СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Газинформсервис
26.06.2025
#Статьи #Dev#ИБ#ИИ

Как проводить обучение сотрудников банка основам защиты от фишинга и социальной инженерии

Как проводить обучение сотрудников банка основам защиты от фишинга и социальной инженерии

Изображение: Bernd Dittrich (unsplash)

Финансовый сектор остаётся в тройке самых атакуемых хакерами отраслей экономики. В 2024 году на него пришлось около 17% всех кибератак — более 20 000 инцидентов. Чаще всего атаковали сотрудников и контрагентов банков, чтобы получить доступ к инфраструктуре и базам данных.

Аналитики прогнозируют рост доли успешных кибератак на финансовые организации с 6% в 2024 году до 8–9% в 2025–2026 годах. Более того 75% атак уже в 2025 году, согласно исследованиям, будет с применением ИИ, к сожалению, к этой угрозе банки оказались не готовы в полной мере. На данный момент сохраняется актуальность минимизации рисков успешных атак и повышения устойчивости банков к киберугрозам за счёт комплексного подхода, частью которого является формирование киберкультуры и обучение сотрудников противодействию мошенникам.

Согласно исследованиям, по итогам 2024 года были выделены 3 основных метода атак на российские банки: социальная инженерия, распространение вредоносного программного обеспечения, эксплуатация уязвимостей в системах защиты.

Основные темы образовательных мероприятий для сотрудников банков:

  • базовые принципы защиты информации,
  • работа с конфиденциальными данными,
  • основы фишинга и социальной инженерии,
  • правила безопасной работы с электронной почтой и интернетом,
  • алгоритмы действий при обнаружении мошенничества.

Рекомендации к организации обучения:

  • интеграция с нормативными требованиями;
  • учёт специфики банковской сферы;
  • учёт уровня осведомлённости сотрудников по данной теме;
  • персонализация под разные категории сотрудников;
  • необходимость для всех сотрудников;
  • регулярная основа;
  • в основе – практико-ориентированный подход;
  • актуализация в связи с появлением новых угроз.

Основные форматы: инструкции и памятки, курсы, семинары, вебинары, тренинги, кейс-чемпионаты, обучающие игры, симуляции жизненных ситуаций (киберучения) и т. п. Дополнительно можно использовать корпоративные каналы (рассылки, чат-боты, скринсейверы) для напоминаний о правилах безопасности и разборами реальных кейсов.

Например, у Сбербанка есть обязательная для всех сотрудников flash-игра «Агент кибербезопасности» (время прохождения — около 2 часов). Предпосылкой для её создания стал тот факт, что около 80% сотрудников Сбербанка открыли поддельное письмо от «Германа Грефа».

В 2020 году Банк России провёл первый курс по кибербезопасности, а в 2023-ем — «КиберКурс» для работников и руководство служб, отвечающих за информационную безопасность и риск-менеджмент.

Интерактивные мини-курсы об информационной безопасности для сотрудников банка «Санкт-Петербург» с теорией, упражнениями, тестами. Предпосылкой для их создания стало понимание неэффективности презентации с набор правил.

Мобильное обучение для банка «Открытие» сотрудники оценили на 4,8 из 5. Формат актуальный — микрообучение.

Этапы работы в данном направлении:

  1. Определение основных угроз, с которыми сталкивается организация и оценка уровня рисков для различных категорий сотрудников;
  2. Разработка и внедрение внутренних документов, закрепляющих правила работы с информацией и порядок действий при инцидентах;
  3. Первичная диагностика для выявления уровня осведомлённости сотрудников о мошеннических действиях посредством проведения симуляции фишинговой атаки / социальной инженерии;
  4. Разработка персонализированных образовательных мероприятий и назначение их сотрудникам. Проведение обучения;
  5. Анализ результатов и формирование отчётности для руководства. Предоставление обратной связи и поддержка сотрудников по результатам обучения;
  6. Регулярное обновление контента и форматов образовательных мероприятий на соответствие актуальности.

Хочется отметить, что банки внедряют обучение кибербезопасности многопланово. Не только организуют обучение для сотрудников по противодействию мошенникам, но и реализуют совместно с вузами следующие инициативы: например, запускают магистерские программы по информационной безопасности для подготовки специалистов финансовой сферы; примером может послужить Банк России и НИУ ВШЭ и их совместная новая образовательная программа «Информационная безопасность в кредитно-финансовой сфере». Похожие решения внедряет и «Альфа-банк». А ещё банки информируют клиентов самого разного возраста через приложения, соцсети и иными способами о мошенниках и о том, как не попасться на их уловки. Для банков, где ставки особенно высоки, такой подход — не затраты, а инвестиции в репутацию и финансовую устойчивость.

Автор: Татьяна Буторина, эксперт в области ИИ компании «Газинформсервис»

Газинформсервис
Автор: Газинформсервис
«Газинформсервис» — отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны.
Комментарии: