Именно такое количество собственных сотрудников попадается на удочку фишинга, рассказал Павел Жерелин, руководитель группы инфраструктурной безопасности, «Тинькофф», выступая на международной конференции по практической кибербезопасности OFFZONE-2022.
Эксперт поделился с аудиторией тем, как в организации была реализована собственная система проверки сотрудников на стойкость к фишинговым атакам.
По словам эксперта, важно находить собственных сотрудников, подверженных фишинговым атакам, и затем обучать их. Это необходимо делать даже не смотря на то, что в организациях есть SOC, присутствуют в большом количестве другие средства защиты. Во-первых, эти средства защиты иногда пропускают фишинг. Во-вторых, есть фишинг, ориентированный на небольшую группу людей или на конкретного человека, который работает с критичными данными.
Прежде чем создавать своё решение, в Тинькофф посмотрели, что есть на рынке и оценили плюсы и минусы таких решений.
Эксперт рассказал, как создавались шаблоны для фишинговых писем сотрудникам: «Мы придумали, что существует некая служба контроля времени, как раз в тот период, когда все ушли на «удалёнку» и написали пользователям, что есть ссылка, по которой можно пройти и посмотреть, какова твоя статистика деятельности, как ты работал за последнее время, насколько хороши твои результаты. Попались многие. Письма были таргетированы, т. е. это была не просто общая рассылка, а уникальное письмо, которое сделано для конкретного пользователя. Пройдя по ссылке, пользователь получал оповещение, что ему необходимо пройти курс обучения на внутреннем портале банка».
Одно время безопасники использовали интересный шаблон, который потом служба HR отозвала, поскольку такой фишинг негативно влиял на настроение сотрудников. В тот период, когда все ушли на «удалёнку», сотрудникам приходило письмо, что пройдя по указанной ссылке, можно получить бесплатный обед. «Люди проходили по этой ссылке, но это была всего лишь учебная фишинговая атака. И все очень расстраивались», – рассказал Павел Жерелин. Этот шаблон был самым действенным, но от него пришлось отказаться.
Исходя из опыта «Тинькофф», наиболее эффективны шаблоны, в которых идёт речь о необходимости совершить некие срочные действия. «Например, если коллега просит или требует срочно что-то сделать, ругается при этом, то это заставляет пользователей проявлять невнимательность и переходить по ссылке. Эффективно также всё, что связано с деятельностью администраторов – почта, сетевой доступ и т. д.», – объяснил эксперт.
С середины 2020 года и на данный момент более 23 тысячи сотрудников в «Тинькофф» получили как минимум по одному фишинговому письму. «Эффективность в среднем составляет 25% – это достаточно большая цифра. К сожалению, такое количество пользователей попадается на фишинг», – отметил Павел Жерелин.
Возникает вопрос – что делать с необучаемыми пользователями? В «Тинькофф» пришли к выводу, что в данном случае нужно привлекать руководство. Данный метод, по словам эксперта, является эффективным и благотворно влияет на способность сотрудников воспринимать информацию. «Это хорошо, когда не только безопасники занимаются безопасностью, но и пользователи, и руководители вовлечены в процесс», – подчеркнул он.
«Бывают пользователи вообще необучаемые и это сложный момент, – рассказал Павел Жерелин. – Теоретически мы можем этим пользователям ограничить доступ к почте. К ним будут приходить только сообщения, что пришло письмо, но человеку оно будет доступно только после того, как сотрудник безопасности или поддержки оценит его. Однако это сложная история, потому что перегружает поддержку, создает сложности самому пользователю. Кроме того, если у такого сотрудника много писем, то его работа просто остановится. Радует, что на данном этапе мы пока не встречали таких абсолютно необучаемых коллег в нашей организации».
.png)