Комментарии 10
Автор статьи же не думает, что Банк России будет рассылать реальное ВПО? они пришлют письмо с ссылкой, которая будет фиксировать сценарии:
а) факт прочтения письма
б) факт нажатия на ссылку
в) факт ввода данных в веб-форме.
Если создатель рассылки не дурачок - фиксировать факт ввода он будет, а сохранять данные ввода не будет.
В итоге работа подопытных нарушена быть не должна, и закон в целом не нарушен)
Вопрос лишь в том, что подобного рода фишинг (который сможет предложить банк россии) будет весьма банальным и легко распознаваемым. Есть мнение, что злоумышленники будут гораздо изобретательнее, и, соответственно, успешнее.
Если честно, уже не знаю, что думать, когда читаю " он собирается провести внезапную проверку, отправив сотрудникам банков письма с вредоносным ПО". Хочется надеяться, что речь идет о некотором недопонимании, возникшем между журналистом и безопасником.
это гуманитарии-журналисты сильно упрощают суть, не понимая, что у технарей такая формулировка вызовет больше вопросов чем понимания)
Мне скорее интересно, есть ли у Банка России свои специалисты, которые будут готовить и делать рассылку, или наймут профессионалов за денежку? Имхо - проще обязать банки проводить внутри себя социотехническое тестирование с привлечением сторонних экспертов и/или добавлять его в обязательный ежегодный пентест.
есть ли у Банка России свои специалисты
очевидно, обойдутся своими силами - задача не особо сложная
задача и правда не сложная, но а) непрофильная б) не несложном уровне рассылка будет слабая, с малым количество успешных срабатываний.
На самом деле круто будет, если рассылка будет грамотная, плюс ссылка прямо на сайт Банка России, где нужно будет скачать "инструмент для предоставления...". А потом в БР скажут, что да, это была такая проверка, потому что по сценарию учений злоумышленникам удалось внедриться в информационную систему Банка России, разместив там зловреды.
Использовать легитимные ресурсы для фишинговых проверок- суперчит, это не даст реальной картины осведомленности сотрудников.
В этом сценарии их спасет только
лень (тупо лень читать непонятные рассылки не касающиеся моей профессиональной деятельности);
глупость (ваще не понимаю, что от меня хотят, поэтому не буду ничего предпринимать).
То есть собрать статистику так конечно получится, но она буквально не будет соответствовать заявленным целям, и только еще больше запутает работников и внушит им, что "от них вообще ничего не зависит, а значит смысла учиться чему-то нет"
задача и правда не сложная, но а) непрофильная
Рассылкой будут заниматься сотрудники Positive Technologies, как и созданием ВПО
как Банк России будет выкручиваться
да никак. они рассылают своим сотрудникам (персданные которых и так уже известны) на рабочую почту в рабочее время - т.е. это вполне обычное "рабочее задание". вам что, никогда не присылали указание пройти очередной опросник, и не ставили шпионащий софт?
и непонятно, а чём новизна - много где я работала, устраивали такое - правда, я узнавала позже, само письмо летело в корзину и всё.
из личного опыта - было всё такое (разве что не маскировали под левое письмо), и даже такое: сижу в офисе работаю, никого не трогаю, тут админ подключается по тимвьюеру (или это был энидеск, не помню), врубает установку софтины, после чего отрубается - молча, без предупреждения. ахха, и как тут соглашаться с политикой "ты несёшь ответственность за всё, что творится под твоим логином" если на твоём компе настроен неконтролируемый доступ (даже не под логином этого админа, блин)?
Банк России проверит кибербезопасность по-новому