В прошлом году 67% ИБ-инцидентов в российских компаниях сотрудники совершали случайно.
Это означает, что для эффективной защиты недостаточно внедрить защитные системы, важно предупреждать и непреднамеренные инциденты. Самая частая их причина – невнимательность и низкая киберграмотность сотрудников.
В 2025 году лишь 10% собственников российских компаний малого и среднего бизнеса считали, что их сотрудники отлично знают основные правила информационной безопасности (ИБ). Меньше половины опрошенных (40%) оценили уровень знаний персонала в области информационной безопасности как удовлетворительный.
Как грамотно выстроить процесс обучения, сделать его эффективным и нескучным?
От частного – к общему
Сотрудница компании из Тольятти стала жертвой телефонных мошенников. Женщина перешла по фишинговой ссылке, в результате чего злоумышленники получили доступ к ее аккаунту на Госуслугах. После этого они продолжили развивать атаку. В итоге сотрудница перевела мошенникам 121 миллион рублей, среди которых были все личные накопления и средства со счетов работодателя.
Сколько именно из украденной суммы пришлось на средства компании, не уточняется. Но этот инцидент показывает, что «частная» атака на сотрудника может вывести киберпреступников прямиком к корпоративному бюджету. Поэтому обучение правилам ИБ актуально как для топ-менеджеров, так и для рядовых сотрудников.
Инциденты случайные, а штрафы реальные
Случайное разглашение конфиденциальной информации – одна из типичных ошибок сотрудников. Например, утечки персональных данных, информации о партнерах и закупках, ценах и скидках ударят по репутации и финансам организации. Нередко к инцидентам приводит невнимательность и халатность персонала. Нужно срочно ответить на письмо, и сотрудник по ошибке нажимает «Ответить всем» или отправляет письмо однофамильцам.
Так, например, сотрудница государственного мед-учреждения перепутала данные двух пациенток и отправила документ с результатами анализов на другой почтовый адрес. В 2024 году за инцидент медучреждение получило наказание в виде предупреждения. Однако сейчас в случае разглашения персональных данных специальной категории должностное лицо, допустившее это нарушение, будет оштрафовано на сумму от 1 до 1,3 млн рублей.
С 30 мая 2025 года в несколько раз увеличены штрафы за утечку персональных данных. В зависимости от количества и состава скомпрометированных сведений в случае первого инцидента предприятие заплатит от 150 тысяч до 20 млн рублей, при повторном – от 300 тысяч рублей до 3% годовой выручки.
Профилактика случайных ИБ-инцидентов
Главный аспект профилактики инцидентов в ИБ и снижения рисков утечки данных – повышение осведомленности сотрудников о существующих угрозах и способах противодействия им. Обучение персонала базовым правилам информационной безопасности эффективнее разделить на части: «корпоративная ИБ» и «личная ИБ».
В 2025 году лишь 10% собственников российских компаний малого и среднего бизнеса считали, что их сотрудники отлично знают основные правила информационной безопасности.
В рамках обучения корпоративной ИБ сотрудники изучают правила работы с конфиденциальной информацией, способы защиты «на удаленке» или в командировках, внешние угрозы и др. Знание личной ИБ поможет персоналу освоить цифровую гигиену в интернете и соцсетях, противодействие социальной инженерии, защиту персональных аккаунтов и др.
Подходы к обучению: плюсы и минусы
1. Инструктаж
Инструктаж – это форма обучения в виде разъяснения базовых правил информационной безопасности и действующих в компании регламентов. Это простой в реализации подход к повышению ИБ-грамотности персонала, который применяют в большинстве российских компаний. Однако во время инструктажа сотрудники выступают в пассивной роли (им, условно, нужно прочитать и расписаться), поэтому к такому обучению персонал часто относится формально, а полученная информация быстро забывается.
2. Наглядная демонстрация
Наглядная демонстрация – это формат обучения, в котором сотрудники изучают риски и угрозы информационной безопасности с помощью технических средств, изображений и практических кейсов. К наглядной демонстрации, например, относится вебинар, на котором эксперт разбирает реальные инциденты, показывает последствия и ущерб.
Благодаря конкретным примерам вопросы информационной безопасности перестают казаться сотрудникам чем‑то абстрактным. Однако сотрудники не вовлечены в процесс обучения глубоко и не могут применить полученные знания на практике.
3. Интерактивное обучение
Обучение через игру – интерактивные форматы, которые предполагают активное вовлечение в процесс и направлены на приобретение сотрудниками практических навыков. К интерактивным форматам относятся: квесты, тренинги, ролевые игры, викторины и др. Например, сотрудникам предлагают пройти браузерную игру или поучаствовать в квизе.
Преимущество интерактивного формата в том, что сотрудник вовлечен в процесс обучения. По итогу он сможет идентифицировать угрозы и уведомлять о них. Однако этот формат сложен в реализации и требует от компании финансовых вложений на привлечение внешних специалистов.
4. Киберучения
Киберучения – это тренировки, предназначенные для оценки способности персонала противостоять атакам, основанным на методах социальной инженерии.
Если вы решили собственными силами повышать ИБ-грамотность сотрудников, то придерживайтесь системности. Однако не ожидайте, что персонал после обучения будет разбираться в кибербезопасности на уровне ИБ-специалиста .
Эксперты проводят мероприятия по моделированию атак. Например, сотруднику отправляется фишинговое письмо, проверяя его реакцию. Персонал чаще всего не знает о том, что в компании проводятся учения, поэтому руководство может оценить реальную готовность сотрудников при встрече с атакой. Однако компаниям малого и среднего бизнеса проблематично организовать киберучения собственными силами, и скорее всего потребуются финансовые вложения для привлечения подрядчиков.
Выводы
Если вы решили собственными силами повышать ИБ-грамотность сотрудников, то придерживайтесь системности. Однако не ожидайте, что персонал после обучения будет разбираться в кибербезопасности на уровне ИБ-специалиста – определите минимальный уровень знаний, который должен остаться в голове работника после обучений.
Принципы эффективного обучения:
• Убедить аудиторию. Объясните коллективу, зачем необходимо повышать уровень цифровой грамотности. Проблема в том, что часто пользователи не верят в то, что инцидент произойдет именно с ними.
• Разнообразить темы обучения. Уделяйте внимание не только темам социнженерии или дипфейков, но и комплексным вопросам ИБ: правила работы с корпоративной информацией, парольная безопасность и др.
• Объяснять принципы атаки, а не ее признаки. Используйте разные примеры атак и сценариев, которые применяют мошенники, расскажите персоналу о признаках того или иного вида атаки.
• Рассчитать оптимальную регулярность обучения. Масштабные ИБ-обучения лучше проводить раз в год. Более рутинные мероприятия нужно проводить чаще – примерно раз в квартал.
• Подводить итоги и результаты обучения. Проводите проверку знаний сотрудников после каждого обучения. Рассмотрите варианты мотивации для лучших учеников, а также решите, какие санкции ввести для тех, кто саботирует учебу.
Также рекомендуем использовать возможности, встроенные в средства защиты информации: вендоры постепенно добавляют подобный функционал в свои решения. Так «открытый контроль» в DLP поможет сотрудникам на собственном опыте узнать, что можно делать за рабочим ПК, а что – нет. Например, при попытке отправить письмо с подозрительным содержимым сотрудник получит уведомление от ИБ-службы о запрете действий.
Алексей ДРОЗД, начальник отдела безопасности «СёрчИнформ»
