Сотрудники крупного российского банка на 35% реже попадаются на фишинг после внедрения Start AWR

В 2024 году злоумышленники украли с банковских счетов россиян 27,5 миллиардов рублей, что на 74% больше по сравнению с 2023 годом. А вот еще немного статистики из финансового сектора за 2024 год:

Человек — причина 68% инцидентов информационной безопасности в 2024 году. Злоумышленник может атаковать через опасное действие сотрудника или слабое место в коде. Чтобы предотвращать такие инциденты, сотрудникам важно уметь распознавать атаки хакеров.

Наш клиент регулярно проводит тренировки с помощью имитированных атак — так повышают осведомленность коллег в сфере кибербезопасности и обучают отражать атаки злоумышленников.

До 2022 года сервис для запуска атак был иностранным. После введения санкций и ухода международных компаний из страны, команда ИБ потеряла доступ к тренировкам и начала рассматривать отечественные варианты.

Сейчас расскажем, как российское решение Start AWR помогло компании повысить осведомленность сотрудников.

Ключевая задача, которую хотела решить компания, — найти лучшую отечественную платформу для тренировки навыков сотрудников через целевые имитированные атаки. При выборе продукта банк опирался на несколько критериев:

Количество пользователей. Лицензии должно хватать минимум на 10 000 человек.

Интеграции. Важно настроить интеграцию с внутренней системой дистанционного обучения и почтовым клиентом.

Гибкие настройки атак. Например, отправлять атаки тем, кто давно не проходил курсы или имеет доступ к особо важным клиентским данным. Кроме этого — ответы на фишинговые письма система тоже должна определять как опасные действия.

Обновляемый контент. Шаблоны атак должны постоянно обновляться, чтобы регулярно тренировать одних и тех же пользователей.

Разбор ошибок. На финальной странице атаки пользователь должен увидеть, какую ошибку он совершил, а какое действие было безопасным.

Отчеты. В сервисе должна быть форма отчетности, которая будет помогать службе безопасности контролировать уровень осведомленности персонала — а также хранить данные об уволенных сотрудниках для аудиторских отчетов.

Техподдержка. Техническая поддержка сервиса готова отвечать на вопросы и помогать настраивать оборудование и ПО.

Чтобы решить эти задачи, банк выбрал платформу Start AWR.

Такой вариант позволяет использовать курсы Start AWR для обучения сотрудников и запускать имитированные атаки. Кроме этого — можно получать до 3 дополнительных шаблонов целевых атак каждый месяц, адаптированных под компанию. Этого достаточно, чтобы регулярно тренировать новых сотрудников и тех, кто уже получал атаки до этого.

Команда Start X создавала сценарии атак для клиента с учетом различных факторов:

• особенности индустрии,
• сезонность,
• географию,
• специфику самой компании.

Банк развернул платформу Start AWR в облаке Yandex Cloud. А вот, что мы сделали со своей стороны:

1. Настроили интеграции с почтовым сервером и клиентом Outlook

Как работает плагин Start AWR в почтовом клиенте

Сотрудники могут получать атаки и оперативно сообщать о них команде безопасности. Также интеграция помогает увидеть отчеты по атакам в LMS.

2. Кастомизировали атаки и финальные страницы

Наиболее эффективными сценариями оказались — компрометация пароля и невостребованная корреспонденция.

Учебная атака по сценарию «компрометация пароля»

А уязвимы сотрудники оказались к атакам с психологическими векторами:

Еще мы кастомизировали финальные страницы каждой имитированной атаки — теперь сотрудники получают обратную связь и понимают, какие ошибки они совершили, когда открыли письмо. Это действие система теперь тоже маркирует как опасное событие.

Финальные страницы имитированных атак Start AWR

Советы о том, как распознать фишинг

3. Внедрили систему рейтингов

После атаки система оценивает, как справился каждый сотрудник, и формирует рейтинг защищенности. Результаты можно посмотреть на платформе Start AWR и в интегрированной LMS.

В статистике также можно увидеть, сколько сотрудников:

• изучили курсы Start AWR,
• получили имитированные атаки для тренировки навыков,
• прошли проверку на уязвимости в ПО после того, как попались на имитированной атаке.

Пример рейтинга защищенности в Start AWR

Оценки сотрудника остаются в системе, даже если человек уже не работает в компании — это нужно для аудиторских проверок.

В 2024 году каждый из почти 9 000 сотрудников банка получил как минимум одну учебную атаку. Вот как изменилась их реакция на фишинговые письма после обучения:

Большинство сообщений об атаках банк фиксирует через плагин Start AWR в Outlook. Интеграция упростила коммуникацию между командой безопасности и обычными сотрудниками.

С помощью статистики, которая формируется на платформе Start AWR, наш клиент непрерывно отслеживает динамику по действиям пользователей и охвату обучения, а также анализирует релевантность сценариев имитированных атак. Эту информацию команда безопасности потом использует, чтобы сформировать план следующих атак.

Платформа Start AWR помогает формировать практические навыки безопасной работы в цифровой среде через имитацию атак по электронной почте с фишинговыми сайтами, QR-кодами, всеми типами вложений, а также Wi-Fi и физическими носителями.

В Start AWR также можно использовать классические и интерактивные курсы. Это помогает настроить автоматизированное непрерывное обучение и тренировать навыки по безопасности всех сотрудников.