Как снизить процент перехода сотрудников по фишинговым ссылкам с 80 до 2%?

CEO в STOPPHISH, эксперт в ИБ по направлению социальная инженерия

Отвечает за методологию пентестов по направлению социотехнического тестирования. Проводит исследования в области социальной инженерии, структурирует типы атак, обучает методам защиты от СИ.
Участник bug bounty, находил уязвимости в Google, Mail.ru, PayPal, Yandex.
Специализируется на нетехническом обходе систем защиты и нелегитимном использовании IT-инфраструктуры.
Автор блога о социальной инженерии icast.ru

Специалист по ИБ в Акронис-Инфозащита

Ведущий специалист отрасли ИБ в России. 25 лет в профессии. Эксперт по сертификации средств и СЗИ в системах сертификации ФСТЭК России, МО РФ, ФСБ. Автор и разработчик ряда антивирусных средств, средств контроля и обеспечения защищенности информации, уникальных инструментальных средств статического (SAST) и динамического (DAST) анализа ПО. Автор множества статей по тематике ИБ. Обладатель ряда отраслевых премий. Автор открытой системы поиска слабых паролей (СПСП). Автор книги «CISO_rules» (Правила ИБ`шника).
Создатель Интернет-проектов: 

• Энциклопедия ИБ Wikisec.ru
• Открытая система тестирования знаний Wiki-test.ru

Соучредитель RISC (Russian Information Security Club), руководитель ряда проектов RISC.

Сертифицированный специалист по ISO 27002:2005 (ISO 17799:2005)». Эксперт Ассоциации RISSPA. 

Выполнил более 150 проектов в области ИБ в том числе в интересах Федерального казначейства, МО РФ, Министерства промышленности и торговли, РЖД, Администрации Санкт-Петербурга и т.д. 

Два года был Председателем Правления Северо-западного отделения АРСИБ.

Почему важно уровень повышать осведомленности сотрудников?

• Человеческий фактор в ИБ
• Основной метод снижения рисков
• Социальная инженерия (СИ)
• Фишинг

Пошаговый план повышения осведомленности

• Подготовка и проведение учебных атак. Примеры писем и сценариев.
• Анализ первоначальной картины
• Подготовка графика атак на будущее, используя таблицу персонализации, генератор и классификатор СИ
• Подготовка обучающих материалов
• Предупреждение об учебных атаках
• Замер и анализ результатов
• Составление рейтинга сотрудников
• Подведение итогов и планирование (первоначальный аудит и план фишинга на год вперед)

Полезные материалы

• Рекомендации и лайфхаки (8 рекомендаций)
• Ссылки на полезные материалы (курсы, памятки, инфографика, классификатор, чек-листы)