Обучение по защите КИИ: как подготовить персонал к реальным угрозам, а не просто «закрыть требование»

05.08.2025

Обучение по защите критической информационной инфраструктуры в России иногда воспринимается как формальность: пройти курс, получить отметку и забыть. Но в условиях, когда кибератаки на промышленные и энергетические объекты становятся все более изощренными, такой подход опасен. Cyber Media разбирает, какие знания действительно нужны ИТ‑персоналу и операторам АСУ ТП, почему типовые программы ФСТЭК не всегда готовят к реальным инцидентам и как сделать обучение не только обязательным, но и эффективным.

Почему обучение по защите КИИ сегодня важнее, чем когда-либо

Еще несколько лет назад атаки на промышленные системы казались чем-то далеким и больше подходили для сюжетов техно-триллеров. Сегодня это уже часть реальности. Хакеры больше не ограничиваются кражей баз данных или шифрованием бухгалтерии — они учатся «ломать» технологические процессы. Атака на АСУ ТП может обернуться не только убытками, но и остановкой производства, срывом поставок или даже угрозой жизни людей.

КИИ — лакомая цель: энергетика, транспорт, промышленность, связь. По данным разных исследований, число атак на такие объекты растет двузначными темпами каждый год, и злоумышленники все чаще используют именно сложные сценарии: от компрометации подрядчиков до точечных атак через уязвимости в ПО промышленного оборудования.

И вот здесь встает неприятный вопрос: а готовы ли к этому люди, которые управляют этой инфраструктурой? К сожалению, часто ответ — нет. Проблема в том, что обучение по защите КИИ в большинстве компаний носит формальный характер. Курсы проводятся «для галочки», сотрудники заучивают базовые определения из требований ФСТЭК и забывают их на следующий день.

Формальный подход опасен по двум причинам:

Создает иллюзию защищенности. Бумаги подписаны, отчеты сданы, значит, все «по правилам». Но в момент атаки оказывается, что операторы не знают, как отреагировать, а ИТ‑персонал не понимает, какие системы критичны в первую очередь.
Не учитывает реальных угроз. Типовые программы часто устарели и не охватывают современные сценарии атак — социальную инженерию, фишинговые кампании на подрядчиков, целевые атаки через обновления ПО.

По сути, сейчас у нас много людей, которые знают, что такое «категорирование объектов КИИ», но не всегда понимают, что делать, если прямо сейчас ломают АСУ ТП.

Обучение должно перестать быть формальностью. Оно должно учить реагировать на реальные инциденты, а не просто цитировать приказы регуляторов. И это уже вопрос не только соответствия требованиям, но и выживания бизнеса.

Обязательная база для всех и узкая специализация для отдельных групп

Обучение по защите КИИ нельзя сводить к универсальной лекции «для всех обо всем». У каждого сотрудника своя роль, но есть минимум знаний, без которых риски не закрыть даже самыми продвинутыми системами защиты. И есть те области, которые требуют глубокой, почти штучной подготовки.

Что должны знать все

Для всего ИТ‑персонала — от системных администраторов до операторов — обязательна так называемая «киберграмотность для взрослых».

Анна Толмачева

Консультант по информационной безопасности UDV Group

Обучение по защите КИИ должно быть дифференцированным в зависимости от категории обучаемого персонала.

Для всего ИТ-персонала целесообразно включать следующие обязательные модули:

основы нормативно-правового регулирования в области КИИ, включая положения Федерального закона от 26.07.2017 г. № 187−ФЗ, подзаконных актов ФСТЭК России и других регуляторов;

классификация объектов КИИ и определение уровня значимости;

типовые угрозы безопасности КИИ и общие подходы к обеспечению защиты;

основы реагирования на инциденты информационной безопасности;

методы социальной инженерии и способы противодействия.

Такая база — не «для галочки», а реальный способ снизить вероятность человеческой ошибки, из-за которой, по статистике, происходят до 80% инцидентов.

Что остается для узких специалистов

Глубокая подготовка нужна только тем, кто напрямую работает с технологическим контуром КИИ или разрабатывает ПО для него.

Мария Шарапова

Аналитик «УЦСБ»

Разработчики ПО, работающие с системами, являющимися объектами КИИ, должны проходить углубленную подготовку в части разработки защищенных решений. Ключевыми модулями обучения являются:

безопасная архитектура программных решений;

снижение вероятности эксплуатации типовых уязвимостей (SQL-инъекции, XSS и др.);

криптографические механизмы (асимметричное/симметричное шифрование, цифровая подпись);

обеспечение безопасности облачных решений и API-интеграций;

документация и контроль защищенности на всех этапах жизненного цикла ПО;

внедрение практик secure coding и оценка зрелости DevSecOps-процессов.

Отдельный блок подготовки должен быть предусмотрен для администраторов баз данных и систем хранения данных, включающий:

безопасные схемы хранения конфиденциальной информации;

аудит операций и мониторинг производительности систем управления базами данных;

системы резервного копирования, восстановления и failover-механизмы;

диагностика сбоев и поддержание доступности данных в условиях высоких нагрузок.

Именно эта группа специалистов должна проходить сложные тренинги, разбирать реальные инциденты и работать на тренажерах. Их ошибки стоят слишком дорого, чтобы учиться на практике в «боевых условиях».

Типовые программы ФСТЭК: соответствие требованиям vs реальная эффективность

Большинство компаний, работающих с КИИ, проходят обучение по типовым программам, утвержденным ФСТЭК. Формально все выглядит отлично: курсы соответствуют требованиям, сотрудники получают сертификаты, а галочка «обучение проведено» в отчетах стоит. Но вот вопрос: насколько эти программы реально готовят людей к современным атакам?

Что оцениваем	Сильные стороны	Слабые стороны	Что нужно изменить
Содержание	Дают структуру и понимание нормативной базы КИИ	Слишком формальны, часто пересказ документов	Обновить кейсы и включить разбор свежих атак
Актуальность угроз	Формируют базовый уровень осведомленности	Отстают от современных угроз (новые атаки, IoT, supply chain)	Привязать обучение к реальным инцидентам и их последствиям
Практическая польза	Полезны новичкам как стартовый уровень	Мало практики, нет понимания, как действовать при инциденте	Добавить тренажеры, стресс-тесты и имитацию реальных атак
Подготовка персонала	Помогают «закрыть» требования регуляторов	Не учат работать в кризисе и принимать решения под давлением	Делать акцент на практические отработки и командное взаимодействие

Типовые программы ФСТЭК выполняют свою главную задачу — помогают компаниям закрывать регуляторные требования. Но в условиях, когда атаки на объекты КИИ становятся все более сложными и точечными, формального подхода уже недостаточно.

Екатерина Едемская

Инженер-аналитик компании «Газинформсервис»

Типовое обучение по требованиям ФСТЭК формирует базовое понимание нормативной базы, принципов категорирования объектов КИИ и стандартных мер защиты, однако в текущем виде оно часто недостаточно эффективны в подготовке сотрудников к реальным киберинцидентам. Программы не всегда учитывают динамику развития современных угроз, особенно с учетом постоянно изменяющегося ландшафта кибератак и специфики промышленных систем.

Для повышения эффективности обучения необходимо внедрять практико-ориентированные модули, основанные на моделировании инцидентов, анализе кейсов из реальной практики, отработке сценариев реагирования и взаимодействия с центром ГосСОПКА. Также важно учитывать угрозы, связанные с использованием современных технологий, таких как удаленный доступ, IoT и уязвимости в стороннем программном обеспечении.

Сегодня защита критической инфраструктуры — это не только про соблюдение инструкций, но и про умение действовать в условиях неопределенности и давления. Сотрудник, который знает нормативную базу, но не понимает, как вести себя при реальной атаке, превращается в «бумажного» специалиста — и это риск не только для бизнеса, но и для самой инфраструктуры.

Практика против теории: какие форматы действительно работают

Можно сколько угодно заучивать инструкции и разбирать «идеальные» схемы реагирования на инциденты, но в реальной жизни атаки приходят неожиданно, ломают привычные сценарии и заставляют принимать решения под давлением. Именно поэтому лучшие программы обучения по защите КИИ сегодня делают ставку не на теорию, а на практику.

Тренажеры и стресс-тесты: почувствуй себя под атакой

Тренажеры и киберучения — это уже не «приятное дополнение», а обязательный элемент подготовки. На них отрабатываются реальные сценарии: от заражения промышленной сети до вывода из строя АСУ ТП. Здесь ценна не только техника — важно, как сотрудники взаимодействуют, насколько быстро обмениваются информацией и умеют ли принимать решения, когда счет идет на минуты.

Стресс-тесты — еще один формат, который отлично работает. Они моделируют кризисные ситуации с неполной информацией, имитируют давление со стороны руководства и клиентов. После таких учений сотрудники перестают думать по шаблону и начинают искать нестандартные решения — то, что нужно в реальной атаке.

Кейсы для управленцев и инженеров: разные задачи — разные подходы

Подготовка управленцев и инженеров должна отличаться, иначе обучение теряет смысл.

Роман Рогозин

Эксперт в области АСУ ТП компании «Газинформсервис»

Руководители и инженеры — это специалисты диаметрально противоположные. Руководители определяют стратегические цели развития компании, тогда как инженеры работают на оперативном уровне и выполняют типовые операции. Для инженеров важно проводить обучение на подготовленном киберполигоне, который максимально копирует инфраструктуру и инструменты, с которыми они работают. Также для инженеров важно регулярно проводить киберучения для отработки действий при реализации атак на инфраструктуру. По результатам учений важно обменяться мнениям и выявить недостатки в работе, чтобы внести корректировки в инструкции и регламенты предприятия.

На рынке уже есть программы, которые совмещают все эти форматы: тренажеры для инженеров, деловые игры для топ-менеджеров и разбор свежих атак на промышленные системы. Именно такой подход сегодня считается наиболее эффективным, потому что он учит не просто «знать», а действовать и принимать решения, когда это действительно нужно.

Как мотивировать персонал учиться и применять знания

Можно отправить сотрудников на десяток курсов и засыпать их презентациями о киберугрозах, но толку будет мало, если обучение останется формальным. Галочка в отчете не спасает от инцидентов — спасает только вовлеченный и мотивированный персонал, который понимает, зачем все это нужно и как применять знания на практике.

Дмитрий Сатанин

Директор по информационной безопасности «Группы Астра»

Нравится нам или нет, но мы живём в мире, где материальный фактор является лучшим мотиватором, поэтому:

успешно применил полученные знания — премия;

в зоне ответственности конкретного обученного специалиста случился инцидент из-за непринятия мер — штраф или другая форма взыскания.

Ну и тот факт, что социальная инженерия, конкретно, фишинг продолжает оставаться наиболее эффективным способом проникновения в целевую систему, никто не отменял.

Самая большая ошибка — относиться к обучению как к обязательной бюрократии. Сотрудники проходят тесты «для отчетности», отвечают на вопросы по памяти, а через неделю забывают 90% информации. В итоге при реальной атаке никто не знает, что делать: письма с фишингом открываются, подозрительные флешки подключаются, а SOC получает горы ложных инцидентов из-за банальных ошибок пользователей.

Чтобы обучение действительно работало, его нужно сделать частью культуры безопасности компании. Помогают три вещи:

Внутренняя культура ИБ. Люди должны понимать, что безопасность — это не прихоть ИБ-отдела, а условие нормальной работы бизнеса. Регулярные рассылки, короткие разборы инцидентов и личный пример руководителей создают правильное отношение: ИБ — это про заботу о бизнесе, а не про «палки в колеса».
Геймификация и соревнования. Викторины, квесты по поиску уязвимостей, мини-чемпионаты по распознаванию фишинга — все это работает лучше, чем скучные лекции. Конкуренция и азарт вовлекают, а значит, знания усваиваются глубже.
Реальные кейсы. Истории о том, как конкурент потерял миллионы из-за фишинга или партнер сорвал контракт после атаки на цепочку поставок, запоминаются куда лучше, чем слайды с диаграммами.

Современные атаки становятся все более продвинутыми, и здесь важна не только техника, но и осведомленность персонала. В первую очередь стоит уделять внимание фишингу и социальной инженерии — большинство атак на КИИ по-прежнему начинается с человеческого фактора. Не менее важны атаки на цепочки поставок: сотрудники должны понимать, почему даже обновление ПО может стать угрозой и как проверять его источник.

Обучение должно быть живым и прикладным. Люди запоминают не слайды, а эмоции и личный опыт. Чем больше вовлеченности и практики — тем выше шанс, что в реальной атаке они не растеряются и сделают правильный шаг.

Заключение

Обучение по защите КИИ не должно превращаться в формальное выполнение требований ради галочки в отчете. Сертификаты и тесты сами по себе не остановят атаку — это сделают только люди, которые понимают, зачем нужны меры безопасности и как действовать в реальной ситуации. Чем больше практики, реальных кейсов и вовлеченности, тем выше шанс, что в критический момент сотрудники отреагируют правильно. Живое, ориентированное на реальные угрозы обучение — это не просто требование регуляторов, а инвестиция в устойчивость бизнеса и его безопасность.