САНКТ-ПЕТЕРБУРГ, 3 августа. /ТАСС/. Исследователи Санкт-Петербургского Федерального исследовательского центра РАН (СПб ФИЦ РАН) создали прототип компьютерной игры, которая научит пользователей противостоять различным видам социоинженерных атак и повысит уровень грамотности при использовании корпоративной информации, сообщил ТАСС руководитель лаборатории теоретических и междисциплинарных проблем информатики СПб ФИЦ РАН Максим Абрамов.
Социоинженерные атаки являются одним из видов информационных атак. И если привычные атаки хакеров представляют собой проникновение в информационную систему через использование уязвимостей цифрой системы, то социоинженерные атаки выполняются через какое-либо взаимодействие хакера с пользователем, чтобы получить доступ к информационной системе своей жертвы или к хранящейся в такой системе информации (проникновение в офис или звонок по телефону).
"Сегодня во многих крупных компаниях, например в банках, проходят тренинги по защите пользователей от социоинженерных атак. Однако часто они идут в формате видео или устных лекций, где рассказывают о методах защиты. Эти мероприятия не всегда интересны, и после них сотрудники проходят тесты, которые можно списать. Поэтому у нас возникла идея создать компьютерную игру, в которой сотрудники компаний или отдельные пользователи смогут "занять место" преступника и самостоятельно провести атаку на офис компании", - сказал Абрамов.
Интерфейс игры выполнен от первого лица. По сюжету пользователь попадает в офис компании, где ему предлагается выполнить ряд квестов, чтобы получить корпоративную информацию: например, подслушать разговор коллег или проникнуть в офис начальника и попытаться найти пароли от рабочего компьютера, связаться с каким-нибудь сотрудником, прикинувшись техподдержкой и прочее. В случае успешного выполнения заданий игрок будет получать виртуальные деньги, с помощью которых может покупать полезные бонусы: например, включить в здании пожарную тревогу, чтобы вынудить сотрудников покинуть офис.
Ученые планируют на основе результатов от прохождения игры строить оценки защищенности пользователей от социоинженерных атак, чтобы у каждого пользователя был личный профиль безопасности, который в том числе учитывает его индивидуальные психологические характеристики.
По словам ученого, идея создания такой игры была вызвана возрастающим интересом крупных компаний и государственных ведомств к защите своих данных от социоинженерных атак. При необходимости сюжет игры может быть адаптирован под специфику каждой конкретной компании. В настоящее время разработчики сосредоточены на совершенствовании интерфейса, а также на внесении новых сценариев социоинженерных атак не только для крупных организаций, но и для отдельных граждан.