Человеческий фактор в кибербезопасности: от слабого звена к первой линии защиты

Новостная редакция -


1.     Почему технологии проигрывают людям

Представьте: Крупная организация инвестировала почти миллион долларов в системы защиты. Развернула SIEM, EDR, внедрила DLP, настроила IPS и другие решения. Месяцы работы, десятки специалистов, сотни часов интеграции. И всё это рухнуло за 12 секунд — время, которое потребовалось сотруднику, чтобы ввести пароль в фишинговую форму.

20 лет в кибербезопасности научили меня главному: 
мы проигрываем не из-за технологий, а из-за людей.

Работая в глобальном вендоре и развивая бизнес в 11 странах, я участвовала в проектах для госсектора, телекомов, исследовательских центров и крупных корпораций. Подбирала и внедряла комплексные решения по защите информации. Тем не менее, несмотря на совершенство технических решений, инциденты происходили и большая часть из-за человеческого фактора.

Факт: бюджеты и внимание в основном сосредоточены на технологиях, в то время как ключевой источник риска — человеческое поведение, системно недооценивается.

Вся индустрия кибербезопасности работает на опережение атак: мы учим ИИ искать аномалии, автоматизируем реагирование, прогнозируем поведение злоумышленников. Но никто не научил сотрудников быть осторожными - распознавать угрозу в спешке, и усталости.

По моим наблюдениям, в большинстве организаций решения по кибербезопасности не интегрированы друг с другом. Часто в архитектуре присутствуют решения от разных производителей, с разной логикой и без единой консоли управления. Как следствие: администраторы вынуждены переодически ужесточать корпоративные политики безопасности: полный запрет на USB — даже если есть рабочая необходимость, требование создавать сложные, длинные пароли и постоянно их менять, запрет на личные устройства (BYOD) даже в контролируемых пространствах, ограничение доступа к сайтам и сервисам «на всякий случай» — всё это создаёт у сотрудников ощущение надзора, а не доверия.

Когда людям усложняют рабочий процесс и не объясняют зачем эти правила нужны и какие могут быть последствия — возникает сопротивление, формальное соблюдение и попытки обойти ограничения. Вот в этой точке — в промежутке между технологиями, правилами и реальностью — прячется тот самый риск, который останется не контролируемым ни одним техническим продуктом.

Организации недооценивают роль человеческого поведения. Даже с топовыми технологиями, один забытый пароль или клик по фейковому письму — и защита рушится.” — Ogundare, 2024, ResearchGate

2.     Цифры, которые заставляют задуматься

Согласно последним исследованиям 2024-2025:

  • 68% всех нарушений информационной безопасности связаны с человеческим фактором (Verizon, 2024)
  • Средний ущерб от инцидента с участием сотрудника — $4.99 млн (IBM Security, 2024)
  • 79% успешных атак проходят без использования вредоносного ПО — через действия самих сотрудников (CrowdStrike, 2025)
  • Фишинговые атаки выросли на 442% за последние полгода
  • Кибератаки происходят каждые 39 секунд — более 2200 раз в день

В странах СНГ ситуация не лучше. В Казахстане в 2024 году зафиксировано более 41 000 инцидентов ИБ. Одна только утечка данных из сервиса zaimer.kz затронула 2 млн граждан — персональные данные, ИИН, контакты оказались в открытом доступе, создав идеальную почву для таргетированных атак социальной инженерии.

При этом рынок обучения кибербезопасности растёт на 15% ежегодно и достигнет $10 млрд к 2027 году. Компании тратят миллионы на обучение, но инциденты продолжают происходить. 

3.     Существующие методы снижения риска: возможности и ограничения

В сложившейся реальности повышение осведомлённости персонала становится логичным и необходимым шагом. Для этого организации применяют различные подходы: 

·       проводят внутренние тренинги, 

·       привлекают внешних экспертов, 

·       используют специализированные обучающие платформы.

Наиболее доступным и масштабируемым решением, как правило, являются онлайн-платформы с готовыми курсами. Крупнейшие игроки рынка — такие как KnowBe4, Kaspersky, SoSafe, Cybeready и IBM предлагают массовые курсы по основам кибер-гигиены и проверку знаний. Эти решения формируют базовый уровень кибер-осведомлённости в организациях и позволяют быстро охватить большие коллективы. 

Однако, несмотря на очевидную помощь в быстром охвате, тренинги не обеспечивают ожидаемую эффективность и не приводят к желаемым поведенческим сдвигам. Согласно моему экспертному наблюдению, я выделяю следующие три проблему существующих тренингов.

4. Три критические проблемы традиционного обучения

A)  Разрыв между знанием и поведением

Сотрудник может пройти курс, сдать тест на 100%, получить сертификат — и через час переслать конфиденциальный документ на личную почту «чтобы доработать дома». Знание правил не равно их соблюдению. Нет пост-тренинговой оценки поведения сотрудников. 

B) Очень общий контекст

Универсальные курсы не учитывают специфику организации: её процессы, культуру, реальные риски. Бухгалтеру и системному администратору предлагают одинаковый контент, хотя их риски кардинально различаются. Также часто общую информацию просто выдают, не разъясняя как ее применять в повседневной среде. Сотрудники не понимают, как применять знания в своей ежедневной работе.

C) Отсутствие эмоциональной вовлечённости

Сухие термины и правила не запоминаются. «Credential harvesting», «data exfiltration», «zero-day exploit» — эти слова не вызывают эмоций и быстро забываются. А то, что не запомнилось, не может защитить. 

Обучение работает, когда оно вовлекает, адаптируется к сотруднику и меняет поведение, а не просто передаёт информацию.

Купить готовый курс легко. Заставить сотрудника отсидеть и прослушать определённый тренинг не означает, что эти знания будут усвоены применены в повседневной рутине. 

Вопросы, которые должен задать себе каждый руководитель:

1.   Как мы управляем риском человеческого фактора для защиты информации? 

2.   Какие у нас метрики?

3.   Какие поведенческие риски для нас актуальны?

4.   Какое именно поведение приводит к этим рискам?

Такие вопросы полезно задавать на совещаниях CISO, когда кибератаки нацелены не на технологии — а на людей. Информационная безопасность — это не галочка в LMS. 

5.     Революция в обучения сотрудников - Киберугрозы, которые можно узнать в лицо и по имени: методология HFRRM

После серии болезненных инцидентов у моих клиентов, когда месяцы работы над проектами обесценивались одним неосторожным кликом, я начала изучать эту тематику и углубилась в разные подходы чтоб найти ответ на вопросы - “Как объяснить сотрудникам запоминающимся и доступным способом об основах кибер угроз и их последствия?” .  Как от них можно защититься и внести вклад в общую кибер-безопасность организации. Так родилась моя методология HFRRM (Human Factor Risk Reduction Methodology).

Ключевая идея: я перевела кибер-угрозы из технических терминов в живые, визуальные образы — персонажей злодеев. Это работает, потому что наш мозг лучше реагирует на истории и лица, чем на определения и термины. Образ активирует внимание, эмоции, ассоциации.

  • Визуальная информация усваивается в 6 раз лучше текстовой
  • Истории с персонажами запоминаются на 65% лучше фактов
  • Эмоционально окрашенная информация хранится в долговременной памяти

Поэтому в HFRRM каждая киберугроза становится персонажем со своим характером, тактикой и слабостями. У каждого есть имя, внешность и поведение. Техника атаки и слабые стороны, которые можно использовать в защите. 

Вот некоторые примеры «злодеев» кибербезопасности:

Почему образы работают лучше слов?


Когда мы говорим о повышении осведомлённости сотрудников в области кибербезопасности, важно учитывать психологию восприятия информации взрослыми людьми. Исследования в области андрогогики4 (науки об обучении взрослых) показывают, что взрослые:

  • хуже воспринимают информацию «если она не актуальна для их повседневной жизни»,
  • нуждаются в чёткой связи между обучением и своей повседневными обязанностями,
  • лучше усваивают материал через визуализацию, ассоциации и эмоциональное вовлечение.

В отличие от студентов, взрослые воспринимают знания через призму личной ответственности, опыта и когнитивной избирательности. Именно поэтому стандартные курсы с сухим описанием угроз и нормативными терминами не работают.

Проведём эксперимент: представьте, что ваши сотрудники прошли обучение неделю назад. Что они вспомнят в критический момент?

Вариант 1 (традиционный подход): "Фишинг представляет собой вид социальной инженерии, при котором злоумышленники используют методы психологического манипулирования для получения конфиденциальной информации. Атака обычно осуществляется посредством электронных сообщений, имитирующих легитимные источники, с целью компрометации учётных данных..."

Вариант 2 (методология HFRRM): "Фишер снова охотится. Сегодня он прислал письмо от имени вашего банка с пометкой 'СРОЧНО: подтвердите данные'. Он знает — вы устали, спешите домой, и именно сейчас ваша бдительность минимальна. Один клик по его ссылке — и он получит ваш пароль. Именно так три месяца назад он украл доступ к корпоративной почте главного бухгалтера в соседней компании..."

По статистике: через неделю сотрудники забывают 90% терминов из первого варианта, но помнят 65% информации из истории с персонажем. В момент получения подозрительного письма мозг быстрее активирует образ Фишера-обманщика, чем определение фишинга из учебника.

Когда сотрудник запоминает не «описание фишинга», а Фишера — киберзлодея с тактикой обмана, он:

·       узнаёт его в будущем;

·       связывает риск с конкретным поведением;

·       быстрее реагирует.

Визуально-ассоциативный подход — это не «мультфильмы для взрослых». Это осознанный метод обучения, основанный на том, как работает человеческий мозг.

1.     Доказанная эффективность нового подхода

Современные исследования подтверждают эффективность визуально-ассоциативного и геймифицированного подхода:

  • Обученные сотрудники на 30% реже переходят по фишинговым ссылкам
  • Геймификация повышает вовлечённость на 60%
  • Удержание знаний увеличивается на 40% при использовании персонажей и историй
  • 90% сотрудников отмечают повышение продуктивности при геймифицированном обучении

Кейс: Внедрение HFRRM в финансовой организации

Клиент: Региональная финансовая компания, 2300 сотрудников

Проблема: Несмотря на развёрнутые системы защиты (DLP, SIEM, SOC), ключевые инциденты происходили из-за действий сотрудников — переходы по фишинговым ссылкам, передача паролей, пересылка документов через мессенджеры.

Этапы внедрения:

1. Анализ и сегментация (2 недели)

  • Изучили историю инцидентов и бизнес-процессы
  • Провели экспресс-оценку знаний
  • Разделили сотрудников на три группы по уровню риска

2. Адаптированное обучение (1 месяц)

  • Критическая группа (350 человек): Живые тренинги с ролевыми играми и кейсами из их реальной работы
  • Средний риск (1550 человек): Онлайн-курс с ИИ-тренером, адаптированный под их задачи
  • Базовый уровень (400 человек): Визуальные материалы и памятки для самостоятельного изучения

3. Контроль и коррекция (2 недели)

  • Тестирование всех сотрудников
  • Анализ проблемных зон
  • Дополнительные сессии для отстающих

Результаты через 6 месяцев:

  • -67% переходов по фишинговым ссылкам
  • -40% общего количества инцидентов
  • +200% добровольных обращений в службу ИБ при подозрениях
  • Появление «амбассадоров безопасности» среди сотрудников

2.     Технологичность решения: масштабирование через ИИ

Что предлагает методология HFRRM

1.   Методичное и доступное обучение сотрудников с фокусом на поведение, а не только на знание.

2.   Осведомлённость руководства — повышение понимания рисков и угроз на уровне топ-менеджмента.

3.   Сопровождение ИБ-проектов — включая тренинги по использованию и ценности внедряемых решений для конечных пользователей.

4.   ИИ-тренер на базе моего контента:

  • Адаптируется под уровень каждого сотрудника
  • Отвечает на вопросы в режиме 24/7
  • Использует истории и примеры из практики компании

5.     Интеграция с платформами тестирования:

  • Адаптивная сложность вопросов
  • Защита от списывания
  • Анализ времени ответов и поведенческих паттернов
  • Детальная аналитика по каждому сотруднику и департаменту

3.     Рекомендации для руководителей и CISO

Пять шагов к эффективной защите от человеческого фактора:

  1. Определяйте риски по ролям Не обучайте всех одинаково. Выясните, какие именно действия приводят к инцидентам в каждом департаменте.
  2. Измеряйте поведение, а не знания Важно не то, что сотрудник знает правила, а то, следует ли он им под давлением и в спешке.
  3. Используйте силу историй Расскажите о реальных инцидентах в вашей отрасли. Покажите последствия. Дайте угрозам лицо и характер.
  4. Внедряйте постепенно Начните с критической группы — тех, кто имеет доступ к наиболее чувствительным данным.
  5. Создавайте культуру, а не правила Поощряйте безопасное поведение, а не наказывайте за ошибки. Сделайте сотрудников союзниками, а не объектами контроля.

Цель: обучение должно быть про вас, а не “про кибербезопасность в целом”.

Вы не можете устранить человеческий фактор. Но вы можете управлять им — системно, измеримо и эффективно.

Мы находимся в точке, где традиционные подходы к обучению кибербезопасности больше не работают. Атакующие эволюционировали — они изучают психологию, используют социальную инженерию, атакуют не системы, а людей.

Инвестиции в человека — это инвестиции в безопасность. И они окупаются не только снижением инцидентов, но и формированием культуры, где каждый сотрудник — страж информационной безопасности.

Методология HFRRM — это мой ответ на этот вызов.Она не заменяет технологии — она дополняет их осознанностью, визуализацией и вовлечением.



Автор: Айзада Кыдырбекова — эксперт в области кибербезопасности с более чем 20-летним международным опытом, автор методологии HFRRM (Human Factor Risk Reduction Methodology), региональный директор компании Trellix в странах СНГ, и мама троих детей.