Человеческий фактор: как вовлечь всех сотрудников в киберзащиту компании
Парадокс современной корпоративной безопасности заключается в том, что компании активно инвестируют в технические решения и выстраивают процессы, однако действия или бездействие пользователей по-прежнему определяют исход большинства инцидентов. В тексте ниже мы разберем, как научить сотрудников определять угрозы ИБ и грамотно на них реагировать — как выстроить обучение кибербезопасности для специалистов всех уровней.
Данные исследований подтверждают устойчивый рост числа атак. В первом полугодии 2025 года злоумышленники чаще всего атаковали госучреждения (21% от общего количества успешных атак на организации), промышленность (13%), ИТ-компании (6%) и медицинские учреждения (6%), показывает исследование Positive Technologies. Эксперты фиксируют, что основной вектор проникновения в инфраструктуру связан с человеческим фактором: по итогам первого полугодия социальная инженерия продолжает занимать одно из ведущих мест среди методов атак как на организации (50%), так и на частных лиц (93%).
Как внедрить NTA и провалиться: разбираем на примере крупного ритейлера
Рассмотрим типичные ошибки при внедрении средств защиты на примере крупного ритейлера с 30 специалистами по ИТ и ИБ, который начал переход на новое средство защиты класса NTA для контроля периметра и анализа трафика. Внедрение поручили интегратору.
Средство защиты развернули и настроили согласно техническому заданию, однако заказчик остался один на один с его эксплуатацией. Службы ИТ и ИБ заранее не договорились, как реагировать на атаки и события, как передавать информацию между подразделениями, кто будет вносить изменения в конфигурацию системы. Даже внутри одной компании подобные вопросы вызывают трения между отделами, а трехстороннее взаимодействие с участием внешнего интегратора требует еще более детальных договоренностей на начальном этапе.
Компания планировала самостоятельно поддерживать решение, однако специалисты оказались не готовы к этой задаче: анализ трафика, формирование правил и другие аспекты эксплуатации системы вызывали серьезные затруднения. В итоге руководитель по ИБ подключил HR-службы, которые спешно начали искать обучающие программы для закрытия выявленных пробелов. Параллельно специалисты по ИТ и ИБ изобретали процессы и учились работать по факту с уже случившимся инцидентами— вместо усиления защищенности компания получила высокие затраты и низкую эффективность. Разочарование неизбежно дошло до топ-менеджмента: современные решения стоят дорого, и руководители увидели, что эти траты не приносят ожидаемого эффекта. При этом главной фигурой, к которой в такой ситуации обращаются за объяснением происходящего, оказывается CISO, хотя часть проблем можно было снять с помощью целевых обучающих программ и практикумов по работе с продуктом.
Почему стандартные подходы в сфере обучения ИБ не работают
В секторе критической информационной инфраструктуры, при защите персональных данных и в финансовом сегменте необходимость обучать персонал ИБ и применять лучшие практики закреплена нормативно. Однако использование стандартных подходов вроде вводного ознакомления и периодического прослушивания курсов часто остаются неэффективным формальным требованием. А значит, идея «давайте обучим всех кибербезопасности, чтобы защититься от фишинга» не сработает.
Типичные программы обучения слабо учитывают специфику бизнеса, рассчитаны сразу на все категории сотрудников, проводятся нерегулярно и характеризуются низкой вовлеченностью персонала. Если потребовать от сотрудника просто ознакомиться с документами, посмотреть ролики и изучить лонгриды без практической составляющей, эффект будет близким к нулю. Работники компании сделают все, что от них потребуют, но ничего не запомнят. В итоге формально требование будет считаться выполненным, но навык не сформируется.
Ролевой подход к обучению имеет следующую логику: бизнес чувствует себя защищенным, когда кибербезопасность поддерживают сотрудники всех уровней — от рядовых специалистов до руководителей. И для каждой роли в компании требуется отдельный подход, сфокусированный на конкретных функциональных обязанностях. То, что полезно для ИТ-специалистов, оказывается избыточным и непрактичным для топ-менеджмента, а материалы, которые нужны руководителю по ИБ, не дают пользы аналитикам первой линии SOC. Выделяются четыре основные роли, для которых необходимо подготовить собственные треки обучения.
Мы поговорили с руководителем коммерческих образовательных программ Positive Education Анастасией Федоровой. Ее опыт в кибербезопасности насчитывает больше 20 лет: она руководила консалтингом по информационной безопасности, управляла SOC и технической поддержкой, теперь развивает образовательные программы для специалистов отрасли. Анастасия рассказала, какие навыки в сфере ИБ важны для каждой роли и каким образом их стоит развивать.
Топ-менеджмент
Руководители принимают решения о развитии стратегически важных блоков бизнеса. Фокус руководителей — на ключевых процессах, от которых зависят выручка, репутация и непрерывность работы компании. Им необходимо разбираться в подходах к защите критически важных сервисов и активов, определять недопустимые события и риски, а затем осознанно инвестировать в их предотвращение.
Топ-менеджеры обязаны понимать киберриски, специфичные для компании, их влияние на бизнес-модель, на финансовые показатели и ключевые процессы. Руководителям важно уметь оценивать эффективность инвестиций в информационную безопасность и получать ответ на ключевой вопрос: может ли компания быть уверена, что команды ИБ и ИТ быстро и эффективно отработают критическую ситуацию.
Руководители по ИБ и ИТ
Сотрудникам этой категории важно вести диалог с руководством компании, управлять рисками и формировать стратегию развития направлений с учетом бизнес-приоритетов. В их задачи, помимо прочего, входят обоснование бюджетов на информационную безопасность, выстраивание функции защиты и демонстрация бизнесу ощутимых результатов. Они также занимаются управлением и развитием команды.
Команды ИТ и ИБ
Специалистам, которые внедряют и поддерживают технологии, требуются регулярные тренировки: атаки и способы проникновения постоянно развиваются, поэтому навыки должны закрепляться в безопасной среде через практико-ориентированное обучение. Эффективна комплексная подготовка, где команды ИТ и ИБ взаимодействуют между собой и с партнерами-интеграторами, а совместная работа подкрепляется тренировками на киберполигонах и тренажерах, исключающих риски для «боевых» систем.
При этом важно формировать единые метрики для всех подразделений, отвечающих за кибербезопасность, чтобы команды работали на общий результат и учитывали управленческие показатели и требования регуляторов. Практикумы и киберучения под контролем экспертов в специальной инфраструктуре становятся мотивирующим фактором, который развивает сплоченность.
HR, подразделения обучения и развития
Эти специалисты сосредоточены на формировании культуры безопасности и на вовлечении в этот процесс всех сотрудников независимо от отрасли. Атакам подвержены все компании, следовательно, базовые навыки кибербезопасности нужны каждому работнику.
Важно формировать и анализировать KPI обучения для сотрудников: недостаточно закрыть документооборот или формально пройти курс. Обучение должно быть встроено в корпоративную культуру и геймифицировано; преимущество — если оно легкое по форме, при этом направлено на изменение поведения.
В результате обучения рядовые сотрудники должны понять, что безопасно для их рабочих станций и мобильных устройств, что допустимо в работе, а что категорически запрещено и как действовать при малейшем подозрении на инцидент. Работники компании также должны уметь распознавать фишинговые письма, с которых начинается большинство атак.
Как построить обучение с измеримым эффектом и долгосрочной поддержкой
Компания должна заранее определить, как будет проверять эффективность обучения. Критерии стоит делать немногочисленными, но показательными, чтобы четко видеть динамику и оценивать достижение результата. При внедрении программ security awareness критерием может быть снижение числа инцидентов, возникших из-за человеческого фактора. При обучении специалистов, внедряют и поддерживают системы, анализируют сбои в их работе, оценивают эффективность эксплуатации, ключевым показателем становится время обнаружения атаки и реагирования на нее до и после прохождения курса. Наиболее ценная и при этом самая сложная для расчета метрика — стоимость предотвращения атак относительно стоимости обучения.
Планирование обучения следует начать с выявления критически значимых зон: нужно определить, какие процессы и их участники уязвимы именно в конкретной компании, и сфокусироваться на них. Необходимо также понять, какое обучение требуется разным ролям: нельзя вести всех сотрудников одним треком. Например, для руководителей подходят максимально сжатые по времени офлайн-тренинги, адаптированные под конкретный бизнес. Кроме того, компании стоит заранее определить KPI: как будет оцениваться прогресс и какие показатели будут целевыми.
После завершения основного курса нужно организовать поддержку, ведь знания и навыки требуют постоянного обновления: киберугрозы эволюционируют ежедневно, появляются новые векторы атак и способы проникновения в корпоративную инфраструктуру. Непрерывная актуализация знаний критически важна для корпоративной безопасности.
Эффективная система постобучающей поддержки включает регулярное обновление учебных материалов, предоставление работникам доступа к базе знаний с актуальными кейсами и проведение экспертных консультаций при возникновении нестандартных ситуаций. Сотрудники должны иметь возможность быстро получить ответ на вопрос о подозрительном письме, странном поведении системы или о необходимости принятия решения в условиях потенциального инцидента.
Регулярные напоминания, короткие обучающие сессии и актуальные кейсы помогают поддерживать навыки в активном состоянии. Компании, которые инвестируют в качественное обучение, в перспективе получают высокую отдачу от первоначальных вложений в образовательные программы и формируют устойчивую культуру кибербезопасности на всех уровнях.