Подписаться
Читать в телеграм
Цифровизация бизнеса привела к парадоксальной ситуации: компании вкладывают миллионы в системы защиты, но одной из главных уязвимостей по-прежнему остается человек. Беспечная реакция на фишинговые письма, использование личных устройств, передача учетных данных коллегам — все это продолжает открывать злоумышленникам путь к корпоративной инфраструктуре.
По данным исследований в области кибербезопасности, значительная часть инцидентов связана именно с человеческим фактором и социальной инженерией. Например, аналитика компании Positive Technologies показывает, что около 60% атак на организации начинаются с фишинга, а основным каналом их распространения остается корпоративная электронная почта.
Подобные атаки основываются не столько на технических уязвимостях инфраструктуры, сколько на привычках и поведенческих моделях сотрудников — доверии к корпоративным письмам и рабочим сообщениям, спешке при принятии решений или недостаточной внимательности при оценке цифровых рисков. В таких условиях компании все чаще отдают приоритет не только защите технологий, но и киберкультуре — системе ценностей, привычек и моделей поведения сотрудников в цифровой среде, которая позволяет снизить риски, связанные с человеческим фактором.
Для ИТ-директоров и HR-руководителей это становится частью более широкой управленческой задачи — формирования антихрупкой организации, способной не только выдерживать кибератаки, но и адаптироваться к новым угрозам. Эксперты из компаний «Билайн», «Норникель», «Инфосистемы Джет» и Formatta рассказали, как организации управляют человеческим фактором, почему страх разрушает безопасность и какие практики действительно меняют поведение сотрудников.
Где заканчивается обучение и начинается культура
Практически в любом учреждении работа с кадрами начинается с обучения: сотрудники проходят обязательные курсы, получают рассылки о новых угрозах, участвуют в фишинговых тестах. Эти меры позволяют сформировать базовую осведомленность и создать общий язык безопасности внутри компании. Однако они не гарантируют того, что сотрудники действительно будут вести себя осмотрительно в повседневной работе. Разница между знанием и поведением — ключевая проблема корпоративной безопасности. Человек может прекрасно знать правила и все равно нажать на подозрительную ссылку, если письмо пришло в момент высокой загрузки или имитирует срочную задачу от руководителя.
Анна Теклина считает, что именно здесь проходит граница между обучением и настоящей культурой безопасности.
«Декларируемая культура — это регламенты, внутренние коммуникации, программы обучения. Это необходимый старт: без него невозможно задать общий контекст и объяснить ожидания компании. Но реальная культура зарождается тогда, когда сотрудники начинают вести себя иначе. Когда они обсуждают тему безопасности между собой, замечают риски в повседневной работе и автоматически выбирают более безопасный сценарий».
Анна Теклина,
партнер HR-консалтинговой компании Formatta
Закрепление таких моделей поведения требует времени и системной работы. Даже после того как сотрудники понимают, какого поведения от них ожидают, требуется несколько месяцев на то, чтобы новые модели закрепились и стали нормой. Обучение может задать основу, но культура появляется только тогда, когда безопасные привычки становятся частью ежедневной работы.
Почему модель «запретить и наказать» больше не работает
Традиционная модель корпоративной безопасности строилась на регламентах и санкциях. Логика была проста: чем больше правил и контроля, тем ниже вероятность инцидента. Но в условиях современных угроз этот подход уже не столь эффективен.
Во-первых, злоумышленники все чаще ловят сотрудников на крючок, используя именно их поведенческие привычки. Техники социальной инженерии выявляют слабые места в повседневной деятельности (загруженность персонала, спешку, стресс), а также учитывают иерархию подчинения внутри компании — это те факторы, на которые регламент повлиять не может. Во-вторых, культура наказаний может создавать противоположный эффект: сотрудники начинают скрывать ошибки, а страх становится одним из главных факторов, подрывающих безопасность.
Главный риск — не ошибка, а молчание
Опыт компаний показывает, что ключевая проблема человеческого фактора — не столько ошибки, сколько реакция сотрудников на них. Если человек вовремя сообщает о подозрительной активности, последствия можно минимизировать. Если же он пытается скрыть инцидент, ущерб для бизнеса может значительно вырасти.
«Самый опасный сценарий — когда человек совершил ошибку и не сообщил о ней. Если сотрудник вовремя признается, у компании есть возможность быстро отреагировать и минимизировать последствия. Но если ошибка скрывается из-за страха осуждения, риски для бизнеса увеличиваются многократно».
Ольга Ковардакова,
директор по работе с персоналом компании «Инфосистемы Джет»
Поэтому многие организации стараются изменить отношение к инцидентам и сделать акцент на ответственности, а не на безошибочности.
С коллегами согласна и Анна Теклина. В атмосфере гиперконтроля сотрудники склонны скрывать инциденты и тянуть время, пытаясь решить проблему самостоятельно. Для бизнеса это часто опаснее, чем сама ошибка, напоминает эксперт. Поэтому самые прогрессивные компании постепенно уходят от стратегии запугивания и делают ставку на поведенческую составляющую.
Во многом такая трансформация связана с более широким контекстом — тем, как вообще формируется цифровое поведение людей вне корпоративной среды. Поведение сотрудников все чаще оказывается продолжением их повседневного опыта взаимодействия с цифровым миром — и этот опыт далеко не всегда системный.
«Проблема в том, что большинство из нас никогда системно не обучали правилам поведения в цифровом мире. Нас учили физической безопасности: как вести себя с незнакомыми людьми, как реагировать на угрозы офлайн. Но аналогичных моделей поведения в онлайне долгое время просто не существовало. Кроме того, сегодня значительную образовательную функцию фактически взяли на себя СМИ. Именно из новостей и расследований мы все чаще узнаем, как работают мошеннические схемы, какие приемы используются и какие ошибки приводят к потере денег. При этом кейсы компаний — корпоративные инциденты и атаки на инфраструктуру — освещаются значительно реже из-за высоких репутационных рисков. Тем не менее темы личной кибербезопасности, активно присутствующие в медиапространстве, напрямую влияют и на поведение людей в рабочей среде. СМИ взяли на себя ключевую роль в формировании киберосознанности».
Ольга Ковардакова,
директор по работе с персоналом компании «Инфосистемы Джет»
На этом фоне становится заметен разрыв между публичным обсуждением личной и корпоративной кибербезопасности. Пока компании скрывают кибератаки и внутренние ошибки, рынок фактически топчется на месте: бизнес лишается возможности учиться на чужом опыте и выстраивать эффективные сценарии реагирования.
Кейс: как компании меняют поведение сотрудников
Эта трансформация хорошо видна на примере «Билайна», где в последние годы системно развивают киберкультуру. Компания выстроила комплексную программу, включающую обучение и регулярные тренировки сотрудников, а также анализ их поведения. Работа ведется сразу по нескольким направлениям: развитие практических навыков, системная коммуникация по вопросам безопасности, формирование сообщества вокруг ИБ. Важной частью программы стала аналитика: специальный дашборд фиксирует небезопасные действия сотрудников во время тренировок — например, переходы по фишинговым ссылкам или использование слабых паролей. При этом ключевым показателем считается не сама ошибка, а скорость правильной реакции.
«Анализ фишинговых тренировок дал неожиданные результаты. Мы увидели, что сотруднику требуется в среднем около минуты, чтобы перейти по ссылке после открытия письма, и еще меньше — чтобы ввести свои данные. Поэтому нам важно не только научить распознавать фишинг, но и сформировать привычку быстро сообщать о подозрительных письмах».
Анастасия Иванова,
руководитель направления киберкультуры компании «Билайн»
Чтобы упростить этот процесс, в компании внедрили несколько способов обращения в центр мониторинга безопасности — вплоть до нажатия кнопки в почтовом клиенте. Результат оказался заметным: за год скорость обращений пользователей с подозрениями на фишинг выросла в 15 раз, а количество таких обращений — в сотни раз.
«Мы формируем позитивные поведенческие паттерны. У сотрудника есть право на ошибку, но он должен понимать, что важно быстро сообщить о ней и получить помощь. Такой подход постепенно меняет отношение людей к информационной безопасности».
Анастасия Иванова,
руководитель направления киберкультуры компании «Билайн»
Почему личная и корпоративная киберкультура неразделимы
Еще одна важная особенность современной кибербезопасности — размывание границы между личным и рабочим цифровым пространством. Сотрудники используют смартфоны для доступа к корпоративной почте, работают из публичных сетей Wi-Fi, хранят документы в облачных хранилищах. Именно поэтому личные цифровые привычки сотрудников становятся фактором риска для корпоративной безопасности.
«Именно поведенческие модели сотрудников становятся главным фактором риска. Осведомленность — это про “я знаю”. Культура — про “я понимаю, умею, делаю и транслирую это другим”. Одних знаний недостаточно: нужно сформировать привычку безопасного поведения и личную вовлеченность. Иногда сотрудники уверены в том, что правила информационной безопасности их не касаются или что служба ИБ сама должна решать такие задачи. Эта самоуверенность может приводить к критическим инцидентам».
Анна Терская,
руководитель по направлению развития культуры информационной безопасности компании «Норникель»
Как компании измеряют киберкультуру
Одной из самых сложных задач для бизнеса остается оценка уровня киберкультуры. В отличие от технических показателей безопасности, культуру нельзя измерить одной метрикой. Поэтому компании используют комплексный подход — анализируют результаты обучения, реакцию сотрудников на тренировочные атаки, вовлеченность в программы безопасности и скорость реакции на инциденты.
«Хорошим показателем киберкультуры является доля пользователей, которые не только распознали фишинговое письмо, но и сообщили о нем в службу поддержки. Это показывает, что человек воспринимает себя частью системы защиты».
Андрей Янкин,
директор Центра информационной безопасности компании «Инфосистемы Джет»
В некоторых компаниях, например, также анализируют причины пользовательских инцидентов, статистику утечек данных и даже долю сотрудников, которые участвуют в инициативах безопасности внутри своих команд.
Киберкультура как стратегический актив
Устойчивость бизнеса определяется не только технологиями, но и способностью организации адаптироваться к угрозам. Компании, которым удалось сформировать зрелую киберкультуру, выходят на принципиально иной уровень устойчивости. Такие организации быстрее обнаруживают угрозы, эффективнее реагируют на инциденты и способны адаптироваться к новым типам атак. Их устойчивость формируется не только за счет технологий, но и за счет поведения сотрудников.
В конечном итоге киберкультура становится элементом организационной ДНК и фактором долгосрочной конкурентоспособности. Компании, которые смогли превратить человеческий фактор из источника риска в источник устойчивости, формируют свою антихрупкость — ключевое качество бизнеса в эпоху постоянных цифровых угроз.
