Человеческий фактор: как компании переосмысливают Security Awareness
Компании непрерывно усиливают технический контур защиты — внедряют многоуровневые системы мониторинга, автоматизируют реагирование на инциденты, учатся быстрее выявлять атаки. Однако статистика нарушений безопасности остается стабильной: фишинг, компрометация учетных данных, утечки через сотрудников и ошибки при работе с информацией по-прежнему входят в число основных причин инцидентов.
Cyber Media разбирает, как сегодня трансформируется Security Awareness, почему обучение сотрудников перестает быть формальностью, как компании переосмысливают работу с человеческим фактором, какие форматы действительно меняют поведение и почему без системного подхода даже зрелая ИБ-функция остается уязвимой.
Содержание:
- Обучение сотрудников — часть системы защиты
- Почему компании инвестируют в обучение
- Какие форматы обучения действительно работают
- О кибербезопасности с нетехническими сотрудниками
- Как измерить эффективность
- Барьеры внедрения
- Будущее Security Awareness
- Итог
Обучение сотрудников — часть системы защиты
На протяжении многих лет Security Awareness в компаниях воспринимался как вспомогательная активность. Обучение сводилось к обязательному курсу, разовому тестированию и формальному подтверждению того, что сотрудники «ознакомлены с правилами». Однако распространение удаленной работы, активное использование облачных сервисов и мессенджеров расширили поверхность атаки до масштабов, которые невозможно закрыть исключительно регламентами. В этой логике Security Awareness перестает быть образовательным мероприятием и уже рассматривается как элемент операционной модели безопасности — наряду с техническими средствами защиты и процессами реагирования.
Павел Анников
Руководитель Академии кибербезопасности Swordfish Security
Атаки на инфраструктуру компаний, как правило, происходят через людей, которые не являются специалистами по кибербезопасности. Большой пласт работы лежит именно на разработчиках, потому что если они не будут делать изначально безопасные продукты, ИБ отдел просто не справится и будет перегружен.
Часто самое сложное – это привить принципы кибербезопасности разработчикам, которые и оставляют в коде основные уязвимости.
Ключевой сдвиг заключается в переходе от передачи знаний к формированию устойчивых поведенческих привычек. Компании оценивают не то, что сотрудник знает, а то, как он действует в реальных рабочих ситуациях — под давлением времени, в условиях неопределенности и при высокой нагрузке. Такой подход требует системности и долгосрочного планирования: разовые активности здесь попросту не работают.
Андрей Вонгай
Ведущий пресейл, инженер 2 категории Cloud Networks
Повышению усваиваемости материала для сотрудников способствует контекстно-ориентированный подход. Обучение должно базироваться на реальных примерах угроз и атаках конкретных подразделений, без использования технического жаргона. Повествовательный подход, при котором сотрудники участвуют в сценариях расследования, создает эмоциональную вовлеченность. Интерактивные элементы также помогают трансформировать такое обучение в опыт, который запоминается сотрудникам, например: квизы, симуляции реальных фишинговых атак, соревнования внутри организации с системой баллов по структурным подразделениям, на основе которой также можно внедрить KPI как инструмент мотивации.
Почему компании инвестируют в обучение
Развитый ИБ-отдел создает ощущение контролируемости рисков, однако на практике именно человеческий фактор остается зоной наибольшей неопределенности. Специалисты по безопасности проектируют архитектуру, настраивают средства защиты и реагируют на инциденты, но не принимают повседневные решения за сотрудников. Открыть письмо, перейти по ссылке, переслать файл, воспользоваться внешним сервисом или передать данные контрагенту — все эти действия происходят вне прямого контроля ИБ. Именно в этих точках чаще всего и возникают критические ошибки, которые затем масштабируются на всю инфраструктуру.
Дмитрий Михеев
Технический директор «АйТи Бастион»
Уровень ИБ во многом зависит от среднего понимания проблематики в компании, ведь безопасность — это, прежде всего, люди. Чаще всего, нет задачи сделать всех сотрудников ИБ-специалистами — нужно научиться не делать очевидно опасных действий. Среди них и неправильное обращение с паролями, и фишинг, и другие специфичные для конкретного бизнеса вещи. Обучение сотрудников в терминах Security Awareness точно дешевле, чем регулярное увеличение количества ИБ-специалистов и средств. Устойчивость системы безопасности зависит от самых слабых звеньев: если не развивать средний уровень осознанности сотрудников, любые вложения в ИБ никогда не будут эффективны в полную меру.
С экономической точки зрения обучение сотрудников рассматривается не как дополнительная статья расходов, а как инструмент управления издержками и рисками. Инциденты, вызванные человеческим фактором, редко ограничиваются единичной ошибкой: как правило, они выявляются с задержкой, успевают затронуть сразу несколько систем и бизнес-процессов и требуют комплексного реагирования.
В результате компании сталкиваются не только с прямыми затратами на устранение последствий, но и с косвенными потерями — простоем сервисов, снижением доверия клиентов, репутационным ущербом и дополнительной нагрузкой на ИБ- и ИТ-команды. В этом контексте инвестиции в Security Awareness позволяют снизить не только вероятность подобных сценариев, но и масштаб ущерба, превращая обучение из затратной активности в элемент экономической устойчивости бизнеса.
Алексей Кубарев
Директор по информационной безопасности Т1 Облако и Т1 Интеграция
По разным данным, от 70 до 95 % успешных компьютерных атак эксплуатируют главную уязвимость любой информационной системы – человеческий фактор ее пользователей. Пользователь системы может злоумышленно, по незнанию или будучи введенным в заблуждение осуществить действия, которые запустят цепочку событий, приводящую к компьютерному инциденту. Полная автоматическая защита от всех возможностей атак систем через их пользователей организационно, технически и процессно очень сложна, она значительно дороже потенциального ущерба.
Какие форматы обучения действительно работают
Подходы к Security Awareness эволюционируют. Универсальные курсы уступили место гибким программам, адаптированным под конкретные роли и сценарии. Длинные лекции и теоретические курсы редко приводят к изменению поведения. Гораздо больший эффект дают практические форматы, которые позволяют сотрудникам безопасно столкнуться с угрозой и увидеть последствия собственных решений.
Павел Анников
Руководитель Академии кибербезопасности Swordfish Security
Эффективнее всего работают прикладные, короткие форматы с понятной связью с их ежедневными задачами. Мы используем micro-learning — короткие блоки по 10–15 минут с ключевыми знаниями и небольшими практическими заданиями. Такой формат поддерживает мотивацию, создаёт ощущение прогресса и позволяет учиться без выпадения из рабочего контекста.
Отдельное значение в современных программах Security Awareness приобретают микроформаты и обучение «в моменте». Речь идет о коротких, контекстных подсказках и напоминаниях, встроенных прямо в рабочие системы — почтовые клиенты, корпоративные порталы, CRM или сервисы обмена файлами. Такие элементы помогают сотрудникам принимать более безопасные решения именно тогда, когда риск возникает, не требуя отрыва от основной деятельности и не перегружая дополнительной теорией.
Александр Блезнеков
Руководитель ИБ-направления Телеком биржи
Микрообучение и контекстное обучение вместо длинных лекций. Лучше снимать короткие ролики или проводить короткие тренировки каждую неделю, чем отправлять весь отдел на курсы раз в год. Хорошая практика — вставлять ИБ-подсказки в рабочий интерфейс. Также отлично работает система бонусов: значки и награды для «отличников» в кибербезопасности.
О кибербезопасности с нетехническими сотрудниками
Одной из ключевых причин сопротивления обучению остается язык коммуникации. Технические термины, абстрактные угрозы и формальные инструкции редко находят отклик у сотрудников, не связанных с ИБ напрямую. Эффективные программы переводят угрозы на язык повседневных ситуаций: личная почта, мессенджеры, банковские приложения, данные семьи. Такой подход помогает снять барьер и делает обучение осмысленным.
Анатолий Волков
Основатель компании Soltecs, эксперт в области ИТ и кибербезопасности
Нужно переводить сложные понятия на язык привычных жизненных ситуаций и показывать прямую связь с их повседневной работой. Когда человек понимает, что речь идет о данных, доступах и репутации компании — интерес появляется автоматически.
Дополнительную роль играет сторителлинг. Реальные истории инцидентов воспринимаются значительно сильнее абстрактных сценариев.
Марина Копрусова
Директор по цифровой гигиене «Ростелекома»
Хорошо работают и реальные истории — описания случаев бытового кибермошенничества, снабжены рекомендациями, как защитить не только себя, но и членов семьи. К сожалению, но факт: повышению вовлеченности часто способствует даже такой инструмент, как запрос от ИБ-подразделения на объяснительную записку по итогам расследования инцидента.
Как измерить эффективность
Оценка эффективности остается одной из самых сложных задач. Формальные показатели охвата дают лишь поверхностное представление о процессе, но не отвечают на вопрос, изменилось ли поведение сотрудников. Поэтому компании все чаще используют поведенческие метрики и анализируют их в динамике, сопоставляя с количеством инцидентов и затратами на реагирование.
Алексей Кубарев
Директор по информационной безопасности Т1 Облако и Т1 Интеграция
Наиболее показательной является совокупность следующих метрик: Phish Click Rate (доля кликов по фишингу) – сколько сотрудников «попались» на симуляцию, перейдя по ссылки в фишинговом письме; Credential Submission Rate (ввод логинов/паролей) – сколько сотрудников ввели свои данные на симулированном фишинговом ресурсе; Reporting Rate (процент сообщений о фишинге) – сколько сотрудников сообщили функции ИБ о симулированном фишинговом письме, то есть осознанно и ответственно выполнили регламент ИБ.
Универсальных метрик, вероятно, не существует: в каждой компании работают свои — в зависимости от масштаба, отрасли, зрелости ИБ-функции, позиции топ-менеджмента, бизнес-процессов и других факторов.
Барьеры внедрения
На практике ключевые сложности внедрения Security Awareness лежат не в методологии, а в организационной культуре. Формальное отношение, перегруженность сотрудников и отсутствие поддержки со стороны руководства снижают эффект даже самых продуманных программ. Если обучение воспринимается как навязанная обязанность, сотрудники начинают формально «проходить курсы», не меняя реального поведения.
Анатолий Волков
Основатель компании Soltecs, эксперт в области ИТ и кибербезопасности
Главный барьер — сопротивление сотрудников, которые воспринимают обучение как “лишнюю нагрузку”. Эту проблему решает грамотная подача, вовлечение руководителей и интеграция обучения в рабочий процесс.
Не менее важным фактором эффективности программ Security Awareness остается вопрос доверия между сотрудниками и ИБ-функцией. Когда культура безопасности строится на страхе наказания за ошибку, люди склонны скрывать инциденты или откладывать сообщение о проблеме. В результате угрозы обнаруживаются позже, успевают затронуть больше систем и приводят к существенно большему ущербу, чем могли бы при своевременном реагировании.
Алексей Кубарев
Директор по информационной безопасности Т1 Облако и Т1 Интеграция
Здесь важно развить позиционирование функции ИБ не как репрессивного института, а как дружественного всем подразделения, которое заботится о безопасности компании и каждого ее сотрудника в частности.
Будущее Security Awareness
Security Awareness продолжает эволюцию от обучающей функции к управлению поведенческими рисками. Компании все чаще рассматривают его как непрерывный процесс, встроенный в ежедневную работу сотрудников. Рост ИИ-фишинга и персонализированных атак делает статичные курсы неэффективными. Обучение должно адаптироваться под контекст, роль сотрудника и типовые сценарии.
Алексей Кубарев
Директор по информационной безопасности Т1 Облако и Т1 Интеграция
В ближайшие годы повышение киберграмотности сотрудников станет постоянной практикой, а не разовым обучением. Сейчас многие говорят о вплетении киберграмотности, кибергигиены и ИБ-осознанности в «корпоративную ДНК». Программы Security Awareness станут более проработанными, персонализированными и адаптированными под должность, опыт и уровень рисков конкретного сотрудника.
Использование ИИ позволяет не просто фиксировать ошибки сотрудников или анализировать инциденты задним числом, а активно поддерживать их в процессе работы и принятия решений. С его помощью можно выявлять моменты, когда человек потенциально рискует безопасностью, и предоставлять подсказки или рекомендации прямо в рабочем процессе, делая обучение непрерывным и встроенным в повседневные задачи. Такой подход помогает формировать у персонала устойчивые навыки кибергигиены, повышает осознанность угроз и снижает вероятность успешных атак еще до того, как они произойдут. Обучение перестает быть абстрактным — оно становится практичным инструментом защиты и постоянной поддержки сотрудников.
Андрей Вонгай
Ведущий пресейл, инженер 2 категории Cloud Networks
Определяющей тенденцией развития этого класса решения становится персонализация через искусственный интеллект программ обучения и адаптивное обучение в режиме реального времени. Чаще в подобных продуктах встречаются системы на базе ИИ, которые, например, анализируют индивидуальные паттерны поведения и автоматически подбирают контент, соответствующий уровню знаний каждого работника. Возрастает значимость обучения распознаванию более сложных угроз – дипфейков и персонализированного фишинга с использованием больших языковых моделей, который становится всё более доступным для злоумышленников.
Итог
Security Awareness окончательно выходит за рамки формального обучения и превращается в один из ключевых элементов стратегии устойчивости бизнеса. В условиях, когда технические меры защиты достигают высокого уровня зрелости, именно поведение сотрудников определяет, перерастет ли инцидент в масштабный кризис или будет локализован на ранней стадии. Работа с человеческим фактором перестает быть второстепенной задачей и становится частью операционной модели кибербезопасности — наравне с технологиями, процессами и реагированием.
Теги:
похожие материалы
AI Security в 2026 году: как защищать модели, данные и инфраструктуру ИИ
ИИ стал критически важной частью бизнес-процессов — от автоматизации операций до принятия решений в реальном времени.
Налог на безопасность: как внутренние регламенты «доедают» оптимизированный ИБ-бюджет
При обсуждении ИБ-бюджетов почти всегда сходятся на двух переменных: инструменты и люди.
Безопасность криптовалют 2026: почему она остается уязвимой
Криптовалюты на наших глазах из нишевого цифрового актива превратились в полноценный элемент глобальной финансовой инфраструктуры.
Disaster Recovery 2026: как компании восстанавливаются после катастроф и предотвращают простои
Катастрофы в ИТ не ограничиваются отказом одного сервера или ошибкой администратора.
Ransomware: что это такое и как защититься в 2026 году
Ransomware (шифровальщики) остаются одной из наиболее разрушительных киберугроз для организаций любого масштаба.
Тестовые среды под ударом: почему компании массово переходят на обезличивание данных
В последнее время наблюдается резкий рост утечек персональных данных.
Маскирование данных – импровизация или стратегия?
Защита данных сегодня стала одной из ключевых забот бизнеса.
5G Security: новые угрозы мобильных сетей и способы защиты
Развертывание сетей пятого поколения кардинально изменило телекоммуникационный ландшафт.
Business Continuity: как обеспечить непрерывность бизнеса в эпоху киберугроз
Современный бизнес функционирует в условиях постоянно растущих киберрисков.
Вредный миф о безопасном Wi-Fi: как злоумышленники обходят стандартную защиту и проникают в корпоративную сеть
Когда речь заходит о кибербезопасности, большинство ИТ-специалистов представляет себе многоуровневую защиту периметра, firewall и системы обнаружения вторжений.