, отправителем которых значился «Тиньков Олег Юрьевич».

Ответить
Развернуть ветку
Андрей Захаров

Использовать для обучения компьютерной безопасности самую дырявую технологию - в этом что-то есть ;-) Браво, Сбербанк !

Жаль мы так и не узнаем сколько миллионов (если еще не десятков) рублей было потрачено на эту PR акцию ;-)

Ответить
Развернуть ветку
May Day

Какая разница что использовать в полностью изолированном от внешней сети домене?
Это обычная геймифиакция обучения сотрудников.

Ответить
Развернуть ветку
Андрей Захаров

Флеш и безопасность - вещи несовместимые.
Я уже не говорю про то, что технология давно устарела ;-)

Ответить
Развернуть ветку
May Day

А вы что-то знаете о безопасности или так, хочется поговорить о том, в чем отсутствуют какие-либо компетенции?
Расскажите, пожалуйста, чем для сотрудников опасен флеш в корп. домене, при условии, что сервер с платформой обучения контролируется специалистами сбербанка и закрыт доступ извне?
Компроментация флеш исходника и вставка вредоносного кода с externalinterface невозможна, использование 0-day эксплоитов тоже. Да и бессмысленно это, учитывая то, что локальный админ включается только по запросу и зловред ограничен хомяком.
Средство реализации чего-либо должно выбираться исходя из потребностей, при прочих равных.
Если есть что сказать по существу, то я во внимании. Если хотите еще поиронизировать - то я вас оставлю наедине с собой, стар я для такого

Ответить
Развернуть ветку
Андрей Захаров

В паблике такие темы не обсуждаю ;-)

Ответить
Развернуть ветку
Pavel Zamyatin

Вы простите меня великодушно, но тут как никогда уместна фраза "слив засчитан".

Ответить
Развернуть ветку
Андрей Захаров

Ничего страшного, здесь же не соревнование кто кого круче, а обычный обмен мнениями. Я на 100% правоту не претендую, если что.

Ответить
Развернуть ветку
Pavel Zamyatin

Совершенно верно. Именно поэтому всегда приятно обмениваться аргументированными мнениями, а не мнениями сами по себе, кои несомненно ценны, но в контексте кто это сказал и почему. Собственно, комментарии на этом ресурсе для меня например зачастую интереснее, чем материал сам по себе.

Ответить
Развернуть ветку
Андрей Захаров

с человеком, который даже собственным именем не подписывается тем более

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Roman Maximov

Сотрудники которые не смогли запустить игру так как у них или не установлен флеш или блокируется браузером получают сразу же свидетельство об окончании курса :)

Ответить
Развернуть ветку
May Day

Игра больше для рядовых сотрудников, типа тётушки-операционисты.

Расположена в домене без доступа к интернетам.
Кстати открывать там почту вполне безопасно. Настройка политик корп.почты запрещает подмену отправителя, так что если письмо от грефа - оно от грефа.

Ответить
Развернуть ветку
Андрей Захаров

Ну, если в Сбербанке такой уровень безопасности, как вы его описываете, то... впрочем, всё закономерно. Это же Сбербанк ;-)

Ответить
Развернуть ветку
Андрей Захаров

Подход к безопасности должен быть комплексным, разве нет ? Допустим все возможные меры на этот раз приняты, всё хорошо, но в голове у сотрудников формируется представление, что флеш игры могут рассылаться и их можно запускать. В следующий раз вместо безобидной игры может быть что-то другое... Или в этом и есть смысл обучения: кто запустил флеш, тот и тест не прошел ?
Если Сбербанк себя позиционирует как технологическая компания, то имеет смысл использовать самые последние технологии, тот же HTML5, но увы. Не солидно как-то.

Ответить
Развернуть ветку
May Day

1. Где было указано, что флешка рассылалась? Я упомянул, что у сбера есть обучающая платформа. Сотрудник не знает какую технологию используют при обучении.
2. Самые последние технологии? В банке? Для рабочих мест сотрудников, коих в сбере 320тыс? Вы шутите или серьезно такое вещаете?
Для внутреннего использования есть понятие - "целевой браузер" в сбере это ie не самых ранних версий. Все внутренне ПО разрабатывается, в соответствии с этим ограничением.
Про передовые технологии - это весело, видимо вы не в курсе, что есть западные банки с бэк-ендом на COBOL.
Технологичным банк должен быть фронтом, для пользователей. Выпады по поводу использония какой-либо устаревшей технологии следует делать разбираясь в матчасти или сделав попытку подумать. Зачем эти ухмылочки и ирония? Что за мода подчеркивать собственную глупость?

Ответить
Развернуть ветку
Андрей Захаров

Да, мне тоже не понятно, что за мода подчеркивать собственную глупость ? ;-)

Ответить
Развернуть ветку
Dmitry Braverman

А можно нам сыграть?
А если отправителем будет Набиулина Эльвира Сахипзадовна, то придётся всю игру снова переделывать?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Артем Козырев

Не игра, но тоже классная фича antiphish.ru Сервис идентифицирует наиболее опасных любителей фишинговых ссылок в компании :)

Ответить
Развернуть ветку
Данил Василевский
Ответить
Развернуть ветку
Сергей Викторыч

"flash-игру о фишинговых"
"для обучения"
OMG,

Более очевидно было просто сделать ссылку с отменой премии всем кликнувшим.

Ответить
Развернуть ветку
Читать все 25 комментариев
null