Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Зарубежные сервисы
Темы
AI
Сервисы
Маркетинг
Деньги
Личный опыт
Инвестиции
Крипто
Путешествия
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

Инфосистемы Джет

Самая опасная ошибка сотрудника

Самая опасная ошибка сотрудника

Всем привет!

Меня зовут Ольга Ковардакова, я директор по персоналу «Инфосистемы Джет».

Мы в компании регулярно разбираем последствия реальных атак у заказчиков. После атаки обычно начинают искать уязвимость в системе, подрядчике или настройках, но первопричина чаще всего не в инфраструктуре, а в поведении людей.

За 2025 год расследовано более 10 000 атак на российские организации. И в большинстве случаев к проникновению хакеров приводило действие пользователя - человек открывает файл, переходит по ссылке или вводит данные.

Поэтому дальше мы попробуем разобрать не сами киберинциденты, а то, что им предшествует: почему сотрудники, даже прошедшие обучение, совершают одни и те же ошибки, почему «учения» иногда вызывают раздражение, а не повышают бдительность, и что на самом деле означает «киберкультура» внутри компании.

Этот текст адресован не только ИБ-специалистам. Вопрос киберкультуры во многом решается на уровне HR, руководителей команд и топ-менеджмента: именно они формируют рабочую среду и уровень доверия в компании.

Итак, сотрудник — полноценная часть ИБ-периметра.

Всё выглядит как обычный рабочий день: письмо «от коллеги», сообщение «от поддержки», срочная просьба «от руководителя». И вот здесь наступает момент, когда жизнь замедляется, о котором редко пишут в отчётах. Человек понимает, что скорее всего ошибся, перешел по ссылке, ввел данные где-то не там — и решает немного подождать, потому что боится осуждения, наказания, ему элементарно стыдно. Но именно это ожидание и становится для хакеров «окном возможностей».

Киберкультура не равно обучение

Компании уверены, что внедряют киберкультуру. Но на практике они внедряют обучение информационной безопасности: курсы, тесты, инструкции, рассылки. Это разные вещи.

Обучение – это знание (или незнание, если сотрудник просто пролистал тест в конце рабочего дня), тогда как киберкультура – система установок, поведенческих моделей и привычек, которые работают на постоянной основе. Можно провести инструктаж, раздать памятки и научить всех, где висит огнетушитель. Но если человек заметил дым и сначала пытается разобраться сам: открывает дверь, проверяет, не показалось ли, потом ему кажется, что паниковать рано, то часто в итоге здание сгорает не из-за отсутствия инструкций, а из-за этой паузы.

Когда мы были маленькими, нас учили физической безопасности: не уходить с незнакомцами, не открывать им дверь, следить за своими вещами в общественных местах. Но аналогичных моделей поведения в цифровом мире долгое время просто не существовало.

Сотрудник может отлично знать, что такое фишинг, и всё равно попасться. Не потому, что некомпетентен, а потому что письмо выглядит рабочим, а задача срочной. Но главная проблема возникает позже: он боится признаться. И пока он молчит, в эти часы часто решается судьба всей инфраструктуры.

Почти в каждой крупной компании есть учебный фишинг, это уже золотой стандарт. Сотруднику приходит письмо, он кликает и затем узнаёт, что его проверяют. Но многих это раздражает, люди чувствуют не заботу, а контроль и недоверие со стороны работодателя.

На практике внимательность сотрудников чаще формируется не на обучении, а вне офиса.

Многие начинают иначе относиться к рабочим письмам после вполне бытовых ситуаций: кому-то позвонили «из банка», у кого-то попытались взломать мессенджер, у коллеги обманули родителей. И вот после такого разговора на кухне человек внезапно начинает внимательно читать и корпоративную почту.

Во многом это происходит потому, что подробные разборы схем люди видят и слышат постоянно — в новостях, расследованиях, историях знакомых. Им объясняют, как злоумышленники представляются руководителем, службой безопасности или бухгалтерией и почему это выглядит убедительно. О корпоративных инцидентах говорят значительно реже: компании по понятным причинам стараются не обсуждать такие случаи публично.

В итоге возникает перенос. Человек начинает воспринимать рабочие письма через призму личного опыта: если подобным образом могут обмануть его самого или его близких, значит, тем же способом могут атаковать и компанию. Поэтому важно проговорить эту связь внутри организации и донести коллективу простой посыл – правила безопасности в жизни и офисе одинаково. Тогда инструкции перестают выглядеть формальностью и начинают восприниматься как обычная осторожность.

«Фейковый директор» — это не про технологии

Есть ещё один момент, который часто неправильно понимают. Например, когда злоумышленники пишут сотрудникам от имени руководителя — подделывают аккаунт, копируют фотографию, имитируют стиль общения, — многие воспринимают это как признак слабой защиты компании.

У нас обратное мнение: атака говорит только о том, что компания стала интересна. Отсутствие атак не означает, что вы выстроили безопасный контур, это означает лишь, что до вас пока не дошли.

Мы регулярно сталкиваемся с ситуациями, когда мошенники копируют аккаунты руководителей и пытаются выманить информацию у сотрудников. И важная деталь: об этом часто первыми сообщают не системы защиты, а люди. Иногда даже бывшие сотрудники, которые уже давно не работают в компании, но узнают «руководителя» и предупреждают. В этот момент становится понятно: лояльность — это тоже элемент безопасности.

Поэтому правильная стратегия — не замалчивать такие истории. Когда компания открыто объясняет сотрудникам, что происходит и как именно действуют злоумышленники, уровень бдительности растёт быстрее любой рассылки.

Когда ИБ не работает

Традиционно подразделения информационной безопасности воспринимали сотрудников как проблему. Пользователь — источник риска: нажмёт не туда, скачает не то, забудет пароль. Это логично с точки зрения операционки, но с точки зрения поведения – нет.

Сотрудник не становится внимательнее, если его контролируют. Он становится внимательнее, когда понимает последствия и не боится сообщить о проблеме.

И здесь меняется сама роль ИБ: от контролирующей функции -- к сервисной и коммуникационной. Поэтому главная задача уже не только блокировать атаки, а добиться, чтобы о них рассказывали.

Как вообще понять, что киберкультура есть

Итак, киберкультуру сложно измерить курсами или тестами. Сотрудник может идеально пройти обучение и через неделю открыть фишинговое письмо.

Гораздо важнее, что происходит дальше. Сообщает ли он об этом? Предупреждает ли коллег? Пишет ли в поддержку сам, без напоминаний? Или пытается сначала разобраться в одиночку?

Один из самых точных индикаторов — доля сотрудников, которые не просто распознали подозрительное письмо, а добровольно сообщили о нём службе ИБ. Это действие невозможно обеспечить инструкцией. Оно появляется только там, где человек уверен: за сообщение об ошибке его не будут наказывать.

Именно поэтому сейчас мы постепенно меняем подход к обучению и отказываемся от практики наказаний.

Еще одной хорошо зарекомендовавшей практикой в ИБ, которая опирается на доверие, является обучение так называемых Security Champions. Это специально обученный член команды, который дополнительно курирует вопросы информационной безопасности в своём направлении работы. Практика пришла из разработки и постепенно распространяется на другие подразделения: безопасность перестаёт быть только задачей отдельной службы.

В этот момент становится видно, где заканчиваются регламенты и начинается культура.

И если корпоративная культура «съедает стратегию на завтрак», то отсутствие киберкультуры способно поставить под вопрос само существование компании.

2
1
Начать дискуссию