Результаты исследования Positive Technologies

Оценка осведомленности сотрудников в вопросах ИБ

Применение, зрелость и препятствия

Взято из исследований по анализу защищенности корпоративных информационных систем, выполненных в 2018 году специалистами Positive Technologies

«Социальная инженерия — один из самых популярных и успешных способов проникновения во внутреннюю сеть компании. Поэтому в дополнение к работам по тестированию на проникновение важно проводить проверки осведомленности сотрудников в вопросах информационной безопасности. Работы выполняются по заранее согласованным сценариям, которые имитируют реальную атаку злоумышленника.

2639 электронных писем отправлено:

31% Перешли по ссылке
30% Запустили приложенный файл
14% Вступили в диалог
10% Ввели учетные данные

Проверки осуществляются путем телефонного взаимодействия и рассылки электронных писем. В телефонном разговоре предпринимаются попытки узнать у пользователей ту или иную ценную информацию. Электронные письма содержат вложенные файлы или ссылку на веб-ресурс, где требуется ввести учетные данные. В ходе проверки фиксируется реакция сотрудников: факты перехода по ссылке, ввода учетных данных или запуска вложения.

Почти треть пользователей перешла по ссылке или запустила приложенный файл, а каждый десятый сотрудник ввел свои учетные данные в фальшивую форму аутентификации. Заметная доля пользователей (14%) раскрыли конфиденциальную информацию в разговоре по телефону или вступили в переписку с условным злоумышленником, сообщив при этом дополнительные сведения о компании: имена и должности сотрудников, номера внутренних и мобильных телефонов.»

Польза: нужно следить за почтовыми рассылками и быть внимательным в сети, причем не только на работе. А CISO напоминать сотрудникам.

Кстати, Гугл сделал тест для проверки — «Можете ли вы распознать фишинговую атаку?»
https://phishingquiz.withgoogle.com/

P.S. Пора бы уже появиться сервисам, которые оценивают и повышает осведомленность персонала ИБ, например в игровой форме. Проблема есть, нужны решения — приличная идея для стартапа.

X