Даже самая современная защита не спасёт компанию, если сотрудники не умеют ею пользоваться. Как рассказал «Фонарю» директор по информационной безопасности компании «БелИнфоНалог» Дмитрий Корнев, именно человеческий фактор остаётся одной из главных причин киберинцидентов.
— Часто компании вкладываются в технологии, покупают дорогое программное обеспечение, но забывают про людей. А ведь именно сотрудники ежедневно работают с данными и принимают решения. Любая ошибка — это потенциальная точка входа для злоумышленника. Достаточно открыть вредоносное письмо или перейти по ссылке, чтобы запустить цепочку серьёзных последствий. Поэтому обучение — это не дополнительная мера, а базовая необходимость. Без неё вся система защиты остаётся уязвимой, — объясняет Дмитрий Корнев.
По данным практических тестирований оператора ИТ-решений «ОБИТ», в 2026 году в среднем 35 процентов сотрудников компаний переходят по фишинговым ссылкам. При этом около 60 процентов открывают подозрительные письма, 21 процент вводят свои учётные данные, а о потенциальной угрозе в службу информационной безопасности сообщают лишь 2 процента работников.
Что такое Security Awareness и зачем это нужно
Программы повышения осведомлённости в области кибербезопасности — или security awareness — это обучение сотрудников базовым и продвинутым правилам работы с данными.
— Главная задача таких программ — научить человека видеть угрозу до того, как она станет проблемой. Это базовые повседневные действия: как открыть письмо, как создать пароль, что делать при подозрении на атаку. Когда сотрудник понимает риски, он действует иначе. И это напрямую снижает количество инцидентов, — отмечает эксперт.
Такие программы помогают:
- снизить количество утечек данных;
- уменьшить расходы на устранение последствий атак;
- повысить ответственность сотрудников за работу с информацией;
- защитить репутацию компании.
Фактически речь идёт об инвестиции: обучение обходится дешевле, чем ликвидация последствий взлома. Средняя стоимость одного инцидента, по данным исследований, превышает 337 тысяч долларов.
Как учат сотрудников кибербезопасности
Обучение редко ограничивается лекциями. Обычно это комплексная программа с разными форматами.
Сначала сотрудники изучают теорию, затем переходят к практике: проходят интерактивные модули, участвуют в симуляциях атак и выполняют тесты. Дополнительно используются простые, но эффективные инструменты, например, памятки, плакаты, заставки на компьютерах, обучающие ролики.
— Важно не просто рассказать правила, а закрепить их на практике. Поэтому используются игровые форматы: викторины, квесты, соревнования. Человек лучше запоминает информацию, если он вовлечён. Кроме того, такие форматы позволяют увидеть реальные ошибки сотрудников и сразу их разобрать. Это делает обучение более живым и полезным, — говорит Дмитрий Корнев.
Некоторые компании идут дальше и проводят киберучения — моделируют реальные атаки. Иногда сотрудники даже не знают, что это тренировка. Это помогает проверить их реакцию в условиях, максимально приближённых к реальности.
Чему именно учат сотрудников
Хорошая программа охватывает сразу несколько направлений. Среди ключевых тем:
- работа с паролями и их защита;
- распознавание фишинговых писем;
- безопасное использование электронной почты;
- защита конфиденциальных данных;
- правила работы в интернете;
- использование корпоративных устройств;
- действия при инциденте безопасности.
Отдельное внимание уделяется социальной инженерии — когда злоумышленники обманывают человека, а не систему.
— Современные атаки всё реже направлены на технологии. Гораздо проще обмануть человека. Например, отправить письмо от имени руководителя или подделать сайт. Если сотрудник не обучен, он может не заметить подмену. Поэтому важно объяснять не только «что делать», но и «почему это важно». Только так формируется устойчивое поведение, — подчёркивает специалист.
По данным Positive Technologies, в 2025 году до 80 процентов атак с использованием социальной инженерии начинались именно с электронной почты. Специалисты объясняют это тем, что сотрудники привыкли доверять рабочим письмам и часто проверяют почту в условиях высокой нагрузки. Кроме того, злоумышленники всё чаще маскируют сообщения под уведомления техподдержки, запросы на смену пароля или внутренние сервисы компании.
Практика: как это делают компании
Крупные организации уже давно внедрили системное обучение.
Например, в компаниях проводят киберучения для всех сотрудников, пентесты (имитацию атак без предупреждения), регулярные проверки знаний. Такие меры позволяют оценить не только теорию, но и реальную готовность сотрудников к угрозам.
— Если говорить об опыте «БелИнфоНалога» в обучении сотрудников, то для нас это постоянная практика. Во-первых, при приёме на работу проводится короткий инструктаж по работе с паролями, безопасной обработке персональных данных и использованию электронных подписей. Во-вторых, мы обучаем коллектив распознаванию фишинга, рассказываем о признаках мошенничества в соцсетях и мессенджерах, делимся полезными сервисами для проверки подозрительных сайтов и вложений. Кроме того, сотрудники проходят внешнее обучение по киберграмотности от Solar — эту программу мы также рекомендуем своим клиентам. Сейчас многие организации уделяют этому внимание, и мы готовы им в этом помочь, — рассказал директор по информационной безопасности компании.
Какие платформы используют для обучения
Разработка собственных курсов — сложный процесс, поэтому многие компании используют готовые решения.
Среди распространённых платформ:
- Kaspersky Security Awareness — комплексные тренинги с оценкой знаний;
- «МегаФон Security Awareness» — обучение с симуляцией фишинговых атак;
- «Ростелеком-Солар» — курсы, тесты и практические занятия;
- Infosecurity (Phishman) — онлайн-обучение с контролем результатов;
- «Антифишинг» — подготовка к защите от атак через почту, сайты и соцсети;
- «Повышение киберграмотности сотрудников (SA) Solar»
Они позволяют не только обучать, но и отслеживать прогресс сотрудников.
Почему обучение должно быть регулярным
Киберугрозы постоянно меняются, поэтому разового обучения недостаточно. Сотрудники должны регулярно обновлять знания.
— Кибербезопасность — это не разовое мероприятие. Нельзя один раз провести лекцию и считать задачу выполненной. Угрозы меняются, появляются новые схемы атак. Поэтому обучение должно быть постоянным процессом. Только в этом случае можно говорить о реальной защите компании, — заключает Дмитрий Корнев.
Кроме того, обучение часто требуется и по закону — например, для соблюдения требований по защите данных.
Компании всё чаще понимают, что технологии не решают проблему без участия людей. Именно сотрудники ежедневно принимают решения, от которых зависит безопасность бизнеса. И если раньше обучение воспринималось как дополнительная опция, то сегодня это уже обязательная часть защиты. Потому что в кибербезопасности всё решает не только техника, но и внимательность человека.
